Ny ISO-måling for staten

13-12-2018
Sikkerhed

Digitalisering stiller store krav til myndighedernes styring af it-sikkerheden. En ny måling viser, at selv om der arbejdes målrettet med området, er det kun en mindre del af de statslige myndigheder, som vurderer, at de er helt i mål med at implementere sikkerhedsstandarden ISO 27001.

ISO 27001 er en international standard, der skal sikre effektiv styring af informationssikkerheden i en organisation. Standarden sikrer, at ledelsen på en systematisk måde kommer hele vejen rundt om informationssikkerheden i organisationen og får taget stilling til de forskellige risici, der har potentiale til at gøre skade i organisationen.

Regeringen har med den nationale strategi for cyber- og informationssikkerhed fra maj 2018 sat skærpet fokus på området. Som en del af strategien vil Digitaliseringsstyrelsen hvert halve år måle på, hvordan det går med de statslige myndigheders ISO-implementering, og de myndigheder, der ikke er helt i mål, skal udarbejde handleplaner. 

Status på arbejdet med sikkerheden

En ny rapport baseret på en måling fra august 2018 viser, at der fortsat er et stykke vej, før de statslige myndigheder er helt i mål med implementeringen af ISO 27001. Afrapporteringen er baseret på 109 statslige myndigheders egne vurderinger af, hvor langt de er kommet med arbejdet, fx om der arbejdes systematisk med risikovurderinger, leverandørstyring og beredskabsplaner.

For at opnå fuld implementering af ISO-standarden skal myndigheder i målingen på en skala fra 1-5 opnå et modenhedsniveau på minimum 4. Målingen viser, at 16 ud af 109 statslige myndigheder (15 pct.) har opnået fuld implementering. 34 myndigheder (31 procent) er tæt på fuld implementering.

Hent rapporten Hovedresultater: ISO 27001-modenhed i staten December 2018

Direktør i Digitaliseringsstyrelsen, Rikke Hougaard Zeberg, lægger vægt på, at der er fremdrift i arbejdet:

Det er Digitaliseringsstyrelsens indtryk, at myndighederne arbejder seriøst og målrettet med implementeringen af ISO 27001. Målingen viser dog også, at der fortsat udestår et arbejde med at få standarden fuldt implementeret i de fleste myndigheder, og det forudsætter en prioriteret indsats og et fortsat stort ledelsesmæssigt fokus, for at alle kan komme helt i mål.

ISO-målingen viser, at de statslige myndigheder særligt skal blive bedre til leverandørstyring, til at løfte medarbejdernes kompetencer og bevidsthed inden for informationssikkerhed, samt løbende at evaluere og måle på deres indsatser med at løfte informationssikkerheden.

Myndigheder, der ikke har opnået fuld implementering i målingen, har nu udarbejdet handleplaner med konkrete indsatser, de vil udføre for at komme i mål.

Derfor er ISO 27001 et vigtigt redskab

En manglende implementering af standarden betyder ikke nødvendigvis et lavt sikkerhedsniveau i it-systemerne. Den tekniske sikkerhed i et system kan godt være høj, selvom den ikke har taget afsæt i en systematisk risikovurdering.

Sandsynligheden for, at der er styr på sikkerheden, er imidlertid højere, hvis ISO-standarden er implementeret. På denne måde kan ledelsen nemlig være sikre på, at man er kommet rundt om eventuelle problematikker i organisationen, at man kontinuerligt følger op, og at organisationen lærer af fejl og sikkerhedshændelser.

Find vejledninger til implementering af ISO 27001 på sikkerdigital.dk/myndighed

Fakta

Til brug for de halvårlige opfølgninger har Digitaliseringsstyrelsen udarbejdet et spørgeskema til at foretage ISO 27001-modenhedsmålinger. I målingen angiver myndighederne en egen-vurdering på en modenhedsskala fra 1-5 på syv væsentlige områder af ISO-standarden:

  1. Ledelsessystem for informationssikkerhed
  2. Politik for informationssikkerhed
  3. Ressourcer, kompetencer og bevidsthed
  4. Leverandørstyring
  5. Risikostyring
  6. Måling, audit og evaluering
  7. Beredskabsplaner