Universitet måtte omskrive ulæselig offentlig sikkerhedsstandard
Se indførelsen af DS484 fra den positive side, lyder rådet fra it-sikkerhedschefen på Aalborg Universitet, Jens Sandberg Andersen. Her har de en central it-afdeling samt omkring 20 mindre it-afdelinger, fordelt rundt på universitetets institutter.
»Det har været et rigtig stort arbejde, synes vi. Så det har været vigtigt for os at få folk rundt omkring til at synes, at de selv fik gavn af det, og at det ikke bare var endnu en kontrolproces fra statens side,« siger han.
DS484 er en dansk standard for, hvordan it-sikkerhedsarbejdet skal foregå og dokumenteres. En slags checkliste for alle de områder, der skal være styr på for at have et højt niveau af it-sikkerhed.
Pixiebog
For at gøre standarden mere spiselig fik den centrale it-afdeling på universitetet skrevet indholdet om til en mere lettilgængelig håndbog, og alene denne del af arbejdet trak tænder ud, husker it-sikkerhedschefen.
»Den første udgave af DS484 fra år 2000 var ikke ret god, syntes vi. Så vi lavede vores egen lokale version og skrev den om til noget, som folk gad at læse,« forklarer Jens Sandberg Andersen.
Senere i forløbet kom så en nyere version, men da var det nærmest for sent, for på det tidspunkt var der ikke længe til deadline, lyder det fra it-sikkerhedschefen.
Fik løst gamle opgaver
Der er også kommet andre resultater ud af sliddet. Nogle af opgaverne var noget, som måske i forvejen stod på to-do-listen, og nu kom der så krav om, at det blev gjort.
»En del af arbejdet har også været overvejelser, som vi har gjort os den gang, vi designede systemerne, for eksempel en risikovurdering. Så vi har tænkt det i forvejen, men nu har vi været nødt til at skrive det ned, og det har været nyttigt for os,« siger Jens Sandberg Andersen.
Med alting skrevet ned har det også været en del nemmere at gøre den interne revision tilfreds, når den kom forbi og skulle tjekke, at der var styr på tingene. Og så har indførelsen af DS484 i øvrigt medført, at de mindste afdelinger blev droppet.
»De mindste af vores it-afdelinger havde svært ved at få gennemført DS484, så det har ført til, at vi har lagt dem sammen. Det var en proces, som var nødvendig, som så blev fremmet af indførelsen,« forklarer Jens Sandberg Andersen.
Kommentarer (3)
Det kunne være fedt, hvis de lagde deres "pixiebog" ud til download (hvis de må - DS tjener jo penge på at sælge standarden i PDF-kopi).
-
0 -
0
KU har gjort præcis det samme som AAU. Der skal man være logget ind før man kan se den.
Du kan finde pixiebogsudgaven her:
http://informationssikkerhed.ku.dk/informationssikkerhed/is-manualer/
-
0
-
0
Som it-sikkerhedsleder på KU er jeg nødt til at præcisere, at vi har ikke omskrevet DS484!, det er der heller ikke brug for.
Der henvises til de læselet udgaver vi har lavet for vore forskellige brugere, så disse på en let og hurtig måde kan blive orienteret om hvordan de skal gebærde sig, når de anvende KU´s IT og informationer.
Det er rigtigt at der i det lukkede PUNKT KU findes en større håndbog, der er opbygget på præcis samme måde som DS484:2005. At håndbogen ligger i det lukkede rum, skyldes at der er direkte referancer til DS484:2005 teksten, og den må vi ikke offentliggøre, men kun bruge indenfor vort område.
Jeg må desværre også sige at jeg er lodret uenig i at standarden ikke er god. Det er en rigtig god og fornuftig standard, der brugt med omhu sagtens kan anvendes i et universitetsmiljø.
-
0
-
0
