Kommunerna har ett av det svenska samhällets mest komplexa uppdrag

Kommunernas uppgifter omfattar allt från den dagliga omsorgen av äldre till att säkerställa att känslig infrastruktur fungerar. En stor del av den samhällsviktiga verksamheten räknas till kommunernas ansvar. Säker informationshantering spelar en central roll i detta uppdrag.

Om undersökningen

På uppdrag av regeringen har MSB i samverkan med Sveriges kommuner och landsting (SKL) genomfört en undersökning av informationssäkerheten i kommunerna. Undersökningen genomfördes i form av en enkätundersökning som gick ut till samtliga 290 kommuner i april 2015. Antalet kommuner som besvarade hela enkäten var 228 (78,6%) och antalet kommuner som besvarade enkäten delvis var 27 (9,3 %).

De olika delar undersöktes

Nedan följer ett urval av enkätresultatet kopplade till elva olika delar av ett systematiskt informationssäkerhetsarbete. Alla kommuner har inte besvarat samtliga frågor.

Systematiskt informationssäkerhetsarbete
170 av 241 kommuner (71%) som har svarat på enkätfrågan anger att de inte arbetar systematiskt med informationssäkerhet.

Policy och styrande dokument
67 av 242 kommuner som har svarat på enkätfrågan anger att de inte har en informationssäkerhetspolicy som är beslutad av kommunens ledning. 

Kontroll och uppföljning
141 av 241 kommuner som har svarat på enkätfrågan anger att de inte kontrollerar efterlevnaden vad gäller informationssäkerhet. En övervägande del av kommunerna anger att efterlevnad sker efter incidenter.

Ansvar och roller
Enkätundersökningens resultat visar på stora skillnader avseende hur kommuner fördelar ansvar, uppgifter och roller på informationssäkerhetsområdet rörande rapportering, informationsklassning och riskanalys.

Leda och samordna informationssäkerhetsarbetet
102 av 251 kommuner som har svarat på enkätfrågan anger att de inte har någon utpekad funktion för informationssäkerhet.

Av de kommuner som har en funktion svarar 70 kommuner att den utpekade funktionen för informationssäkerhet arbetar mindre än 10 % av sin arbetstid med informationssäkerhet.

Informationsklassning
139 av 241 kommuner som har svarat på enkätfrågan uppger att de inte använder en metod för informationsklassning. Av de kommuner som har en metod för informationsklassning uppger 65 kommuner att informationsklassning sker oregelbundet.

Riskanalys
100 av 241 kommuner som har svarat på enkätfrågan anger att de inte gör en riskanalys avseende informationssäkerhet.

Av de kommuner som gör riskanalys avseende informationssäkerhet anger 87 kommuner att sådan riskanalys sker oregelbundet. Riskanalys används i olika utsträckning inom olika verksamhetsområden.

Incidenthantering- och kontinuitetsplanering
129 av 232 kommuner som har svarat på enkätfrågan anger att det inte finns en process för rapportering och hantering av säkerhetsbrister eller incidenter med koppling till informationshanteringen inom kommunen.

141 av 237 kommuner som har svarat på enkätfrågan anger att det inte finns kontinuitetsplaner framtagna för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen.

Av de kommuner som har framtagna kontinuitetsplaner anger 78 kommuner att de aldrig eller endast enstaka gånger övar dessa.

Teknisk infrastruktur
93 av 231 kommuner som har svarat på enkätfrågan anger att de inte identifierat industriella informations- och styrsystem som kritisk infrastruktur.

Upphandling
143 av 236 kommuner som har svarat på enkätfrågan anger att det inte finns en process inom kommunen som säkerställer att informationssäkerhetsrelaterade aspekter beaktas vid upphandling/anskaffning.

Samverkan
189 av 251 kommuner som har svarat på enkätfrågan anger att de inte har ett etablerat samarbete i informationssäkerhetsfrågor med länsstyrelsen.

Utbildning och kompetensutveckling
136 av 236 kommuner som har svarat på enkätfrågan anger att de inte erbjuder utbildning i informationssäkerhet för kommunens medarbetare.

Resultatets användning och betydelse

Resultatet av undersökningen ger kommunerna en bra bild av de brister och möjligheter som finns i kommunernas informationssäkerhetsarbete samt tydliggör de frågor som kan behöva prioriteras.

Resultatet kommer även att utgöra ett viktigt underlag för MSB:s och SKL:s pågående arbete med att stödja kommunernas informationssäkerhetsarbete. En gemensam bild över läget kan även underlätta samverkan på området, exempelvis mellan kommuner och länsstyrelser.