Styrket arbejde med informationssikkerhed i staten

Myndighederne skal professionalisere deres tilgang til informationssikkerhed ved systematisk at efterleve sikkerhedsstandarden ISO27001.

I cyber- og informationssikkerhedsstrategiens initiativ 1 - Styrket arbejde med informationssikkerhed i staten - har Digitaliseringsstyrelsens ansvaret for følgende projekter:

Guide til implementering af ISO27001

I september 2015 udgav Digitaliseringsstyrelsen en guide i implementering af ISO27001. Guide er retningsanvisende ift. til hvilke punkter, der skal opfyldes ifm. implementering af standarden. Guiden er publicerer på digst.dk.

Handlingsplan for Digitaliseringsstyrelsens fremadrettede arbejde

I marts 2015 har Digitaliseringsstyrelsen publiceret en handlingsplan for styrelsens fremadrettede arbejde med vejledninger og værktøjer til implementering af ISO27001. Handlingsplanen indeholder bl.a. udvidelse af Statens Informationssikkerhedsforum (SISF) og intensive workshopforløb med fokus på videndeling og erfaringsudveksling. Af handlingsplanen fremgår det også, at der udgives en række nye vejledninger i løbet af første halvår 2015. Handlingsplanen kan downloades her (pdf).

En statusopfølgning på implementeringen

Digitaliseringsstyrelsen sendte i september 2015 et spørgeskema med henblik på at gøre status over myndighedernes implementering af ISO27001. Spørgeskemaet indeholder en række spørgsmål om relevante basiskrav om ISO27001, herunder risikovurdering, sikkerhedspolitik mv. Derudover vil der ske en opfølgning på den endelige implementering i 2016.

Etablering af virtuelt videnscenter

I juni 2015 har Digitaliseringsstyrelsen publiceret et virtuelt videnscenter for "Implementering af ISO27001 i staten". Videnscenteret omfatter nyt materiale, herunder kommunikationsredskaber til ledelsesinvolvering for sikkerhedskoordinatorerne, rolle- og ansvarsbeskrivelse samt cases, der vil understøtte arbejdet med implementeringen af ISO-standarden. Digitaliseringsstyrelsens projekter fra cyber- og informationssikkerhedsstrategien (it-tilsynskoncept, vejledning i forenklet implementer mv.) vil desuden blive publiceret i videnscenteret.

Koncept for it-tilsyn i staten

Digitaliseringsstyrelsen udsendte i september 2015 et statsligt koncept for it-tilsyn, der kan understøtte ministeriernes it-tilsyn på eget ministerområde. Tilsynskonceptet vil give ministerierne konkrete anvisninger til deres egne interne tilsyn. Konceptet skal anvendes af alle ministerier, medmindre ministeriet kan dokumentere, at ministerområdet i forvejen følger et andet koncept for tilsyn målrettet deres særlige behov, og som er på samme niveau eller højere og kan argumentere for at bibeholde dette. Konceptet er publiceret på digst.dk.

Konceptet indeholder fastlæggelse af årshjul, tilsynsniveauer, organisering mv. Derudover indeholder det fastlæggelse af særlige fokusområder for tilsynet, herunder; udvalgte tekniske sikkerhedsforanstaltninger, efterlevelse af ISO27001, sikring mod cybertrusler, systematiske risikovurderinger, leverandørkontrakter og opfølgningen på disse mv.

I 2. kvartal 2016 gennemføres en opfølgning på alle ministeriernes tilsyn.