SLL-revisorer vill se bättre IT-säkerhet
Revisorerna i Stockholms läns landsting (SLL) publicerade nyligen en ny rapport där de uppmanar landstingets olika verksamheter att införa så kallade compliance-processer för att säkra sina efterlevnadskrav om informationssäkerhet.
Frågan är högaktuell med tanke på att Myndigheten för samhällsskydd och beredskap (MSB) från och med april 2016 infört rapporteringskrav av IT-incidenter inom offentlig sektor. Syftet med obligatorisk IT-incidentrapportering är att stödja samhällets informationssäkerhet. Det möjliggör en samlad lägesbild över informationssäkerheten, skapar förutsättningar för att vidta rätt skyddsåtgärder och utvecklar förmågan att förebygga, upptäcka och hantera IT-incidenter, menar MSB.
I det aktuella fallet lyfte revisorerna fram leverantören Cybercoms Compliance-portal som en viktig del för att påskynda arbetet mot en ökad IT-säkerhet. Karolinska Universitetssjukhuset är en av de verksamheter som ingår i landstingets pilotprojekt.
OFFENTLIGA AFFÄRER ställde några frågor till Mikael Sundberg som är affärsansvarig för Compliance Portal på Cybercom.
Från och med april månad måste offentliga aktörer rapportera IT-incidenter till Myndigheten för samhällsskydd och beredskap. Detta har bl.a. uppmärksammats av SLL:s revisorer som uppmanar landstingets verksamheter att införa processer för detta.
– Framgångsrik efterlevnadskontroll kräver en övergripande uppkopplad metodik, utformad för att skydda och öka företagsvärdet genom att utveckla en riskmedveten lagstiftningskultur, detta är vad vi på Cybercom kan bistå marknaden med hjälp av våra tjänster Compliance Portal med tillhörande konsulttjänster inom Compliance.
På vilket sätt kan den privata marknaden bistå i detta arbete?
– Våra lösningar är utformade för att kunna hantera ett brett spektrum av efterlevnadsprocesser och upprätthålla redovisningsskyldigheten genom kundens hela organisation. Det gör det möjligt för de som arbetar med efterlevnad att förstå och värdera lagändringsrisker, övervaka och spåra ändringar i regelverket och lägga fram bevis för alla aspekter av processen.
Kan det ske inom ramen för befintliga ramavtal eller måste ny upphandling ske?
– Det beror på vilka ramavtal respektive organisation har tillgång till och vilka regler som gäller för specifikt ramavtal.
Etableringen av obligatorisk it-incidentrapportering pågår från den 4 april 2016 och resten av året. I början av 2017 räknar MSB med att kunna presentera en första samlad analys på basis av vad som rapporterats.