Statslige sikkerhedsstandarder

- fra DS 484 til sikkerhedsstandard ISO 2700.

Siden 2007 har ministeriets institutioner arbejdet med udgangspunkt i DS 484, danske standard for infor-mationssikkerhed. Nu skiftes til den internationale sikkerhedsstandard ISO 27001 som obligatorisk sikker-hedsstandard i de statslige institutioner.

Standarden er nyligt udkommet i en opdateret udgave (ISO 27001:2013), der i januar 2014 forelå oversat til dansk. Det forlyder, at Digitaliseringsstyrelsen arbejder på en fælles brugsaftale for ISO 27001 til de statslige institutioner. Nærmere oplysninger herom forventes at foreligge medio maj 2014.

Fordele ved ISO 27001 i forhold til DS 484

Hvor DS 484 grundlæggende sagde ”man skal” på en lang række punkter, siger ISO 27001 ”overvej hvorvidt det er fornuftigt at…”. Ledelsen kan dermed efter en konkret risikovurdering fravælge at foretage sikringsforanstaltninger, der ikke passer til institutionens miljø. 

Begrænset valgfrihed

Trods de mindre restriktive formuleringer har ledelsen dog ikke frie hænder, når det gælder tilrettelæggelse af informationssikkerheden. Ledelsen skal beskytte sine informationsaktiver. Ansvaret herfor kan ikke delegeres.

Som led i at beskytte informationer skal der opbygges et ledelsessystem for informationssikkerhed, normalt angivet med den engelske forkortelse ISMS (Information Security Management System).

Udgangspunktet for at opbygge sikringssystemet er den risiko, ledelsen konstaterer efter at have gennemført en risikovurdering. Systemet skal grundlæggende opbygges, så der ofres ressourcer på at passe på det værdifulde – og ikke ofres ressourcer på unødige beskyttelsesforanstaltninger. 

Gode hjælpeværktøjer

Digitaliseringssyrelsen har har styrelsen samlet en række gode hjælpeværktøjer, der kan bruges i de enkelte institutioner, når et ISO 27001-baseret ISMS skal etableres/ajourføres.

Læs mere på Digitaliseringsstyrelsens hjemmeside