Forslag om øget it-kontrol i det offentlige: »Det her stykke arbejde SKAL laves«

Står det til Rådet for Digital Sikkerhed, så skal blandt andet kommunerne forpligtes til at arbejde efter ISO27701-standarden. Her ses Aarhus rådhus - tegnet af arkitekterne Arne Jacobsen og Erik Møller Illustration: Rie/Bigstock
Offentlige myndigheder bør alle arbejde efter endnu en ISO-standard, mener Rådet for Digital Sikkerhed. Formålet er at lette arbejdet med GDPR, men myndighederne er fortsat på sjette år ikke tilnærmelsesvis lykkedes med at implementere en nuværende obligatorisk ISO-sikkerhedsstandard.

»Der udestår fortsat et arbejde med implementering af standarden for største delen af myndighederne.« Det konstaterede Digitaliseringsstyrelsen ved sidste måling af, hvor langt de offentlige myndigheder var kommet med at indarbejde sikkerhedsstandarden ISO27001, der er en af standarderne for, hvordan man styrer informationssikkerhed i en organisation.

Konklusionen var, at kun 41 procent af myndighederne har opnået en fuld implementering af standarden, der blev obligatorisk i 2014 og skulle have været implementeret to år senere.
Men bedst som en anden tredjedel af myndighederne nu registrerer fremgang i arbejdet med ISO27001, står Rådet for Digital Sikkerhed parat med et forslag om, at endnu en ISO-standard skal gøres lovpligtig.

»Kommunerne skal i mål med GDPR uanset hvad. Det er jo en lov. Uanset, hvordan man vender og drejer det, så skal det her stykke arbejde laves. ISO27701 er bare en metode, der kan hjælpe dem med at strukturere det her arbejde og gøre det nemmere. Derfor nytter det ikke noget at tale om, hvorvidt det offentlige kommer i mål. For de skal de. De skal være compliant med lovgivningen,« siger Henning Mortensen, der er formand for Rådet for Digital Sikkerhed og it-sikkerhedschef hos byggevarergrossisten AO Johansen.

Illustration: Rådet for Digital Sikkerhed

I kraft af sin rolle som formand for rådet ser Henning Mortensen et utal af fordele i, at man på myndighedsniveau også tvinges til at implementere ISO27701, der er en overbygning til ISO27001, som det offentlige altså i forvejen bøvler med.

Overbygningen oversætter nemlig GDPR til nogle kontroller, som ligner dem fra ISO27002, og på den måde kan man så at sige integrere GDPR-arbejdet i sit eksisterende sikkerheds-framework, forklarer formanden og uddyber:

»Alternativet er, at man læser 27001/2 for sig og GDPR for sig. Så har man ikke det samme framework, men selvfølgelig kan man selv læse og oversætte GDPR og høste gevinsterne. Men med ISO27701 har andre tygget tingene for en.«

Læs også: Sikkerhedsekspert om CFCS’ ISO-bommert: Umuligt at sige, om det er alvorligt eller ej

Indsatsen kan ensartes

Formålet med anbefalingen af en fælles obligatorisk ISO-standard for arbejdet med udgangspunkt i persondataforordningen er, at man derigennem opnår en strømlinet indsats, for myndighederne på tværs af det offentlige. En fælles standard vil, ifølge rådets formand, gøre en ende på den særegen tolkning af, hvordan arbejdet med GDPR rent faktisk skal gøres.

»Der vil ikke komme så meget skuddermudder og fortolkning mellem sikkerhed og jura, om hvad vi skal gøre,« siger Henning Mortensen og fortsætter:

»Ved at gøre det på den her måde, gør alle det ens. Når man så skal auditere, så ved alle, hvordan det forventes, at det bliver gjort. Så undgår man skævheder, hvor den ene kommune gør tingene på en måde og en anden gør det på en anden måde.«

Det har da heller ikke sjældent været netop kommunerne, der har modtaget kritik, når Datatilsynet har behandlet sager. Her kan man blandt andet nævne Kolding Kommune, der tidligere på året modtog alvorlig kritik for manglende kontrolforanstaltninger.

Læs også: Rådet for Digital Sikkerhed: Ny ISO-standard kan lette GDPR i kommunerne

Det offentlige kæmper fortsat

Fordelene ved en fælles standard kan dog virke en kende fjerne. For som tidligere nævnt, kæmper myndighederne i høj grad fortsat med at implementere ISO27001, der ligger til grund for den overbygning, som det nu anbefales skal gøres obligatorisk.

Den standard blev gjort obligatorisk for offentlige myndigheder at følge for seks år siden, men mange myndigheder er fortsat ikke færdige med implementeringen. For at følge den lettere nølende implementering, valgte man fra Digitaliseringsstyrelsen side i 2018 hvert halve år at udgive en rapport, der måler, hvordan det går med arbejdet. Og det er er ikke just opmuntrende læsning.

Læs også: Fire år forsinket: Danske myndigheder kæmper fortsat med ISO27001-implementering

For blot 35 procent oplever fremgang i implementeringen, og 12 procent af myndighederne registrerer en decideret tilbagegang i arbejdet. Modenhedsniveauet er altså for tilbagegående for mere end hver tiende offentlige myndighed.

»Efterfølgende dialog med myndighederne tegner et billede af, at det blandt andet skyldes en fortsat øget erkendelse af omfanget og kompleksiteten af implementeringen af ISO-standarden,« skriver Digitaliseringsstyrelsen i sin seneste rapport, der bygger på svar fra 18 ministerområder og 117 statslige myndigheder i februar.

Erkender arbejdsbyrden

Det er derfor heller ikke fjernt at forestille sig, at anbefalingen om endnu en obligatorisk standard ikke i første ombæring lander blandt en jublende forsamling af offentlige myndigheder.

Alligevel afviser Henning Mortensen, at det skulle være omsonst at pålægge det offentlige at følge endnu en ISO-standard, når myndighederne i forvejen har rigeligt besvær med at efterleve den nuværende obligatoriske standard.

»Det er ikke bare mere papirarbejde. Det er et redskab til at komme i mål med at skabe en god sikkerhed i sin organisation. Det er ikke et spørgsmål om at lave mere papirarbejde, som en eller anden auditør så kan kigge på. Det er et spørgsmål om at have nogle forholdsvis veldefinerede mål, som man skal opnå. Man får en tjekliste til sit arbejde ved at gå frem efter den her standard.«

Men kan man ikke forestille sig, at endnu en obligatorisk ISO-standard vil blive et uoverstigeligt arbejde for eksempelvis de mindre kommuner?

»Jo, det kan man sagtens. Der er ingen tvivl om, at de her frameworks – både ISO27001, ISO27002 og ISO27701 er store frameworks. Det kræver, at man har nogle folk ansat, der ved, hvordan man arbejder med det her. Men det er det også, hvis man skal arbejde med ISO27001/2 og GDPR parallelt. Begge dele kræver, at der bliver sat nogle resurser af til det. Det kommer man ikke uden om. Det vil være sværere for de små enheder at komme i mål end de store enheder. Men de små enheder har så samtidig en lavere grad af kompleksitet end de store«

Men grundlæggende er kommunernes opgaver er vel de samme - uanset om det drejer sig om Aarhus, Dragør eller Lemvig Kommune?

»Ja, det er de. Derfor vil jeg heller ikke benægte, at det er en sværere opgave for de mindre kommuner og myndigheder at komme i mål med sikkerhed og GDPR.«

Læs også: Keynote på Infosecurity: GDPR kan få ledelsens øjne op for it-sikkerhed

Dermed erkender formand for Rådet for Digital Sikkerhed, Henning Mortensen, altså, at der, såfremt sikkerhedsstandarden rent faktisk gøres obligatorisk, forude venter særligt de mindre kommuner endnu en tung arbejdsopgave - men der er ingen vej udenom, understreger han.

Netop det med at sætte ressourcer af til at komme i overensstemmelse med lovgivningen kan eksempelvis gøres ved at hyre kræfter ind i form af eksterne konsulenter. Det gjorde man eksempelvis i for flere år siden i Ringkøbing-Skjern Kommune.

Men mens spørgsmålet om, hvorvidt ISO27701 skal gøres obligatorisk fortsat er uafklaret, så er en ting sikkert. Regeringens mål for besparelser på konsulentområdet ligger fast. Det betyder eksempelvis en besparelse i kommunerne frem mod 2025 på 1 milliard kroner.

Læs også: Regeringens "konsulent-fatwa" kan være gift for it-projekter: »Projekter bliver dårligere, tager længere tid og kommer potentielt aldrig i mål«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere