Fremgang i statens arbejde med informationssikkerhed

En ny måling viser, at flere statslige myndigheder nu vurderer, at de har implementeret den internationale sikkerhedsstandard ISO 27001 i deres organisationer.

En digital offentlig sektor stiller store krav til, at myndighederne har styr på informationssikkerheden og passer godt på data. Statslige myndigheder er derfor forpligtede til at implementere ISO 27001 – en international standard, der skal sikre effektiv styring af informationssikkerheden.

Den nationale strategi for cyber- og informationssikkerhed fra maj 2018 skærpede fokus på området. Digitaliseringsstyrelsen måler derfor hvert halve år på, hvordan det går med de statslige myndigheders ISO-implementering. I målingen angiver myndighederne en egen-vurdering på en skala fra 1-5 på syv væsentlige områder i ISO-standarden. For at være helt i mål skal myndighederne i målingen opnå et modenhedsniveau på minimum 4 på alle syv områder fx om der arbejdes systematisk med risikovurderinger, leverandørstyring og beredskabsplaner.

Højere modenhed hos statslige myndigheder

En ny rapport baseret på en måling fra september 2019 viser, at 39 ud af 113 statslige myndigheder har opnået fuld implementering af sikkerhedsstandarden. Det er en forbedring fra sidste måling i 2018. Her angav i alt 16 ud af 109 myndigheder, at de havde opnået fuld implementering.

Samtidig falder andelen af statslige myndigheder, der selv vurderer, at de ligger på et lavt modenhedsniveau i forhold til sikkerhed (niveau 1 eller 2) på flere end to områder. Disse myndigheder er således langt fra at have implementeret ISO 27001. Antallet er faldet fra 39 myndigheder i 2018 til 21 myndigheder i 2019.

Tabel 1: Myndighedernes modenhed i forhold til implementering af ISO 27001

Flere myndigheder angiver, at de har implementeret ISO 27001 eller er godt på vej.

I 2018 svarede i alt 109 myndigheder på målingen. I 2019 svarede i alt 113 myndigheder.

Et vigtigt redskab i arbejdet med sikkerhed

Vicedirektør i Digitaliseringsstyrelsen, Signe Caspersen, glæder sig over den pæne stigning i antallet af myndigheder, der har implementeret ISO 27001:

Informationssikkerhed er højt på dagsordenen i den offentlige sektor. Sandsynligheden for, at der er styr på sikkerheden og at organisationen lærer af fejl og sikkerhedshændelser, er højere, hvis ISO-standarden er indarbejdet i de daglige forretningsgange. Målingen viser, at arbejdet fortsat skal prioriteres i myndighederne. Det vil kræve et stort ledelsesfokus at opnå og opretholde et passende højt niveau.

Signe Caspersen, vicedirektør i Digitaliseringsstyrelsen

Målingen viser, at de statslige myndigheder blandt andet skal styrke leverandørstyringen samt blive bedre til løbende at løfte medarbejdernes kompetencer og bevidsthed inden for informationssikkerhed (se tabel 2). 

Arbejdet med informationssikkerhed kræver en vedvarende indsats, hvor man bliver klogere, løbende tilpasser procedurer og arbejdsgange i forhold til trusselsbilledet – og lærer af sine fejl.

Netop "Måling, audit og evaluering" er det indsatsområde, hvor flest myndigheder angiver, at deres modenhedsniveau er lavt. Det er derfor afgørende, at myndighederne fremover sætter fokus på netop at måle og evaluere deres indsatser for at løfte informationssikkerheden med henblik på at kunne forbedre dem.

Tabel 2: Myndighederne klarer sig bedst inden for risikostyring, men skal blandt andet blive bedre til leverandørstyring.

Myndigheder, der ikke har opnået fuld implementering i målingen, har nu udarbejdet handleplaner med konkrete indsatser, de vil udføre for at komme i mål. 

Hent rapporten: Hovedresultater: ISO 27001-modenhed i staten november 2019