Du bruker en gammel nettleser. For å kunne bruke all funksjonalitet i nettsidene må du bytte til en nyere og oppdatert nettleser. Se oversikt over støttede nettlesere.

Stortinget.no

logo
Hopp til innholdet
Til forsiden
Til forsiden

Brev fra Fornyings-, administrasjons- og kirkedepartementet v/statsråden til kontroll- og konstitusjonskomiteen, datert 18. januar 2012

Jeg viser til brev fra Kontroll- og konstitusjonskomiteen av 20.12.2011, hvor komiteen har bedt meg om å svare på tre spørsmål knyttet til behandlingen av Riksrevisjonens Dokument nr 1(2011–2012).

”Riksrevisjonen er sterkt kritisk til at DSS fortsatt har vesentlige mangler på informasjonssikkerhetsområdet, og ser alvorlig på at Fornyings-, administrasjons- og kirkedepartementet ikke har sikret at infrastrukturen som departementene benytter har tilfredsstillende sikkerhet. Hva vil statsråden gjøre for å sikre at dette kommer på plass?”

Med bakgrunn i Riksrevisjonens sterke kritikk engasjerte Fornyings-, administrasjons- og kirkedepartementet (FAD) høsten 2010 Nasjonal Sikkerhetsmyndighet (NSM) til å foreta omfattende tester av datasikkerheten i DSS. NSM avga sin rapport til FAD i desember 2010. Rapporten avdekket i likhet med rapporten fra Riksrevisjonen betydelige mangler og svakheter. Som en følge av dette ble det fra januar 2011 igangsatt et omfattende arbeid med utbedring av datasikkerheten i DSS.

Arbeidet er delt i to deler, et eget program som gjelder ”Forbedring av teknisk IKT-sikkerhet i DSS” (FIKS), og etablering av et nytt Styringssystem for informasjons-sikkerhet (SSIS).

I arbeidet med FIKS har FAD også engasjert en ekstern konsulent (Ernst & Young) for å bistå med kvalitetssikringen av arbeidet. Som en del av dette arbeidet har DSS utarbeidet en liste over de avdekkede svakhetene, med tidsplan og konkrete utbedringstiltak. Kvalitetssikrer rapporterte løpende gjennom 2011 til FAD om framdriften i utbedringsarbeidet. FIKS er nå på det nærmeste ferdigstilt.

Jeg vil motta sluttrapporter om resultatet av FIKS både fra DSS og Ernst & Young i første halvår 2012.

Arbeidet med SSIS har dessverre blitt noe forsinket som følge av hendelsene 22. juli 2011, da DSS har vært nødt til å prioritere oppgaver knyttet til etablering av IKT-tjenester for de departementene som ikke lenger har lokaler i Regjeringskvartalet.

Arbeidet med SSIS vil derfor pågå i hele 2012.

Regjeringen vedtok for øvrig den 6. juni 2011 å utrede en ny IKT-løsning for departementsfellesskapet som kan håndtere ugradert og gradert informasjon opp til BEGRENSET. Løsningen skal kunne tilbys alle departementer og SMK i samsvar med deres individuelle behov. Utredningsarbeidet ble ledet av FAD gjennom en egen arbeidsgruppe, og med en styringsgruppe på høyt nivå hvor JD, FD, FIN, UD, AD og OED deltok.

Jeg fikk arbeidsgruppens rapport overlevert i desember 2011, og denne saken vil bli fulgt opp i 2012 basert bl.a. på de råd og anbefalinger som ligger i rapporten.

”Riksrevisjonen er kritisk til at Fornyings-, administrasjons- og kirkedepartementet, gjennom styringen av Ovf, ikke har påsett at et helhetlig system for risikostyring er etablert og at nødvendige retningslinjer for aktiviteten i datterselskapene foreligger. Riksrevisjonen finner det videre kritikkverdig at departementets varslede gjennomgang av rammeverket ikke er ferdigstilt. Når kan det forventes at dette er på plass?”

Jeg legger til grunn at det alt vesentlige av fondets aktiviteter vil være omfattet av et helhetlig system for risikostyring i 2012, og departementet stiller krav til Ovf om dette i tildelingsbrevet for 2012. Når det gjelder forhold som angår fondets rammeverk og retningslinjer for styring og oppfølging av datterselskaper, kan jeg opplyse at departementet arbeider med en revisjon av hovedinstruksen for Ovf. Hovedinstruksen, som fastsettes av departementet, trekker opp overordnede retningslinjer og rammer for forvaltningen av fondet. Med bakgrunn i hovedinstruksen fastsetter fondets styre underliggende instrukser og retningslinjer. Formålet med den pågående revisjonen av instruksverket er bl.a. å presisere rolle- og ansvarsfordelingen mellom departementet og styret bedre. Også forhold som gjelder risikostyring og styring og kontroll av datterselskaper inngår i instruksarbeidet.

Revidert hovedinstruks for Ovf antas ferdigstilt i løpet av våren 2012.

”Riksrevisjonen finner det kritikkverdig at Ovf ikke etterlever anskaffelsesregelverket ved kjøp av konsulenttjenester. Mangler på dette området er også tatt opp tidligere, og kontroll- og konstitusjonskomiteen har forutsatt at departementet følger opp etterlevelsen av regelverket i Ovf. Hva vil statsråden gjøre for å ordne opp i dette?”

De merknadene som Riksrevisjonen har i Dok. 1 (2011–2012) når det gjelder Ovf og anskaffelsesregelverket, er spesifikt knyttet til IKT-området. Som det går fram av mitt svar til Riksrevisjonen, gjengitt i Dok. 1 (2011–2012), har det på dette området vært reist tvil om regelverkets anvendelse for allerede inngåtte avtaler om IKT-tjenester. Jeg opplyste samtidig at den juridiske avklaringen av dette spørsmålet nå foreligger, og at konklusjonen er at slike avtaler omfattes av anskaffelsesregelverket.

Som følge av dette har Ovf høsten 2011 tatt initiativ til å konkurranseutsette de aktuelle IKT-tjenestene i tråd med kravene i anskaffelsesregelverket.