Få statslige myndigheder i mål med obligatorisk sikkerhedsstandard

Illustration: tashatuvango/bigstockphoto.com
Kun 16 ud af 109 statslige myndigheder har opnået fuld implementering af ISO-standarden 27001, som en den statslige sikkerhedsstandard

En ny rapport baseret på en måling fra august 2018 viser, at der fortsat er et stykke vej, før de statslige myndigheder er helt i mål med implementeringen af ISO 27001.

Rapporten er lavet af Digitaliseringsstyrelsen, som hvert halve år gennemfører en måling baseret på 109 statslige myndigheders egne vurderinger af, hvor langt de er kommet med arbejdet, fx om der arbejdes systematisk med risikovurderinger, leverandørstyring og beredskabsplaner.

Her kan man læse at kun 15 procent af de statslige myndigheder har opnået fuld implementering, mens 34 myndigheder, hvilket svarer til 31 procent, er tæt på fuld implementering.

Læs også: Kommunerne overset i ny cyberstrategi

39 myndigheder skraber bunden

For at opnå fuld implementering af ISO-standarden skal myndigheder i målingen på en skala fra 1-5 opnå et modenhedsniveau på minimum 4. Myndighederne bliver målt på syv væsentlige kriterier, blandt andet leverandør-, og risikostyring, beredskabsplaner og politik for informationssikkerhed.

I bunden finder man 39 myndigheder, svarende til 36 procent, som fortsat kun har en modenhed på 1 eller 2 på mere end ét område, og hvor der derfor udestår en væsentlig implementeringsopgave.

Digitaliseringsstyrelsen skriver at det ikke er muligt at sammenligne målingerne fra 2017 med de nye målinger fra 2018, da både spørgsmål og metode er forskellige, og derfor er det også svært at sige noget klart om udviklingen i de statslige myndigheders måde at håndtere ISO 27001.

Illustration: Digitaliseringsstyrelsen

Regeringen har med den nationale strategi for cyber- og informationssikkerhed fra maj 2018 sat skærpet fokus på området. Som en del af strategien vil Digitaliseringsstyrelsen hvert halve år måle på, hvordan det går med de statslige myndigheders ISO-implementering, og de myndigheder, der ikke er helt i mål, skal udarbejde handleplaner.

»Det er Digitaliseringsstyrelsens indtryk, at myndighederne arbejder seriøst og målrettet med implementeringen af ISO 27001. Målingen viser dog også, at der fortsat udestår et arbejde med at få standarden fuldt implementeret i de fleste myndigheder, og det forudsætter en prioriteret indsats og et fortsat stort ledelsesmæssigt fokus, for at alle kan komme helt i mål, « siger Rikke Hougaard Zebergm, direktør i Digitaliseringsstyrelsen i en pressemeddelelse.

ISO-målingen viser, at de statslige myndigheder særligt skal blive bedre til leverandørstyring, til at løfte medarbejdernes kompetencer og bevidsthed inden for informationssikkerhed, samt løbende at evaluere og måle på deres indsatser med at løfte informationssikkerheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Så vidt jeg erindrer var det senest i 2016 at statens myndigheder skulle være ISO27001 compliant. Tankevækkende!
Måske derfor vi næsten dagligt hører om sikkerhedshændelser, brist og sjusket omgang med befolkninges personfølsomme data?

  • 3
  • 0
Henrik Hansen

Det er Digitaliseringsstyrelsens indtryk, at myndighederne arbejder seriøst og målrettet med implementeringen af ISO 27001.

Og det er mit indtryk at myndighedernes kontor- digitaliserings- og IT-chefer arbejder seriøst og målrettet på at overbevise Digitaliseringsstyrelsen om, at de er i fuld gang med at implementere ISO 27001.

Jeg har sgu aldrig været på, set eller hørt om et offentligt kontor, hvor ledelsen havde stillet ISO 2700x standarderne til rådighed for medarbejderne, hverken i papir eller digital form.

Hvad snakker i om? De koster jo penge..?

  • 1
  • 0
Log ind eller Opret konto for at kommentere