Du er her

Digitaliseringsstyrelsens arbejde med cyber- og informationssikkerhed

Strategien for cyber- og informationssikkerhed udkom tirsdag d. 16. december. Den indeholder i alt 27 initiativer. Digitaliseringsstyrelsen er ansvarlig for seks af initiativerne, som styrelsen allerede er i gang med at føre ud i livet. De primære formål med de seks initiativer, som Digitaliseringsstyrelsen er ansvarlig for, er at hæve sikkerhedsniveauet på tværs af hele staten.

Digitaliseringsstyrelsen er ved at udarbejde handlingsplaner for de seks initiativer, der skal håndteres i 2015 og 2016, og vil inddrage relevante eksterne interessenter for at sikre input fra eksperter og fagfolk til at løse udfordringerne på bedste vis.

Digitaliseringsstyrelsens seks initiativer i strategien

  1. Implementering af sikkerhedsstandarden ISO27001 og et skærpet it-tilsyn
  2. Sikkerhedsmæssig risikovurdering i offentlige it-projekter
  3. Fællesoffentlig koordinering af informationssikkerhed
  4. Sikkerhedsmæssige krav i udbud og ved indgåelse af kontrakter på it-området
  5. Løbende opfølgning på den sikkerhedsmæssige leverandørstyring
  6. Højere sikkerhedsbevidsthed blandt borgere

Af de seks initiativer er det vigtigste implementering af sikkerhedsstandarden ISO27001. De statslige myndigheder skal have sikkerhed ind under huden i de daglige processer og arbejde systematisk med sikkerhed. Det skal ske ved, at myndighederne implementerer den internationalt anerkendte sikkerhedsstandard ISO27001 primo 2016. De statslige myndigheder er allerede i gang med arbejdet, og Digitaliseringsstyrelsen understøtter myndighedernes implementering med vejledninger og værktøjer.

Resultatet vil være, at alle myndigheder opbygger faste processer, der sikrer højt ledelsesfokus på informationssikkerhed. Blandt andet skal der udføres systematiske risikovurderinger og etableres en organisering, hvor topledelsen inddrages i sikkerhedsmæssige prioriteringer. Herved kommer sikkerhedsarbejdet ind i helt faste rammer i myndigheden og bliver tænkt ind i alle sammenhænge. Derved bliver en myndighed bedre til fx at opdage sårbarheder, sådan at der forhåbentlig vil komme færre konkrete sikkerhedshændelser, hvor borgerdata udstilles.

I naturlig forlængelse af arbejdet med ISO27001 er det vigtigt, at der føres et grundigt it-tilsyn med informationssikkerheden på ministerområderne. Det er de enkelte ministerier, der selv skal føre dette it-tilsyn, og Digitaliseringsstyrelsen vil udarbejde et fælles koncept, som alle skal bruge, med mindre særlige omstændigheder gør sig gældende. Digitaliseringsstyrelsen vil inddrage relevante interessenter i dette arbejde særligt gennem Statens Informationssikkerhedsforum (SISF).

Et andet vigtigt initiativ handler om øget sikkerhedsbevidsthed. Det er vigtigt, at alle danskere har den fornødne viden om sikkerhed, og derfor styrkes informationsindsatsen over for alle danskere. Der skal gennemføres en informationssikkerhedskampagne rettet mod borgere og virksomheder og laves en indsats om it-sikkerhed i folkeskolen. I dette arbejde er det vigtigt, at interessenter med en bred kontaktfalde i landet arbejder sammen, og derfor vil Digitaliseringsstyrelsen arbejde med at gennemføre disse indsatser i samarbejde med relevante offentlige og private parter.

Kampagnen vil øge borgeres og virksomheders bevidsthed om relevante sikkerhedstrusler, så de bedre kan beskytte data og udstyr. Fx ved ikke at udlevere kontooplysninger til kriminelle, som forsøger at lokke sådanne oplysninger fra borgere. Det er et samarbejde, hvor de enkelte borgere og virksomheder også har et ansvar.