Eksterne krav til informationssikkerhed

De eksterne krav til informationssikkerhed kommer fra lovgivning (love, bekendtgørelser, cirkulærer, etc.), kontrakter, samarbejdsaftaler og lignende. I forhold til staten er der yderligere begrebet ”god forvaltningsskik”.

Det vil for de fleste institutioners vedkommende være nødvendigt for overholdelse af loven, at man løbende sikrer sig, at informationshåndteringen i den enkelte institution lever op til disse krav.

Institutioner i den offentlige forvaltning har tre grundlæggende udfordringer i forhold til samspillet mellem lovgivning og informationssikkerhed:
  • At skabe sig et overblik over, hvilke love og forskrifter der stiller krav til informationssikkerheden 
  • At tilrettelægge informationssikkerheden, så forskrifterne efterleves 
  • At indrette den digitale forvaltnings informationssikkerhed, så det juridiske grundlag for elektronisk indgåelse af aftaler og udveksling af information opfyldes. 
Lovgivningen udgør sammen med ISO27001 de basale krav til informationssikkerhed i staten.

Informationssikkerhed i lovgivningen

Ledelsen er forpligtet til i den enkelte institution at sikre overholdelse af loven. Ledelsen kan uddelegere de daglige opgaver til en informationssikkerhedskoordinator eller tilsvarende person, men ansvaret kan ikke uddelegeres, og det vil stadig være ledelsens ansvar at tilse, at loven overholdes.

I lovgivningen stilles nogle gange krav om eksempelvis ansvarlighed, forsvarlighed og god forvaltningsskik, herunder god databehandlingsskik. Det er begreber, som kræver en konkret vurdering. Ofte udarbejdes der derfor vejledninger, som tydeliggør kravene og formålet med disse.

Som statslig institution står man ikke desto mindre ofte med et ansvar for at vurdere, hvad der i lovens henseende og den givne situation kan opfattes som forsvarligt.

Udover gældende lovgivning findes en række principper for god forvaltningsskik, som navnlig har udviklet sig på grundlag af udtalelser fra Folketingets Ombudsmand. Principperne for god forvaltningsskik er udtryk for, at offentlige myndigheder bl.a. skal sikre en effektiv og god sagsbehandling og optræde på en måde, der giver borgerne tillid til den offentlige forvaltning. Dette gælder også overholdelse af god databehandlingsskik, idet borgernes tryghed sikres gennem det offentliges overholdelse af lovgivning, sikring af akkurate og fuldstændige informationer og beskyttelse af informationer mod afsløring og uautoriseret anvendelse.