Du er her

Bedre informationssikkerhed via ISO standard

Et af Digitaliseringsstyrelsens initiativer i strategien for cyber- og informationssikkerhed er implementering af sikkerhedsstandarden ISO27001. Blandt andet derfor publicerer Digitaliseringsstyrelsen ultimo februar tre opdaterede vejledninger om informationssikkerhed, som giver gode råd til etablering af informations-sikkerhedsstyring, informationssikkerhedspolitik samt it-risikostyring og -vurdering.

Samtidig er værktøjet til selvevaluering i forhold til ISO27001-implementering opdateret med en række spørgsmål om rolle - og ansvarsfordeling i relation til it-beredskabet. Desuden er der tilføjet elementer som databehandleraftaler, logning, ændringsstyring og rapportering af sikkerhedshændelser i relation til leverandørstyring.

I sommeren 2014 frikøbte Digitaliseringsstyrelsen brugsretten til ISO-standarden for alle danske statslige institutioner. Det gjorde det muligt for institutionerne at få tilsendt ISO27001-standarden kvit og frit hos Dansk Standard og bruge den i det interne sikkerhedsarbejde, fx som grundlag for interne vejledninger eller til distribution inden for egne institutioner.

Aftalen gælder frem til og med udgangen af 2015, hvor Dansk Standard bl.a. forpligter sig til at distribuere og vedligeholde standarden. Herefter har statens institutioner fortsat ret til at anvende de aftalte versioner af ISO-standarderne, men kan ikke længere få den tilsendt gratis.

Indtil videre har knap 70 statslige institutioner benyttet sig af muligheden for at få ISO-standarden. Digitaliseringsstyrelsen forventer, at antallet af institutioner, der benytter sig af frikøbet af ISO-standarden vil stige i løbet af 2015. Det skyldes blandt andet, at regeringens strategi for cyber- og informationssikkerhed fremhæver implementeringen af ISO-standarden som kernen i indsatsen for at professionalisere det statslige arbejde med cyber- og informationssikkerhed i de statslige myndigheder.

Formålet med ISO-standarderne er at skabe en bedre styring af arbejdet med informationssikkerhed. Siden januar 2014 har det været obligatorisk for alle statslige institutioner at følge standarden.