Fremgang i statens arbejde med informationssikkerhed

En ny måling viser, at flere statslige myndigheder nu vurderer, at de har implementeret den internationale sikkerhedsstandard ISO 27001 i deres organisationer.

En digital offentlig sektor stiller store krav til, at myndighederne har styr på informationssikkerheden og passer godt på data. Statslige myndigheder er derfor forpligtede til at implementere ISO 27001 – en international standard, der skal sikre effektiv styring af informationssikkerheden.

Den nationale strategi for cyber- og informationssikkerhed fra maj 2018 skærpede fokus på området. Digitaliseringsstyrelsen måler derfor hvert halve år på, hvordan det går med de statslige myndigheders ISO-implementering. I målingen angiver myndighederne en egen-vurdering på en skala fra 1-5 på syv væsentlige områder i ISO-standarden. For at være helt i mål skal myndighederne i målingen opnå et modenhedsniveau på minimum 4 på alle syv områder fx om der arbejdes systematisk med risikovurderinger, leverandørstyring og beredskabsplaner.

Højere modenhed hos statslige myndigheder

En ny rapport baseret på en måling fra september 2019 viser, at 39 ud af 113 statslige myndigheder har opnået fuld implementering af sikkerhedsstandarden. Det er en forbedring fra sidste måling i 2018. Her angav i alt 16 ud af 109 myndigheder, at de havde opnået fuld implementering.

Samtidig falder andelen af statslige myndigheder, der selv vurderer, at de ligger på et lavt modenhedsniveau i forhold til sikkerhed (niveau 1 eller 2) på flere end to områder. Disse myndigheder er således langt fra at have implementeret ISO 27001. Antallet er faldet fra 39 myndigheder i 2018 til 21 myndigheder i 2019.

Tabel 1: Myndighedernes modenhed i forhold til implementering af ISO 27001

Flere myndigheder angiver, at de har implementeret ISO 27001 eller er godt på vej.

Myndighedernes modenhed ift. implementering af ISO 27001

I 2018 svarede i alt 109 myndigheder på målingen. I 2019 svarede i alt 113 myndigheder.

Et vigtigt redskab i arbejdet med sikkerhed

Vicedirektør i Digitaliseringsstyrelsen, Signe Caspersen, glæder sig over den pæne stigning i antallet af myndigheder, der har implementeret ISO 27001:

Informationssikkerhed er højt på dagsordenen i den offentlige sektor. Sandsynligheden for, at der er styr på sikkerheden og at organisationen lærer af fejl og sikkerhedshændelser, er højere, hvis ISO-standarden er indarbejdet i de daglige forretningsgange. Målingen viser, at arbejdet fortsat skal prioriteres i myndighederne. Det vil kræve et stort ledelsesfokus at opnå og opretholde et passende højt niveau.

Signe Caspersen, vicedirektør i Digitaliseringsstyrelsen

Målingen viser, at de statslige myndigheder blandt andet skal styrke leverandørstyringen samt blive bedre til løbende at løfte medarbejdernes kompetencer og bevidsthed inden for informationssikkerhed (se tabel 2). 

Arbejdet med informationssikkerhed kræver en vedvarende indsats, hvor man bliver klogere, løbende tilpasser procedurer og arbejdsgange i forhold til trusselsbilledet – og lærer af sine fejl.

Netop "Måling, audit og evaluering" er det indsatsområde, hvor flest myndigheder angiver, at deres modenhedsniveau er lavt. Det er derfor afgørende, at myndighederne fremover sætter fokus på netop at måle og evaluere deres indsatser for at løfte informationssikkerheden med henblik på at kunne forbedre dem.

Tabel 2: Myndighederne klarer sig bedst inden for risikostyring, men skal blandt andet blive bedre til leverandørstyring.

Fordeling af myndighedernes svar fordelt på spørgeområder i 2019

Myndigheder, der ikke har opnået fuld implementering i målingen, har nu udarbejdet handleplaner med konkrete indsatser, de vil udføre for at komme i mål. 

Hent rapporten: Hovedresultater: ISO 27001-modenhed i staten november 2019

Fakta om ISO 27001

ISO 27001 er en international standard, der skal sikre effektiv styring af informationssikkerheden i en organisation. Standarden sikrer, at ledelsen på en systematisk måde kommer hele vejen rundt om informationssikkerheden i organisationen og får taget stilling til de forskellige risici, der har potentiale til at gøre skade i organisationen.

En manglende implementering af standarden betyder ikke nødvendigvis et lavt sikkerhedsniveau i it-systemerne. Den tekniske sikkerhed i et system kan godt være høj, selvom den ikke har taget afsæt i en systematisk risikovurdering.

Krav om implementering i statslige myndigheder

Det er et krav, at statslige myndigheder har implementeret ISO 27001.

Om måling af statslige myndigheders modenhed i implementeringen

Digitaliseringsstyrelsen følger op hvert halve år på de statslige myndigheders implementering. I målingen angiver myndighederne en egen-vurdering på en skala fra 1-5 på syv væsentlige områder i ISO-standarden. For at opnå et passende højt niveau for informationssikkerheden skal myndighederne i målingen opnå et modenhedsniveau på minimum 4 på alle syv områder.

Læs mere om ISO 27001 standarden