Nye styrelsers implementering af ISO 27001

Nye styrelser er forpligtet til at implementere ISO 27001 på lige fod med andre statslige styrelser og institutioner.

Det fremgår af cyber- og informationssikkerhedsstrategien 2018-21, at ISO 27001 standarden skal implementeres af alle statslige myndigheder.

Integrér ISO 27001 i styringen i opstartsfasen

Ud fra en generel risikobetragtning vil det være hensigtsmæssigt, at ledelsen træffer beslutning om at implementere ISO 27001 og lægger en handlingsplan for implementeringsarbejdet i forbindelse med etablering af den nye statslige institution. Dermed vil informationssikkerhed kunne blive integreret i den organisatoriske og ledelsesmæssige styring allerede i opstartsfasen, som er nødvendig for at etablere professionel styring af informationssikkerhed.

Risikobaseret tilgang

Arbejdet med implementering af ISO 27001 er risikobaseret og afhænger altid af den enkelte organisation, dens kompleksitet, størrelse, arbejdsopgaver, kritikalitet af systemer og data mv. Den risikobaserede tilgang til informationssikkerheds­styring bevirker, at kravene til styring, opfølgning, planer mv. vil variere fra organisation til organisation og dermed have indflydelse på tidshorisonten for implementeringsarbejdet. Det skal præciseres, at arbejdet med informationssikkerhed er en kontinuerlig og iterativ proces, der fordrer løbende forbedring i takt med udvikling af modenhedsniveau.

Etablér organisatorisk styring og udarbejd implementeringsplan

Der kan således ikke gives et entydigt svar på spørgsmålet om tidshorisont for implementeringsarbejdet. Det må dog forventes, at der umiddelbart etableres en organisatorisk ledelsesstruktur for styring af informationssikkerhed, og at der i den sammenhæng udarbejdes en implementeringsplan for arbejdet med ISO 27001 som en integreret del af etableringen af en ny styrelse.

Kom godt i gang på sikkerdigital.dk

Som hjælp til arbejdet med ISO 27001 har Digitaliseringsstyrelsen udarbejdet en række vejledninger til implementering af ISO 27001.

Læs mere om ISO 27001 og vejledninger til implementering på sikkerdigital.dk/myndighed