Fællesoffentlig bootcamp om ISO 27001

Bootcampen styrker implementeringen af ISO-standarden gennem vidensdeling og læring.

Bootcampen henvender sig til alle, der arbejder med informationssikkerhed i kommuner, regioner og statslige myndigheder (fællesoffentlig). Det betyder, at du skal være ansat i enten en kommune, en region eller i staten for at deltage.

Eksempler på emner fra 2019 bootcampen

På bootcampen i 2019 kunne man deltage i seks workshops, som hver tog udgangspunkt i ét af de kerneområder, som indgår i den tværoffentlige implementering af ISO 27001.

Beskrivelse af workshops

Alle offentlige myndigheder skal følge principperne i ISO 27001-standarden. Herunder store organisationer med et komplekst systemlandskab. Workshoppen tager afsæt i spørgsmålet om, hvordan arbejdet med ISO-implementeringen tilpasses forskellige organisationer med fokus på større og komplekse organisationer.

Det får du med hjem

Deltagere går fra workshoppen med viden om, hvordan man med afsæt i en risikovurdering kan tilpasse sin indsats, så den passer til organisationen, samt med eksempler på hvordan arbejdet kan organiseres, så der sikres effektiv implementering af standarden.

Oplægsholder

Marianne Bo Krowicki, databeskyttelsesrådgiver/i-sikkerhedskoordinator, Brøndby kommune

Som informationssikkerhedsansvarlig arbejdes der løbende med at styrke bevidstheden, inddrage ledelsen og aktivere medarbejdere for derigennem at højne informationssikkerheden på alle niveauer i organisationen. Workshoppen sætter fokus på ISO-implementering, der er værdiskabende for styring af organisationen og de overordnede mål, og som samtidig når ud blandt medarbejderne, fx vha. awareness-aktiviteter og informationssikkerhed som en integreret del af det praktiske arbejde i organisationen.

Det får du med hjem

Deltagere går fra workshoppen med forslag til, hvordan arbejdet understøtter forretningens mål, og med viden om, hvordan sikkerhed kan integreres som en del af hverdagen, så den bidrager til en større bevidsthed om informationssikkerheden i en organisation.

Oplægsholder

Jens Hansen, konsulent og Josefine E. Davidsen, fuldmægtig, Styrelsen for It- og Læring

Auditering og evaluering er centrale elementer i ISO-implementeringen, som har til formål at efterprøve og kvalitetssikre, at politikker og underliggende procedurer er effektivt implementeret og vedligeholdes. Workshoppen giver konkrete bud på, hvordan man kontinuerligt gennemfører forskellige former for audit, måling, evalueringer og tilpasning, så det imødekommer organisationens behov.

Det får du med hjem

Deltagere går fra workshoppen med inspiration og forslag til metoder til gennemførsel af en forskellige former for auditering, som fx skemaundersøgelse, intern undersøgelse eller uafhængig kontrol af udvalgte områder. På samme vis vil deltagerne få inspiration til, hvordan der afrapporteres på audit til ledelsen.

Oplægsholder

Charlotte Steenbergen, DPO/informationssikkerhedskoordinator, Tønder Kommune

Offentlige myndigheder benytter sig i høj grad af leverandører af it, og derfor er informationssikkerhed tæt forbundet med god leverandørstyring. Workshoppen har fokus på de aftalte krav, der stilles til leverandører og hvordan opfølgningen på kravene udføres. Det handler om, hvordan man formulerer klare og målbare krav i samarbejdet med leverandører, og hvordan man kan følge op på, om leverandørerne efterlever kravene.

Det får du med hjem

Deltagere går fra workshoppen med forslag til, hvordan krav kan opstilles for at skabe et samlet overblik til brug ved opfølgning på leverandøraftaler. Deltagerne får også inspiration til hvordan krav omsættes til operationelle målemetoder, så det er muligt at vurdere og evaluere kvalitet, effektivitet og sikkerhedsniveau i forhold til leverandørens opfyldelse af de aftalte krav.

Oplægsholder

Rikke Saltoft, kontorchef for systemforvaltning, Digitaliseringsstyrelsen

Alle organisationer har behov for en eller flere beredskabsplaner. Som en del af arbejdet med beredskabsplaner skal myndigheden finde ud af, hvilke planer, der er relevante. Workshoppen tager afsæt i organisationers forskellige behov for beredskab, herunder om der er brug for en beredskabspolitik, en forretningsnødplan og/eller en it-beredskabsplan. I forlængelse heraf undersøges de praktiske elementer i beredskabet, såsom hvor ofte dokumenterne skal opdateres, hvordan beredskabet testes og hvorvidt beredskabsplanen skal understøttes af en kommunikationsplan.

Det får du med hjem

Deltagere går fra workshoppen med eksempler på forskelligartede beredskabsplaner og disses praktiske implikationer.

Oplægsholder

Jacob Gemmer Hansen, Security Risk Manager, Sundhedsdatastyrelsen

Et afgørende element i den kontinuerlige håndtering af informationssikkerheden er organisationens risikostyring. Hertil hører gennemførelse af risikovurderinger af organisationens kerneaktiviteter samt implementeringen og opfølgning på risikohåndteringsplanerne. Workshoppen omhandler risikostyring, de risikovurderinger, der ligger til grund for den løbende forankring af en risikobaseret tilgang i organisationen samt udarbejdelse og gennemførelse af risikohåndteringsplaner.

Det får du med hjem

Deltagerne går fra workshoppen med viden om og forslag til, hvordan man med udgangspunkt i de gennemførte risikovurderinger udarbejder og implementerer risikohåndteringsplaner, som sikrer, at organisationen har det rette sikkerhedsniveau.

Oplægsholder

Jesper Siig, chefkonsulent, Digitaliseringsstyrelsen

Baggrund

De fællesoffentlige parter afholder for anden gang en bootcamp om informationssikkerhed. Dette sker som led i opfølgningen på den fællesoffentlige digitaliseringsstrategi, initiativ 7.1 ”Styr på informationssikkerheden i alle myndigheder”.

Logoer; KL, Digitaliseringsstyrelsen og Danske Regioner