ISO 27001 bør være implementeret i alle større virksomheder ligesom det er et krav til offentlige myndigheder m.v.

ISO 27001 er standarden for informationssikkerhed og datasikkerhed.
Den er valgt som den statslige sikkerhedsstandard som gerne skulle have været implementeret sammen med GDPR lovkravet der gælder for alle EU virksomheder og udgivere m.v.

Mange primært større virksomheder er allerede ISO 27001 certificeret, selvom kun 16 ud af 109 statslige myndigheder har certificeret sig med en fuld implementering af standarden ISO 27001. Det blev i 2014 besluttet at i 2016 skulle alle være med, det halter dog væsentligt på samme måde som i private virksomheder og på samme måde som overholdelsen af GDPR lovgivningen.

Sidste år viste (se tidligere omtale) en ny halvårlig ISO 27001 standard rapport baseret på en måling fra august 2018, at ISO 27001 langtfra er implementeret, selvom det er en vedtagen minimumsstandard for offentlige virksomheder.

Herhjemme er det Digitaliseringsstyrelsen som skal vurdere og holde øje med de statslige virsomheders planer for de 109 statslige myndigheders egne vurderinger af, hvor langt de er kommet med arbejdet. Man vurderer bl.a. compliance med almindelige systematiske jobopgaver herunder politik for informationssikkerhed, datasikkerhed, risikovurderinger, leverandørstyring og beredskabsplaner.

Rapporten oplyser at kun 15 procent af de statslige myndigheder har gennemført compliance og certificering, mens der er 34 myndigheder, eller ca. 31 procent er tæt på at have gennemført fuld implementering.

For at opnå kunne godkendes for en fuld implementering af ISO-standarden skal myndigheder opnå et modenhedsniveau på 4, på en skal fra 1-5 og selve kravene indefor skalaen er 7 områder herunder også leverandør-, og risikostyring, beredskabsplaner og en klar informationssikkerhedspolitik, hvor sidstnævnte kan være svært at definere for de mange områder som indeholder data.

Der er 39 myndigheder der igen svarer til 36 procent, som på skalen kun er på niveua 1 eller 2, hvorfor disse foran sig har en stor implementeringsopgave der blandt andet bistås af juridiske eller it-juridiske konsulenter eller revisorer fra os, hvis de samtidigt har anvendt vort GDPR Compliance kit.

Digitaliseringsstyrelsen har belejeligt for myndighederne oplyst at man ikke kan sammenligne 2017 med 2018 fordi der er sket en ændring i metoderne og spørgsmålende til vurderingerne. Derfor er det ikke muligt at sige om der er fremgang, men det må antages.

Rikke Hougaard Zeberg, direktør i Digitaliseringsstyrelsen siger:

»Det er Digitaliseringsstyrelsens indtryk, at myndighederne arbejder seriøst og målrettet med implementeringen af ISO 27001. Målingen viser dog også, at der fortsat udestår et arbejde med at få standarden fuldt implementeret i de fleste myndigheder, og det forudsætter en prioriteret indsats og et fortsat stort ledelsesmæssigt fokus, for at alle kan komme helt i mål«