Private it-leverandører skal ikke certificeres efter statens nye sikkerhedsstandard

Snart skal al databehandling i staten følge forskrifterne i den nyreviderede udgave af ISO 27001. Men myndighederne og deres it-leverandører behøver ikke at blive certificeret efter den nye standard.

Den snart ni år gamle standard for informationssikkerhed, DS484, er nu formelt på vej ud ad døren hos statens myndigheder, der inden længe skal begynde overgangen til den nyreviderede internationale standard ISO 27001, der udkom på engelsk i slutningen af november sidste år.

Læs også: Statens nye standard for it-sikkerhed er klar til brug

Den nye standard er i skrivende stund ved at blive oversat hos Dansk Standard, og ifølge Digitaliseringsstyrelsen lyder den seneste melding fra standardiseringsorganisationen, at der vil gå tre-fire uger, før den danske oversættelse er færdig. Derefter begynder hele det danske statsapparat at pløje sig igennem de nye krav til informationssikkerheden.

Men selvom den nye standard er til for blandt andet at sikre borgernes følsomme personoplysninger, skal myndighederne ikke gennemgå en certificeringsproces, men blot sørge for at leve op til forskrifterne i standarden.

»De offentlige myndigheder skal ikke certificeres - vi skal bare overgå til den nye standard. Der er ikke noget krav om certificering,« siger Cecile Christensen, der er kontorchef for it-standardisering og sikkerhed hos Digitaliseringsstyrelsen, til Version2.

Det samme gælder teknisk set også for de private it-leverandører, myndighederne måtte gøre brug af. Myndigheden er dog ansvarlig for at sikre sig, at leverandøren ligeledes lever op til kravene.

»Der er ikke krav til, at din leverandør skal være ISO-certificeret. Myndigheden kan jo godt selvstændigt stille krav i kontrakten til sin leverandør om, at de skal sørge for, at alle relevante forhold i ISO 27001 er overholdt, uden at leverandøren nødvendigvis er certificeret,« siger Cecile Christensen til Version2.

KMD og CSC er to af Danmarks største private driftsleverandører af offentlig it, og af deres respektive hjemmesider fremgår det, hvilke internationale standarder, de to virksomheder er certificeret til. CSC er således certificeret til ISO 27001, mens KMD 'blot' har et DS484-certifikat. (Rettelse: KMD har efter artiklens offentliggørelse oplyst Version2 om, at de i december sidste år blev ISO 27001-certificeret, men at hjemmesiden endnu ikke er opdateret.)

Læs også: It-sikkerheden skal ikke godkendes, når staten outsourcer følsomme data

Myndigheden skal selv sørge for teknisk indsigt

Cecile Christensen understreger, at Rigsrevisionen løbende fører opsyn med, om myndighederne blandt andet har foretaget den risikovurdering, der er et centralt element i standarden. Den skal være på plads, uanset om myndigheden gør brug af en privat databehandler eller ej.

»Det er myndighedens ansvar, at leverandøren lever op til standarden. Her er det jo vigtigt med det her risikovurderingselement, for man skal ikke ind og stille de samme krav til alle systemer. Man skal netop kigge på hvilke data, der skal behandles, hvor kritisk løsningen er, og så sørge for, at sikkerhedsniveauet matcher det niveau af sikkerhed, der er behov for i den konkrete løsning,« siger hun.

Det lyder jo meget teknisk. Har myndighederne kompetencer til selv at foretage sådan en vurdering?

»Der er både tekniske krav og mere forretningsmæssige krav. Overordnet handler standarden meget om, at man forretningsmæssigt skal forholde sig til, hvad det er for data, man behandler, og hvordan man bedst passer på dem,« siger Cecile Christensen til Version2.

»Der kommer så et lag nedenunder, når du har identificeret de kritiske data, der skal passes virkelig godt på, hvor du er nødt til at kigge på, hvordan du rent teknisk får løst den opgave. De krav skal vi selvfølgelig også stille til vores leverandører,« siger hun.

Hvordan har den enkelte myndighed mulighed for at løse den opgave, hvis den ikke har de store it-kompetencer?

»Det er jo op til den enkelte myndighed at stille de rigtige krav. Jeg har for eksempel en tekniker siddende her i forhold til NemID, som kan kommunikere med teknikerne hos Nets og vurdere, om det, vi får, er noget, vi er tilfredse med. Og har man ikke de kompetencer in-house, så kan man blive nødt til at købe en konsulent, der kan hjælpe en med at stille de rigtige krav til leverandøren,« siger Cecile Christensen til Version2.

Lars Stig Jørgensen er it-sikkerhedschef i Region Sjælland og sidder som næstformand i Rådet for Digital Sikkerhed. Han mener, at det ville være en gevinst for alle parter, hvis myndighederne ikke selv behøvede at formulere de omfattende krav.

»Det ville da være en rigtig god idé, hvis det er sådan, at man hos de her leverandører kan sikre, at de enten er certificerede eller på anden vis garanterer et vist niveau, så det ikke er den enkelte kunde, der skal ind og stille krav, hver gang,« siger Lars Stig Jørgensen til Version2.

»Det ville da også være rart for leverandøren at kunne sige, at man har det niveau, som er krævet rent sikkerhedsmæssigt, så jeg tror da egentlig, det er en gevinst for alle parter,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere