Drygt 95 % av de totalt 351 myndigheterna som fick enkäten svarade. En del av de frågor som ställdes hade direkt koppling till paragrafer i MSB:s föreskrifter. Andra frågor var av mer generell karaktär beträffande informationssäkerhetsarbete.

Policy och ledning
I MSB:s föreskrifter står det att en myndighet ska "upprätta en informationssäkerhetspolicy och andra styrande dokument som behövs för myndighetens informationssäkerhet". Enkäten visar dock att endast 84 % av de myndigheter som besvarade alla frågor har en informationssäkerhetspolicy. Dessutom är det bara 26 % som kontrollerar ifall policyer och riktlinjer följs av medarbetarna.

MSB:s föreskrifter uppmanar också myndigheter att "utse en eller flera personer som leder och samordnar arbetet med informationssäkerhet". Trots det har 74 % av de myndigheter som svarat på alla frågor inte utsett en informationssäkerhetschef. Utöver det visar enkäten att 38 % av de som leder och samordnar informationssäkerhetsarbetet saknar tillräcklig kompetens, resurser eller mandat för att utföra uppdraget på̊ ett tillfredsställande sätt.

Riskanalys och kontinuitetsplanering
När det gäller riskanalyser påbjuder MSB:s föreskrifter att myndigheter "utifrån risk och sårbarhetsanalyser och inträffade incidenter" avgör hur risker ska hanteras, samt beslutar om åtgärder för myndighetens informationssäkerhet. Undersökningen visar att 78 % av de myndigheter som besvarat hela enkäten har en metod för riskanalys, men att endast 58 % har regler för vad riskanalyser ska omfatta eller när det ska ske. Dessutom saknar 35 % uttalat ansvar för vem som ska initiera riskanalyserna.

En myndighet bör enligt MSB:s allmänna råd (MSBFS 2009:10) upprätta och införa kontinuitetsplaner för informationsförsörjningen "för att säkerställa att verksamheten ska kunna bedrivas enligt den nivå̊ av kontinuitet som beslutats efter genomförd riskanalys". De skriver också att planerna "bör hållas uppdaterade och övas så att de blir ett naturligt inslag i ledning av informationssäkerhetsarbetet". Enligt enkätundersökning saknar dock 65 % av de myndigheter besvarat alla frågor en kontinuitetsplan. Dessutom använder 59 % inte riskanalyserna som stöd vid kontinuitetsplanering.

Ledning och behov av stöd
I MSB:s föreskrifter står det att en myndighets ledning löpande ska "informera sig om arbetet med informationssäkerhet samt minst en gång per år följa upp och utvärdera informationssäkerhetsarbetet på̊ myndigheten". Av de myndigheter som besvarat hela enkäten uppger 45 % att myndighetens ledning åtminstone i stor utsträckning löpandet håller sig informerade om arbetet med informationssäkerhet. Dessvärre rapporterar 37 % att myndigheten saknar eller har en mycket begränsad utvärdering av informationssäkerhetsarbetet.

Bland de områden där myndigheterna önskade mer stöd fanns kravställning, uppföljning, informationsklassning och kontinuitetsplanering. Stödet önskades i form av bland annat malldokument, utbildningsdokument, vägledningar och praktiska exempel.