Ny international sikkerhedsstandard i statens IT
Regeringen har besluttet, at de statslige institutioner nu kan anvende den internationale sikkerhedsstandard, ISO 27001 i stedet for den nuværende sikkerhedsstandard DS 484.
For at sikre en fælles standard for informationssikkerhed i staten, indførte man i 2004 sikkerhedsstandarden DS 484. Igennem denne fælles standard ønskede man at sikre et ensartet og højt sikkerhedsniveau. På daværende tidspunkt passede ISO-standarderne ikke til det danske marked. Man udviklede derfor et sæt danske standarder i form af DS 484 i stedet for at anvende de internationale standarder.
Staten har nu valgt at skifte over til ISO-standarderne som led i vedligeholdelsen af den fælles standard for informationssikkerhed. Gradvist vil staten skifte DS 484 ud med ISO 27001. Det er op til de enkelte myndigheder i staten, om man vil skifte fra DS 484 til ISO 27001 allerede nu, eller om man vil vente til næste revision af standarden. Den næste revision vil formentlig være i år 2013.
ISO 27001 tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til, at der implementeres netop de kontrolprocedurer, der passer til den enkelte institution. Den enkelte institution kan selv designe sikkerhedsstrategien, så den passer til de konkrete, lokale behov. Derfor indeholder standarden en ikke-udtømmende liste over mulige kontroller, som kan indføres, for at opnå et passende sikkerhedsniveau – den enkelte institutions behov varierer, hvorfor det kan være relevant at foretage flere kontroller eller andre end dem, der fremgår af listen.
Flere peger på, at skiftet til ISO 27001 vil indebære flere fordele. Blandt andet indeholder den internationale standard en større grad af fleksibilitet og kan således anvendes sammen med andre standarder inden for international informationssikkerhed. Derudover letter den internationale standard samarbejdet med andre lande. I den forbindelse vil det ligeledes være nemmere at sammenligne processer med andre lande.
Der peges dog også på, at skiftet kræver modenhed og stort engagement hos ledelsen i den enkelte institution. Det er nødvendigt at se på, hvilke konkrete behov organisationen har. Ved DS 484 var meget givet på forhånd, hvorimod der ved ISO 27001 er et større råderum for selvbestemmelse for den enkelte institution.
For nærmere gennemgang af hvilken betydning sikkerhedsstandarderne har i forhold til jeres virksomhed henvises til tidligere artikel fra Bender von Haller Dragsted: ”Hvilke revisionsstandarder er relevante for din virksomhed i forbindelse med outsourcing af it-opgaver?”
Artiklen kan findes her.
Vedhæftede filer (0):
Relaterede artikler (0):
Eksterne links: (0):