Du er her

Ledelsens engagement er altafgørende for informationssikkerheden

ISO27001 er en international standard til styring af informationssikkerhed. ISO'en er valgt som statslig sikkerhedsstandard og har været obligatorisk at følge for statslige institutioner siden januar 2014. Det er helt essentielt for informationssikkerhedsstyring, at ledelsen går forrest og tager ansvar.

ISO27001 er grundlæggende systematisk sund fornuft i sin tilgang til styring af informationssikkerhed. Standarden giver en systematik, som kan indpasses i organisationens normale processer og dermed ikke nødvendigvis bliver den uovervindelige byrde, som mange anser det for at være.

Afgørende for at man lykkes med informationssikkerhedsstyring er, at ledelsen er engageret i arbejdet.

Guide til implementering
For at lette arbejdet med at implementere ISO27001 og skabe en forståelse for, hvad der er nødvendigt at gøre for at skabe professionel ledelsesmæssig styring af informationssikkerhed efter standardens principper, har Digitaliseringsstyrelsen udgivet ”Guide til implementering af ISO27001”.

Guiden beskriver en forenklet model til implementering af ISO27001 og koncentrerer sig særligt om ti centrale punkter fra standarden om bl.a. kriterier for ledelsens engagement og involvering i styring af informationssikkerheden.

Nyt tilsynskoncept
Digitaliseringsstyrelsen har i september publiceret et nyt tilsynskoncept, der skal understøtte og højne ministeriernes arbejde med informationssikkerhed og implementeringen af ISO27001.

Det overordnede formål med at føre tilsyn med informationssikkerhed er at tilse og vurdere styringen af informationssikkerheden i bred forstand, dvs. i forhold til institutionens organisatoriske størrelse, opgavernes karakter og den strategiske, politiske og økonomiske betydning.

Hvordan foregår tilsynet?
Tilsynet baseres på en dialog mellem den tilsynsførende og institutionen, fx ved besvarelse af en spørgeramme om organisationens forskellige forpligtelser, fx dokumentation for den organisatoriske styring af informationssikkerhed, interne politikker og retningslinjer og andre krav fra ISO27001.

Herefter følger et tilsynsmøde, hvor tilsynet kan få uddybet svarene og spørge ind til evt. uklarheder. Tilsynet kan således bruges som en lejlighed til at få informationssikkerheden review’et og have dialog om, hvor der skal sættes særligt ind, og hvordan forbedringstiltag kan løftes.  Det giver tilsynet et mere proaktivt sigte i modsætning til fx revisionsbesøg, der af mange betragtes som en bagudskuende proces.

Tilsynet afsluttes med en rapportering til ledelsen, som derved får det nødvendige indblik i, hvordan det står til med informationssikkerheden.

Professionalisering og styrket it-tilsyn
Tilsynskonceptet er udviklet i samarbejde med en referencegruppe bestående af en række statslige partnere og observatører. Det samlede tilsynskoncept indeholder en overordnet forpligtende vejledning og en understøttende vejledning, der ikke er forpligtende.

Selve konceptet erstatter en vejledning om tilsyn, der blev udgivet af IT- og Telestyrelsen i 2005.