ISO-måling i staten

Gennem årlige ISO 27001-modenhedsmålinger gør Digitaliseringsstyrelsen status over, hvor langt de enkelte statslige myndigheder er med implementeringen af ISO 27001.

Regeringen skærpede i den nationale strategi for cyber- og informationssikkerhed for 2022-2024 sit fokus på implementering af ISO 27001 i staten. Som led i strategien måler Digitaliseringsstyrelsen derfor hvert år, hvordan det går med implementeringen af standarden. Det foregår via såkaldte ISO-modenhedsmålinger. På baggrund heraf skal de myndigheder, som ikke har opnået et tilstrækkeligt modenhedsniveau, udarbejde handleplaner, der forelægges regeringen.

Hvorfor er det nødvendigt med modenhedsmålinger?

ISO-modenhedsmålinger tjener flere vigtige funktioner. For det første sikrer målingerne et nødvendigt og kontinuerligt ledelsesfokus på informationssikkerhed via blandt andet orienteringerne til regeringen om status på de enkelte ministerområder. For det andet giver målingerne et vigtigt billede af, hvordan det går med implementeringen, og hvor der er i særlig grad er behov for forbedringer. Dermed er målingerne med til vejlede myndighederne i deres videre arbejde med ISO 27001.

Hvornår er organisationen tilstrækkeligt moden?

Gennem et spørgeskema angiver de statslige myndigheder en egen-vurdering af modenhedsniveauet i organisationen inden for en række væsentlige områder af ISO 27001. Med modenhedsmålingen foretaget i 2023 er antallet af spørgeområder udvidet fra de hidtidige syv til ni:

  1.        Organisations kontekst
  2.        Lederskab
  3.        Planlægning
  4.        Support
  5.        Drift
  6.        Evaluering
  7.        Løbende forbedringer
  8.        Leverandørstyring
  9.        Beredskabsplaner

Modenhed måles på en skala fra 1 (”ad hoc”) til 5 (”optimeret”), hvor 1 er det laveste niveau. Det kendetegner en tilstand, hvor der ikke eksisterer et egentlig ledelsessystem for informationssikkerhed, og hvor sikkerhedsprocesser ikke er formaliserede, strukturerede eller ensartede.

For at kunne dokumentere et ønsket niveau af modenhed skal myndigheden som udgangspunkt befinde sig på minimum niveau 4 (”styret og målbar”) på alle ni spørgeområde.[1] Det betyder konkret, at der er et veletableret ledelsessystem for informationssikkerhed i organisationen, samt at der følges op og evalueres på de fleste af organisationens indsatser. I så fald vil myndigheden leve op til kravet om fuld implementering af ISO 27001.

 [1] På baggrund af en risikovurdering kan et lavere modenhedsniveau i særlige tilfælde vurderes tilstrækkeligt.

Modenhedsmålinger er nu årlige

Grundet, at handleforløb og udviklingsprocesser ofte løber over en længere periode, er ISO-modenhedsmålingerne siden 2023 fortaget årligt frem for halvårligt. 

Læs mere om arbejdet med implementering af ISO 27001 på sikkerdigital.dk 

Link til tidligere publikationer

Hent ISO-27001 spørgeskemaet (Excel) der ligger til grund for målingen

Ændringslog til spørgeskema