En ny rapport baseret på en måling fra august 2018 viser, at der fortsat er et stykke vej, før de statslige myndigheder er helt i mål med implementeringen af ISO 27001.
Rapporten er lavet af Digitaliseringsstyrelsen, som hvert halve år gennemfører en måling baseret på 109 statslige myndigheders egne vurderinger af, hvor langt de er kommet med arbejdet, fx om der arbejdes systematisk med risikovurderinger, leverandørstyring og beredskabsplaner.
Her kan man læse at kun 15 procent af de statslige myndigheder har opnået fuld implementering, mens 34 myndigheder, hvilket svarer til 31 procent, er tæt på fuld implementering.
Læs også: Kommunerne overset i ny cyberstrategi
39 myndigheder skraber bunden
For at opnå fuld implementering af ISO-standarden skal myndigheder i målingen på en skala fra 1-5 opnå et modenhedsniveau på minimum 4. Myndighederne bliver målt på syv væsentlige kriterier, blandt andet leverandør-, og risikostyring, beredskabsplaner og politik for informationssikkerhed.
I bunden finder man 39 myndigheder, svarende til 36 procent, som fortsat kun har en modenhed på 1 eller 2 på mere end ét område, og hvor der derfor udestår en væsentlig implementeringsopgave.
Digitaliseringsstyrelsen skriver at det ikke er muligt at sammenligne målingerne fra 2017 med de nye målinger fra 2018, da både spørgsmål og metode er forskellige, og derfor er det også svært at sige noget klart om udviklingen i de statslige myndigheders måde at håndtere ISO 27001.
Regeringen har med den nationale strategi for cyber- og informationssikkerhed fra maj 2018 sat skærpet fokus på området. Som en del af strategien vil Digitaliseringsstyrelsen hvert halve år måle på, hvordan det går med de statslige myndigheders ISO-implementering, og de myndigheder, der ikke er helt i mål, skal udarbejde handleplaner.
»Det er Digitaliseringsstyrelsens indtryk, at myndighederne arbejder seriøst og målrettet med implementeringen af ISO 27001. Målingen viser dog også, at der fortsat udestår et arbejde med at få standarden fuldt implementeret i de fleste myndigheder, og det forudsætter en prioriteret indsats og et fortsat stort ledelsesmæssigt fokus, for at alle kan komme helt i mål, « siger Rikke Hougaard Zebergm, direktør i Digitaliseringsstyrelsen i en pressemeddelelse.
ISO-målingen viser, at de statslige myndigheder særligt skal blive bedre til leverandørstyring, til at løfte medarbejdernes kompetencer og bevidsthed inden for informationssikkerhed, samt løbende at evaluere og måle på deres indsatser med at løfte informationssikkerheden.
