03. oktober 2013
- Informationssikkerhed tænkes i en langt bredere kontekst end for blot fem år siden – og er i dag meget mere end it-sikkerhed. Informationssikkerhed er noget enhver virksomhed eller institution lige fra webbutikker til kommuner, bør forholde sig til. Derfor er de nye standarder for informationssikkerhed også langt bredere end tidligere, siger Jesper Jerlang, standardiseringsdirektør i Dansk Standard.
Informationssikkerhed er væsentligt for alle, der besidder informationer, hvad enten det er fysiske, digitale eller talte, og strækker sig helt ud til organisationens interessenter. Hvis der ikke er styr på informationers integritet og tilgængelighed, kan det nemlig have betydelige konsekvenser for både overholdelse af lovgivning, organisationens aktiviteter og succes samt troværdighed og image.
En lang række danske virksomheder og organisationer arbejder derfor også allerede i dag med ISO’s ledelsesstandarder for informationssikkerhed, og når de nye udgaver udkommer på dansk, skal alle Statens institutioner følge dem som følge af Finansministeriets plan for enkel administration i staten. Der har derfor også været stor bevågenhed og interesse fra danske interessenter for at deltage i arbejdet med revisionen af standarderne.
- Vi er meget tilfredse med, at de nye standarder skal udrulles i Staten, for det vil være med til at øge sikkerhedsniveauet. Standarderne kan skubbe arbejdet med informationssikkerhed ind på direktionsgangen, så det bliver forankret i ledelsen. Standarderne sætter fokus på løbende vedligeholdelse og forbedringer af sikkerheden med udgangspunkt i organisationens aktuelle risikobillede, siger chefkonsulent Lars Thomsen fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste, der er blandt de danske eksperter, der har deltaget aktivt i det internationale arbejde med revisionen af standarderne.
Standarderne tager udgangspunkt i, at sikkerhed og risikominimering er ledelsens ansvar. Hvis der ikke er styr på sikkerheden, går det ud over forretningen. Informationssikkerhed ses således ikke som et isoleret område, der hører til i it-afdelingen, men som en del af virksomhedens samlede strategiske arbejde med risikovurdering.
- Et nedbrud i en produktionsmaskine er en forretningsrisiko akkurat som et virusangreb på en virksomheds computere. Enhver virksomhed bør overveje, hvilke risici og trusler, der er forbundet med deres forretning, og om der skal investereres i beskyttelse mod virksomhedens leveringsevne, industrispionage eller hackerangreb. Det gælder om at opnå en informationssikkerhed, der stemmer overens med forretningsmålene og sikre de aktiver, som har størst betydning for forretningen og driften. Ellers risikerer man i stedet at sikre de områder, der er mest i øjenfaldende og overse det vigtigste, siger Jesper Jerlang.
De nye udgaver af ISO/IEC 27001 og 27002 er netop udkommet på engelsk, og forventes at udkomme på dansk inden udgangen af året.
Det danske standardiseringsudvalg "Standardiseringsforum for informationssikkerhed" (S-441), har været med til der er med til at lave morgendagens standarder på området. Foruden informationssikkerhed, favner udvalget standardisering for kort- og ID-teknologier, herunder det EU-mandaterede arbejde vedrørende digitale signaturer (M/460, eSignatures), samt Cloud Computing, biometri og databeskyttelse. I udvalget deltager bl.a.: Nets Denmark A/S, Center for Cybersikkerhed under Forsvarsministeriet, Deloitte Business Consulting A/S, KMD A/S, Direktoratet for Kriminalforsorgen, Linkin ApS, Cryptomathic A/S, Point Transaction Systems A/S, CASED og Finansrådet, repræsenteret v/Danske Bank A/S.
Deltag på kurser om informationssikkerhed.
