Trods flere opfordringer: Nationalt Genom Center er endnu ikke sikkerhedscertificeret

Illustration: vchal, BigStock
Digitaliseringsstyrelsen har i årevis forsøgt at få de statslige myndigheder til at implementere sikkerhedsstandarden ISO 27001, men først nu går Nationalt Genom Center til opgaven.

Nationalt Genom Center er ikke sikkerhedscertificeret med ISO 27001.

Det fremgår af en bekendtgørelse på udbudsportalen TED.

Digitaliseringsstyrelsen har ellers i årevis forsøgt at få de statslige myndigheder til at implementere sikkerhedsstandarden ISO 27001, der har været obligatorisk siden 2016.

Læs også: Sikkerheden halter i 74 statslige myndigheder: »Det er utilfredsstillende«

Ifølge kontorchef Marie Wessel fra Digitaliseringsstyrelsen sikrer ISO-standarden, at ledelsen i myndighederne er klædt på til at tage de rigtige beslutninger i forhold til at sikre et passende sikkerhedsniveau.

I udbuddet fra Nationalt Genom Center står der:

»Opgaven består i at fortsætte etablering og implementering af en kompleks høj-sikkerhedsinfrastruktur i en supercomputer, som både skal rumme store mængder følsomme data (DNA), der skal kunne opbevares under særlige sikkerhedskrav, og samtidig kunne stilles til rådighed for læger på landets hospitaler, således at lægerne kan bruge disse data til at stille rette diagnose og behandlingsform til den enkelte patient.«

Udbuddet forsætter:

»I forbindelse med opbygningen af supercomputeren skal Danmarks Tekniske Universitets ”Secure Orchestrator” teknologi implementeres i NGC’s infrastruktur. Parallelt med opbygningen og implementeringen af supercomputeren skal NGC opnå ISO-Certificering 27001. Certificeringen gælder alle processer og kontroller herunder leverandørstyring, indkøb og kontraktindgåelse, systemvalg- og opsætning samt overholdelse af gældende lovgivning inden for databehandling.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Knud Larsen

Vi er mange der er helt afhængige af en sidste chance for at forlænge livet lidt, hvis en DNA analyse kan hjælpe med at finde alternativ behandling - kræft i bugspytkirtelen. Selv om det sikkert er godt med den ISO, så har jeg været med til så mange iso'er i mit liv, som ikke giver grundlæggende forandringer i sig selv, så det bør ikke være første prioritet. Pengene er skænket af Novo, så det ville være dejligt at komme i gang.

  • 4
  • 5
#2 Claus Bobjerg Juul

Hvis Digst har udtalt/skrevet dette...

sikrer ISO-standarden, at ledelsen i myndighederne er klædt på til at tage de rigtige beslutninger i forhold til at sikre et passende sikkerhedsniveau.

Så står det slemt til

En ISO 27001 certificering sikre kun at det certificerende organ kun har udstedt et certifikat, hvis organet mener at modtageren har fortjent det. For at have fortjent det skal modtageren vise, firkantet sagt, at ledelsen hos modtageren tager stilling til hvilke kontroller der skal implementeres og hvor effektive kontrollerne skal være.

Det betyder at ledelsen kan accepter en risiko/dårlig it sikkerhed, der ikke hører til hos en offentlig virksomhed!

I en privat virksomhed vil den uafhængige forhåbentlig påtale den høje risikoaccept (going concern), men en offentlig virksomhed er ikke udsat for sådan en revision, da offentlige virksomheder ikke kan gå konkurs mv.

  • 5
  • 0
#4 Niels Madsen

Jeg har bestemt forståelse for at mennesker med livstruende sygdom ønsker at der forskes i behandlinger. I min nærmeste familie har der også været et tilfælde af den meget alvorlige sygdom som du nævner.

Og jeg ville fuldt ud accepterer det, om så staten opbevarede borgernes mest fortrolige oplysninger på Google Drive, forudsat at det sker med den enkelte, myndige borgers fulde accept, og på et fuldt oplyst, ærligt og frivilligt grundlag.

Ingen af delene er tilfældet hos Nationalt Genom Center. Og min holdning er, at prøver man at tage, uden at spørge først (-og respektere det svar man får), så skal man intet have overhovedet. Det er en holdning som jeg også vil stå ved hvis det skulle udelukke mig fra visse behandlinger. Præcis ligesom jeg ikke vil tage imod en ny nyre fra en ufrivillig donor.

Et samfund som gennemtvinger hånds- og halsret over individets indre, om det så er deres væv, DNA, tanker eller følelser, er efter min mening hverken værd at samle på eller stole på. Jeg foretrækker at have en kortere forventet levetid, end at lade mig blive frarøvet retten til min egen krop og privatliv. Også for mine børns skyld.

  • 7
  • 0
#6 Louise Klint

Det er halvandet år siden, at Novo Nordisk bevilgede 1 milliard kroner til Nationalt Genom Center.

21.12.18: https://politiken.dk/indland/art6933287/Novo-fond-giver-en-milliard-til-...

Derudover har Nationalt Genom Center været en del år undervejs, efterhånden.

Lovgivningsmæssigt (L 146) fremsat og vedtaget i 2018.

http://www.ft.dk/samling/20171/lovforslag/L146/index.htm

Og som en del af strategien om ”Personlig Medicin”, lanceret tilbage i 2016:

http://www.sum.dk/Temaer/Personlig-medicin.aspx https://sum.dk/Aktuelt/Nyheder/Sygehusvaesen/2016/December/~/media/Filer...

Lige så vel som ”supercomputeren”, Computerome, der skal håndtere data, har været længe undervejs (det ved IT-hajerne her bedre end jeg).

https://www.version2.dk/sog/computerome

Nationalt Genom Center åbnede 1. juli sidste år.

Så ovenstående banalitet (i denne sammenhæng) har der vel egentlig været rigelig tid til at bringe i orden.

  • 2
  • 0
#7 Louise Klint

Hvorfor spørger man ikke lidt journalistisk ind til dette?

Man kunne fx. spørge Peter Løngreen.

Han er, mig bekendt, stadig vicedirektør og ”teknisk chef”, CTO, med ansvar for Nationalt Genom Centers IT-infrastruktur (selvom de ikke ligefrem skilter med det). https://eng.ngc.dk/press/danish-national-genome-centers-leadership/ https://ngc.dk/om-ngc/organisation/

Løngreen har en fortid som centerchef på DTU, med ansvar for opbygningen af Computerome. (Han tilsvarende har erfaring med igennem en årrække) .

15.06.18: https://itwatch.dk/ITNyt/Profiler/article10690723.ece

https://ngc.dk/media/7480/cv-short-peter-loengreen-2019-final90-1.pdf

https://www.version2.dk/sog/peter%20l%C3%B8ngreen

Han burde vel i grunden have styr på dette ^^. Burde han ikke?

Jeg orker ikke flere (dårlige) undskyldninger!

  • 3
  • 0
#8 Bo Andersen

For noget tid siden var jeg til en jobsamtale i det offentlige, hvis indhold var i formationssikkerhed. Stedet behandlede meget følsomme personoplysninger og meget tunge sociale sager.

Jeg bliver mødt med et spørgsmål, som gjorde mig helt paf :

“Hvordan vil du implementere sikkerheden i de afdelinger, hvor chefen ikke kan se formålet med informationssikkerhed og som ikke vil prioritere opgaverne ?”

Jeg spurgte: “Er der mange af den slags chefer her ?”

Svaret var “ja”.

For det første er det vel toplederens (een af de mange interviewere, der altid skal være tilstede ved jobsamtaler i det offentlige) opgave at få hans chefer til at makke ret og ikke informationssikkerhedsmedarbejderen.

For det andet, burde man da skille sig af med den slags chefer, der ikke har til hensigt at følge loven.

  • 1
  • 0
Log ind eller Opret konto for at kommentere