Informationssäkerhet är viktigt för kvalitet, funktionalitet och integritet i offentlig sektor. Riksrevisionen har tidigare lyft fram informationssäkerhet som ett område där det finns risker för staten. Det har grundat sig både på iakttagelser i olika granskningar och i den riskanalys som fungerar som stöd i valet av områden att granska.

Tidigare granskningar av informationssäkerheten i statsförvaltningen, åren 2005–2007 samt 2014, har visat på ett flertal brister informationssäkerheten. Det handlar bland annat om att regeringen inte följt upp om myndigheternas interna styrning och kontroll på området varit tillfredsställande. Samtidigt finns begränsad kunskap om hur informationssäkerheten inom varje enskild myndighet ser ut.

Syftet med granskningen är dels att följa upp informationssäkerhetsarbetet vid de myndigheter som Riksrevisionen granskade 2005–2007, dels bedöma om regeringen säkerställer att myndigheterna i den civila statsförvaltningen har en effektiv intern styrning och kontroll av sin informationssäkerhet.