Vi samler statistik ved hjælp af cookies for at forbedre brugeroplevelsen.

Vi begynder dog først, når du klikker dig videre til næste side.

Læs mere om cookies

 

Ny strategi: Digitaliseringsstyrelsens arbejde med seks vigtige indsatser

03-02-2015 Digitaliseringsstyrelsen

Strategien for cyber- og informationssikkerhed udkom tirsdag d. 16. december. Den indeholder i alt 27 initiativer. Digitaliseringsstyrelsen er ansvarlig for seks af initiativerne, som styrelsen allerede er i gang med at føre ud i livet.

De primære formål med de seks initiativer, som Digitaliseringsstyrelsen er ansvarlig for, er at hæve sikkerhedsniveauet på tværs af hele staten. Digitaliseringsstyrelsen er ved at udarbejde handlingsplaner for de seks initiativer, der skal håndteres i 2015 og 2016, og vil inddrage relevante eksterne interessenter for at sikre input fra eksperter og fagfolk til at løse udfordringerne på bedste vis.

Digitaliseringsstyrelsens seks initiativer i strategien

  1. Implementering af sikkerhedsstandarden ISO27001 og et skærpet it-tilsyn
  2. Sikkerhedsmæssig risikovurdering i offentlige it-projekter
  3. Fællesoffentlig koordinering af informationssikkerhed
  4. Sikkerhedsmæssige krav i udbud og ved indgåelse af kontrakter på it-området
  5. Løbende opfølgning på den sikkerhedsmæssige leverandørstyring
  6. Højere sikkerhedsbevidsthed blandt borgere


Øget informationssikkerhed via sikkerhedstandarden ISO27001

Af de seks initiativer er det vigtigste implementering af sikkerhedsstandarden ISO27001. De statslige myndigheder skal have sikkerhed ind under huden i de daglige processer og arbejde systematisk med sikkerhed. Det skal ske ved, at myndighederne implementerer den internationalt anerkendte sikkerhedsstandard ISO27001 primo 2016. De statslige myndigheder er allerede i gang med arbejdet, og Digitaliseringsstyrelsen understøtter myndighedernes implementering med vejledninger og værktøjer.

Resultatet vil være, at alle myndigheder opbygger faste processer, der sikrer højt ledelsesfokus på informationssikkerhed. Blandt andet skal der udføres systematiske risikovurderinger og etableres en organisering, hvor topledelsen inddrages i sikkerhedsmæssige prioriteringer. Herved kommer sikkerhedsarbejdet ind i helt faste rammer i myndigheden og bliver tænkt ind i alle sammenhænge. Derved bliver en myndighed bedre til fx at opdage sårbarheder, sådan at der forhåbentlig vil komme færre konkrete sikkerhedshændelser, hvor borgerdata udstilles.

I naturlig forlængelse af arbejdet med ISO27001 er det vigtigt, at der føres et grundigt it-tilsyn med informationssikkerheden på ministerområderne. Det er de enkelte ministerier, der selv skal føre dette it-tilsyn, og Digitaliseringsstyrelsen vil udarbejde et fælles koncept, som alle skal bruge, med mindre særlige omstændigheder gør sig gældende. Digitaliseringsstyrelsen vil inddrage relevante interessenter i dette arbejde særligt gennem Statens Informationssikkerhedsforum (SISF).

Information til borgere og virksomheder

Et andet vigtigt initiativ handler om øget sikkerhedsbevidsthed. Det er vigtigt, at alle danskere har den fornødne viden om sikkerhed, og derfor styrkes informationsindsatsen over for alle danskere. Der skal gennemføres en informationssikkerhedskampagne rettet mod borgere og virksomheder og laves en indsats om it-sikkerhed i folkeskolen. I dette arbejde er det vigtigt, at interessenter med en bred kontaktfalde i landet arbejder sammen, og derfor vil Digitaliseringsstyrelsen arbejde med at gennemføre disse indsatser i samarbejde med relevante offentlige og private parter.

Kampagnen vil øge borgeres og virksomheders bevidsthed om relevante sikkerhedstrusler, så de bedre kan beskytte data og udstyr. Fx ved ikke at udlevere kontooplysninger til kriminelle, som forsøger at lokke sådanne oplysninger fra borgere. Det er et samarbejde, hvor de enkelte borgere og virksomheder også har et ansvar.

Læs Strategi for cyber- og informationssikkerhed (pdf).

Initiativ   Formål  Effekt 
1. Implementering af sikkerhedsstandarden ISO27001 og et skærpet it-tilsyn
Professionalisering af informationssikkerhed
Herved kommer sikkerhedsarbejdet ind i helt faste rammer i myndigheden og bliver tænkt ind i alle sammenhænge. Derved bliver en myndighed bedre til fx at opdage sårbarheder, sådan at der forhåbentlig vil komme færre konkrete sikkerhedshændelser, hvor borgerdata udstilles.
2. Sikkerhedsmæssig risikovurdering i offentlige it-projekter
Indførsel af den sikkerhedsmæssige risikovurdering i it-projekter
Herved vil man på baggrund af en risikobetragtning håndtere projektets alvorlige risici. Derved kan man bygge it-løsninger, som er bedre sikret, og minimere sikkerhedsbrister, som fx tab af data.
3. Fællesoffentlig koordinering af informationssikkerhed
Bedre fællesoffentlig koordinering, videndeling og hændelseshåndtering
Hvis en hændelse opdages et sted, vil viden om denne blive bredt ud i det offentlige, og flere vil kunne beskytte sig mod lignende hændelser. Derved kan man minimere læk af forretningskritiske data.
4. Sikkerheds-mæssige krav i udbud og ved indgåelse af kontrakter på it-området
Sikring af systematiske sikkerhedskrav i it-udbud og kontrakter
Effekten for det offentlige er, at vi har et ensartet sikkerhedsniveau i staten. Dette vil betyde, at alle it-kontrakter får de relevante sikkerhedskrav indarbejdet. Dermed kan man mindske sikkerhedshændelser. For leverandørerne er effekten, at de kan standardisere deres arbejde med sikkerhed for det offentlige.
5. Løbende opfølgning på den sikkerhedsmæssige leverandørstyring
Løbende opfølgning på krav til eksterne leverandører
Herved sørges der for, at leverandøren lever op til de sikkerhedsmæssige krav, der er i kontrakter, og sandsynligheden for, at der opstår en ny ”CSC-sag”, mindskes.
6. Højere sikkerhedsbevidsthed blandt borgere og virksomheder
Øget sikkerhedsbevidsthed blandt borgere og virksomheder i Danmark
Borgere og virksomheder bliver mere bevidste om relevante sikkerhedstrusler og kan bedre beskytte data og udstyr. Fx ved ikke at udlevere kontooplysninger til kriminelle, som forsøger at lokke sådanne oplysninger fra borgere. Det er et samarbejde, hvor de enkelte borgere og virksomheder også har et ansvar.