Nye styrelsers implementering af ISO27001

Nye styrelser er forpligtet til at implementere ISO27001 på lige fod med andre statslige styrelser og institutioner.

Det fremgår af cyber- og informationssikkerhedsstrategien 2015-16, at ISO27001 skal være implementeret af statslige myndigheder primo 2016.

Nye styrelser, der etableres efter 2016, kan i sagens natur ikke implementere ISO27001 bagudrettet, hvorfor spørgsmålet om tidshorisont og deadline for nye styrelsers implementering er blevet rejst.

Integrér ISO27001 i styringen i opstartsfasen

Ud fra en generel risikobetragtning vil det være hensigtsmæssigt, at ledelsen træffer beslutning om at implementere ISO27001 og lægger en handlingsplan for implementeringsarbejdet i forbindelse med etablering af den nye statslige institution. Dermed vil informationssikkerhed kunne blive integreret i den organisatoriske og ledelsesmæssige styring allerede i opstartsfasen, som er nødvendig for at etablere professionel styring af informationssikkerhed.

Arbejdet med implementering af ISO27001 er risikobaseret og afhænger altid af den enkelte organisation, dens kompleksitet, størrelse, arbejdsopgaver, kritikalitet af systemer og data mv. Den risikobaserede tilgang til informationssikkerheds­styring bevirker, at kravene til styring, opfølgning, planer mv. vil variere fra organisation til organisation og dermed have indflydelse på tidshorisonten for implementeringsarbejdet. Det skal præciseres, at arbejdet med informationssikkerhed er en kontinuerlig og iterativ proces, der fordrer løbende forbedring i takt med udvikling af modenhedsniveau.

Etablér organisatorisk styring og udarbejd implementeringsplan 

Der kan således ikke gives et entydigt svar på spørgsmålet om tidshorisont for implementeringsarbejdet. Det må dog forventes, at der umiddelbart etableres en organisatorisk ledelsesstruktur for styring af informationssikkerhed, og at der i den sammenhæng udarbejdes en implementeringsplan for arbejdet med ISO27001 som en integreret del af etableringen af en ny styrelse.

Som hjælp til arbejdet med ISO27001 har Digitaliseringsstyrelsen udarbejdet en guide til implementering af ISO27001, der koncentrerer sig om ti basispunkter, som er særligt centrale for at opfylde målet om implementering. Det skal dog understreges, at modellen ikke udgør en fyldestgørende liste over samtlige punkter i standarden. Den enkelte organisation har fortsat ansvaret for at følge de punkter og andre dele af ISO27001, der vurderes at være relevante.

Guiden er publiceret på digst.dk.