Undersøkelse: Anskaffelser minst modne når det gjelder informasjonssikkerhet

Anbud365: Undersøkelse Anskaffelser minst modne når det gjelder informasjonssikkerhetArbeidspress ved anskaffelsene er oppgitt som et hinder for å få med krav om informasjonssikkerhet tidlig i anskaffelsesprosessen, fremgår det av en undersøkelse som Myndigheten för samhällsskydd och beredskap (MSB) i Sverige har hatt ansvaret for. På bildet generaldirektør i MSB, Dan Eliasson (foto:MSB Bildbank).

Skriv ut artikkelen

Bare et av Sveriges 20 landsting har rutiner for å følge opp inngått kontrakt når det gjelder tiltak for informasjonssikkerhet. Det viser en fersk undersøkelse, der det særlig er IT-relaterte tjenester som er under lupen. Sju områder innenfor landstingenes informasjonssikkerhetsarbeid innenfor helse og omsorg er undersøkt. Nederst på modenhetsskalaen finner vi anskaffelsesområdet.

På oppdrag fra den svenske regjeringen har Myndigheten för samhällsskydd och beredskap (MSB) i samarbeid med Sveriges kommuner och landsting (SKL), Socialstyrelsen (SoS) och eHälsomyndigheten gjennomført en kartlegging og analyse analys av landstingenes informasjonssikkerhetsarbeide innenfor helse- og omsorgsvirksomheten. «En bild av landstingens informationssäkerhetsarbete 2018 Kartläggning och analys av landstingens informationssäkerhetsarbete inom hälso- och sjukvårdsverksamhete» heter rapporten og her anskaffelser ett av de områdene.

Blant de åtte anbefalingene som rapporten konkluderer med, er den en som angår anskaffelser direkte: Få opp i dagen krav som relaterer seg til informasjonssikkerhet og legge dem til grunn i arbeidet med anskaffelser. Etabler en arbeidsrutine ved anskaffelser, slik at informasjonssikkerhetskrav stilles til den varen eller tjenesten som skal kjøpes, for å få en sikker leveranse.

Sikkerhetsrutiner

15 av 20 landsting, dvs. fylkeskommuner, oppgav i undersøkelsen at de hadde etablert en slik rutine i forbindelse med anskaffelser og systemutvikling. Bare ett landsting opplyste at de har etablert en arbeidsrutine for å følge opp avtalen når det gjelder tiltak for informasjonssikkerhet.

Arbeidspress ved anskaffelsene er oppgitt som et hinder for å få med krav om informasjonssikkerhet tidlig i anskaffelsesprosessen. Det tyder på at virksomheten ikke har effektive arbeidsrutiner for å ta med informasjonssikkerhetsaspektene i sin behovsanalyse. Det kan oppleves som at det er en risiko for at slike krav kan oppleves som vanskeliggjørende og at de forsinker prosessen om de tas med altfor sent i prosessen, påpekes det i rapporten.

Risiko- og informasjonsanalyser

Der fremholdes at det derfor er det nødvendig at anskaffelsen bygger på vel definerte ansvarsforhold og har tydelige krav om informasjonssikkerhet. Dette forutsetter i sin tur at landstinget tidlig i anskaffelsesprosessen gjennomfører risiko- og informasjonsanalyser for å kunne beskrive korrekt kravbilde.

Likeledes øker behovet for å følge opp leverandører og deres underleverandører i løpet av avtaleperioden i og med at outsourcing stadig mer blir en akseptert løsning. Dermed er det, poengteres det i rapporten, viktig å ha en fungerende bestillerorganisasjon i hele den perioden som avtalen gjelder.

Modenhet

I forbindelse med undersøkelsen er det lagt til grunn en modenhetsmodell som de ulike områdene ble målt opp mot. Anskaffelsesområdet er det området der landstingene totalt sett blir vurdert å ha lavest modenhet ifølge den modellen som er benyttet, fremgår det av undersøkelsesrapporten.

Blant kriteriene er forberedende risikoanalyser, kravspesifisering, evaluering, ikrafttredelse og gjennomføring av kontrakten.

Bli den første til å kommentere på "Undersøkelse: Anskaffelser minst modne når det gjelder informasjonssikkerhet"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.