Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Relaterede dokumenter
MÅLING AF INFORMATIONSSIKKERHED

Hovedresultater: ISO modenhed i staten. December 2018

Leverandørstyring: Stil krav du kan måle på

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Sikkerhedsprogrammet Aktivitets- og leveranceplan 3 kvt kvt. 2018

Vejledning om evaluering af beredskab. April 2015

Sikkerhedsprogrammet - Agenda

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

INFORMATIONSSIKKERHED. En rejsefortælling om funktioner, roller og ledelse

Guide til implementering af ISO27001

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

50 råd om udvikling, forankring, formidling, udmøntning og evaluering af relationsstrategien.

Overordnet Informationssikkerhedspolitik

Politik <dato> <J.nr.>

Digitaliseringsstyrelsens konference 1. marts 2018

Overordnet It-sikkerhedspolitik

Evalueringsrapport vedr. implementering af læringsforløb for alle modul 4 sygeplejestuderende på HE Midt: Læringsforløb for sygeplejestuderende i

Fællesregional Informationssikkerhedspolitik

Opgavebeskrivelse: Mystery Shopping på danske feriesteder

Vejledning til udfyldelse af selvevalueringsskema for standarder i Dansk kvalitetsmodel på det sociale område

Viborg 21. maj Handlingsplan for Inspektorordning Status

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Tilsyn med Databehandlere

PSYKIATRIFONDENS Informationssikkerhedspolitik

KORT OM PROJEKTPORTEFØLJESTYRING. Af Jacob Kragh-Hansen, Execution Consulting Group

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

SIKKERHEDS- PROGRAMMET

1. Introduktion til SoA Indhold og krav til SoA 4

Region Hovedstadens Ramme for Informationssikkerhed

Vejledning i informationssikkerhedspolitik. Februar 2015

Inspektorordningen status og perspektivering. Handlingsplan. Nationale Råd for Lægers Videreuddannelse

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Assens Kommune Sikkerhedspolitik for it, data og information

Kursus: Ledelse af it- sikkerhed

Evaluering af 2. semester cand.it. i it-ledelse - fora r 2014

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

It-beredskabsstrategi for Horsens Kommune

Kliniske retningslinjer på det kommunale sundhedsområde

Vurderingsprincipper i DDKM af 2019 for apoteker

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Informationsforvaltning i det offentlige

QUARTERLY ANALYTICS Hentet af admin - September 15, contract management. del 2

Mål- og resultatplan

Guide til bedre beredskabsstyring. April 2015

It-beredskabspolitik for Ishøj Kommune

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Evaluering af Big Bang til Naturfag. Februar 2018

Vejledning i etablering af forretningsoverblik. Januar 2018

Notat vedr. brugerundersøgelse 2011 i Familieafdelingen.

VTU. Media College. Virksomhedstilfredshedsmåling 2014 Via spørgeskemaundersøgelse. Uddannelser: Grafisk tekniker Digital medie Mediegrafiker

Tillidsbaseret Lean. Effektivitet, kvalitet og trivsel samtidig

Brugertilfredshedsundersøgelse Sammenfatning

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Kliniske retningslinjer på det kommunale sundhedsområde

Virksomhedstilfredshedsundersøgelse. MS Oktober 2016

Notat vedrørende erfaringer med den eksperimenterende metode blandt deltagere i Uddannelseslaboratoriets uddannelseseksperimenter

NOTAT. Notat. Kvalitetsrapportering i VIA

Et fælles kvalitetssystem er under implementering i VIA - VIAs kvalitetsmodel. Formålet med den fælles kvalitetsmodel er:

Opgavebeskrivelse: Tilfredshedsundersøgelse af Svendborg Kommunes erhvervsklima

ANALYSE Informationssikkerhed blandt DI s medlemmer

Modenhedsvurderinger. Mål hvad kan I tage med hjem?

Vurderingsprincipper i DDKM af 2016 for apoteker

Kickstart din virksomheds digitale rejse

Rapport aftagerundersøgelse, Læreruddannelsen på Fyn Vedrørende dimittender fra juni 2012

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

BUSINESS ASSURANCE. Fødevaresikkerhed SAFER, SMARTER, GREENER

Informationssikkerhedspolitik for <organisation>

Formål Hvorfor overhovedet være på sociale medier?

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

BILAG 1B: OVERSIGTSSKEMA

Informationssikkerhedspolitik

Brugerundersøgelse Virksomheder og Jord Marts, Natur og Miljø Teknik og Miljø Århus Kommune

Skoleevaluering af 20 skoler

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

Brugertilfredshed i Københavns Ejendomme. Sagsnr

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

TILFREDSHEDSMÅLING PÅ SØHUSPARKEN. Notat til: Syddjurs Kommune

Guide til awareness om informationssikkerhed. Marts 2013

KVALITETSSYSTEM INSTITUTIONSNIVEAU KLASSENIVEAU ELEVNIVEAU. Opfølgningsplan. Selvevaluering. Evalueringer og dataindsamling.

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

Procesvejledning. - til arbejdet med den styrkede pædagogiske læreplan

Organisatorisk modenhed. Oplæg ved IT-Arkitekturkonferencen den 2. april 2009

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Fællesregional Informationssikkerhedspolitik

Grøn Generation. Status på evalueringen oktober Olga Trolle, Institut for Naturfagenes Didaktik

Styregruppen for data og arkitektur. Reviewrapport for: Referencearkitektur for deling af data og dokumenter (RAD)

ANVENDELSESMULIGHEDER FOR MAPUS

Notat. Side 1 af 7. Evaluering af et projekt i regi af Strategi for digital velfærd

KOMMUNIKATIONSSTRATEGI. Analyse af organisationers udvikling og anvendelse af kommunikationstrategier

Vejledning i evaluering og opfølgning. Juni 2016

Effektbaseret modenhedsmåling

Det Tekniske Fakultet. Studiestartsundersøgelsen 2017 Civilingeniøruddannelsen i lærings- og oplevelsesteknologi (BA)

Kontraktstyring en rejse fra gensidig kontrol til gensidig forretningsudvikling

VTU. Virksomhedstilfredshedsmåling 2012 Via spørgeskemaundersøgelse. Style & Wellness College Aalborg. Style & Wellness College Aalborg.

Investoranalysen 2014

Det Tekniske Fakultet. Studiestartsundersøgelsen 2017 Diplomingeniøruddannelsen i produktion

Transkript:

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten 2017

INDHOLD RESULTAT AF MÅLING AF IMPLEMENTERINGSGRADEN AF ISO27001-PRINCIPPER INDLEDNING HOVEDKONKLUSION METODE RESULTAT KONKLUSION 21

INDLEDNING INDLEDNING INDHOLD, FORMÅL OG METODE Indhold og formål Dette materiale konkluderer på resultatet af undersøgelse af status på implementering af ISO27001-principper i staten. Spørgerammen bygger på best practise og har taget udgangspunkt i de fire sikkerhedstiltag fra Cyberforsvar der virker samt de fællesoffentlige målepunkter defineret i regi af den fællesoffentlige digitaliseringsstrategi (FODS) initiativ 7.1. Formålet med spørgerammen er at skabe overblik over tilstanden på informationssikkerheden i staten og identificere forbedringstiltag, som understøtter yderligere forhøjelse af informationssikkerhedsniveauet. Metode et generisk rammeværk Konklusionen er baseret på kvalitative og kvantitative analyser af data genereret igennem et generisk spørgeskema. Analysen og spørgerammen har været en selvevaluering. Dette for at danne det mest realistiske indblik i de respektive organisationers tilstand. Ydermere er metoden og spørgerammen generiske med henblik på fremadrettet brug. Dette er fordelagtigt for at monitorere og spore forbedringen af informationssikkerheden i ministerierne. Spørgeskemaet er udsendt til alle statens departementer. Tidsrammen for svar af spørgeskemaet har været tre uger. 87 myndigheder har responderet på spørgeskemaet. 3

HOVEDKONKLUSION KONKLUSION AF UNDERSØGELSE SAMMENFATNING AF SPØRGERAMMENS TRE AFSNIT God ledelsesstøtte men stor spredning i modenhed på flere målepunkter Resultatet af målingen bekræfter, at der er stor spredning på modenheden i arbejdet med informationssikkerhed. Der er en stor andel af respondenter (67%) som anser ledelsesstøtten til at være god (modenhedstrin 3 og 4), hvilket bekræftes af, at der er få, som indikerer, at her findes udfordringer. Forbedringsmuligheder findes I forhold til forbedringsmuligheder viser målingen, at særligt arbejdet med risikovurdering og leverandørstyring er mindre modent og opfattes generelt som mere vanskeligt arbejde. Særligt her ønskes også mere ekstern støtte og vejledning. Til denne kategori kan også arbejdet med beredskabsplaner tilføjes, hvor særligt øvelser og test af disse vurderes som udfordrende. En anden vigtig konklusion fra målingen er, at få af respondenterne vurderer, at de fuldt udfører evaluering og opfølgning på informationssikkerhedsarbejdet. Eksempelvis er der meget få, som evaluerer det faktiske awareness-niveau i organisationen. Relateret til dette peger målingen også på, at arbejdet med planer for sikkerhedsaktiviteter er umodent. Behov for støtte Der er identificeret et stort behov for ekstern støtte på tværs af alle måleområder, hvilket understøttes af spredningen i svarene i afsnit 2 (modenhed) og afsnit 3 (udfordringer). 4

METODE OMRÅDER MED BEHOV FOR STØTTE ER GENNEMGÅENDE I SPØRGERAMMENS TRE AFSNIT METODE: SAMMENHOLD AF SPØRGERAMMENS TRE AFSNIT Aggregeret og nuanceret status Behov for støtte Afsnit 1 Udfordrende principper i arbejdet med ISO27001 Svarene er blevet aggregeret således, at de afdækker behovet for støtte på baggrund af de mest almindelige udfordringer Ligeledes er svarene sammenholdt for at skabe en mere nuanceret konklusion samt for at identificere, hvilket områder der er gennemgående i de tre afsnit Afsnit 2 Afsnit 3 Status på implementeringsgraden af ISO27001-principper Sammenhold af afsnit Spørgerammen har haft til formål at afdække status, herunder hvad organisationen finder vanskeligt, og derfor har spørgsmålene en mere overordnet best-practice-karakter og bygger på selvevaluering. 5

6 RESULTAT FRA UNDERSØGELSE

RESULTAT EKSTERN STØTTE VED FLERE PUNKTER EFTERLYSES AF MERE END 56% AF RESPONDERNE AFSNIT 1: ORGANISATIONENS BEHOV FOR FORBEDRENDE TILTAG OG EKSTERN STØTTE er modenhedsmæssigt et sted, hvor der mindre er brug for generelle vejledninger eller skabeloner, men konkrete cases og erfaringer eller workshops. Kommentar fra respondent Behov for støtte på tværs af punkter På tværs af alle områder påviser selvevalueringen et behov for ekstern støtte for at sikre et højt informationssikkerhedsniveau 51 af alle respondenter vurderer, at der er behov for ekstern støtte mht. Awareness og uddannelse For leverandørstyring og Opdatering af risikovurdering og SoA-dokument er det hhv. 57og 47 5 respondenter har i selvevalueringen vurderet, at ekstern støtte ikke vil være værdiskabende på nogle af de angivet områder. 7 Antal respondenter: 87

RESULTAT STOR SPREDNING I MODENHED PÅ TVÆRS AF DE OTTE IDENTIFICEREDE PUNKTER AFSNIT 2: STATUS PÅ IMPLEMENTERINGSGRADEN AF ISO27001-PRINCIPPER Organisationen har ikke opnået nogen af nedenstående trin Definering af principper og processer Evaluering af efterlevelse af Eksekvering som Implementering effektivitet konsekvens af af principper (evaluering og principper opfølgning) Forankring af informationssikkerhed i forretningen 1% 7% 24% 27% 41% Politikker og retningslinjer Leverandørstyring Hændelseshåndtering Beredskabsplan Awareness og uddannelse Opdatering af risikovurdering og SoA-dokument 3% 6% 37% 24% 29% 13% 27% 29% 19% 13% 3% 9% 14% 42% 31% 12% 14% 44% 17% 13% 10% 6% 29% 20% 35% 7% 28% 26% 17% 22% Spørgerammen indikerer relativ god ledelsesmæssigt fokus og forankring Moden proces med forbedringsmuligheder Ved flere punkter er der stor spredning på tværs af de fire trin. Områder med relativ lav modenhed: Beredskabsplan Leverandørstyring Opdatering af risikovurdering og SoA-dokument Største behov for indsats er Planer for sikkerhedsaktiviteter, hvor 43% har indikeret, at organisationen er på laveste modenhedsniveau. Planer for sikkerhedsaktiviteter 42% 15% 19% 12% 13% 8

RESULTAT BEHOV FOR STØTTE, MODENHED OG UDFORDRINGER AFSNIT 3: UDFORDRINGER VED ARBEJDET MED INFORMATIONSSIKKERHED Adspurgt har respondenterne peget på leverandørstyring, som det højest prioriterede indsatsområde: Flest respondenter har disse opgaver som de højest prioriterede Og følgende som mest udfordrende områder: Validering af leverandørers overholdelse af krav Definition af kravspecifikation til leverandører Risikovurdering Gennemgående udfordringer Mens den ledelsesmæssige opbakning er moden og synlig i organisationen, er nedenstående områder mere udfordrende: Arbejdet, der knytter sig til leverandører; kravspecifikation og validering af overholdelse af krav Øvelser og test af beredskabsplaner Flest respondenter har prioriteret disse udfordringer som de største Opdatering af instrukser samt kontroller Validering af leverandørs overholdelse af krav Øvelser og test af interne beredskabsplaner Eksekvering af kontroller og tiltag Definition af kravspecifikation til leverandører Tilstrækkelig tid afsat til arbejdet med informationssikkerhed Risikovurderinger og opdatering af instrukser samt kontroller Tilstrækkelig tid afsat til arbejdet med informationssikkerhed Delkonklusioner er baseret på de punkter, som en overvejende stor andel respondenter har identificeret som mest udfordrende. Dette er for at identificere synergi på tværs af alle tre afsnit samt fælles udfordringer. 9

10 KONKLUSION OG FORBEDRINGSMULIGHEDER I ARBEJDET MED IMPLEMENTERING AF ISO27001-PRINCIPPER

KONKLUSION KONKLUSION AF UNDERSØGELSE FIRE TING AT HUSKE Stor spredning i modenhed, hvor halvdelen af svarene er placerede på trin 3 og 4 på tværs af kategorier Resultaterne af undersøgelsen peger på, at der er stor spredning i modenhed og hvilke udfordringer respondenterne står overfor. Dog er ca. halvdelen af svarene placererede på trin 3 og 4 i modenhedsskalaen på tværs af kategorier Stort ønske om ekstern støtte i arbejdet med informationssikkerhed og særligt inden for kritiske områder Der findes et stort ønske om ekstern støtte til arbejdet med informationssikkerhed. Behovet findes på tværs af alle måleområder. Dog indikerer analysen af alle tre afsnit sammenholdt, at der findes et særligt stort behov for støtte inden for risikovurdering, leverandørstyring, beredskabsplanlægning og planlægning for sikkerhedsaktiviteter Generelt god ledelsesfokus og støtte til arbejdet med informationssikkerhed i organisationerne Graden af implementering af informationssikkerhed er i høj grad afhængig af ledelsesfokus. Det målte modenhedsniveau tyder på, at der generelt er fokus på informationssikkerhed. Det bliver også bekræftet i undersøgelsen, hvor ledelsesstøtte er prioriteret som mindst udfordrende at få gennemført. Dog findes der organisationer, hvor der kan fokuseres mere på ledelsesstøtte Lav modenhed i evaluering og opfølgning samt planlægning af sikkerhedsaktiviteter Mange respondenter svarer, at de delvist evaluerer og følger op på den reelle informationssikkerhed. Dog indikerer analysen, at der er udfordringer og mangler på dette område. Desuden er der lav modenhed i planlægning af sikkerhedsaktiviteter, hvilket også er et vigtigt aspekt, når den reelle informationssikkerhed skal vurderes 11

KONKLUSION FORSLAG TIL FORBEDRENDE TILTAG OG STØTTE FOKUS PÅ KONKRETE VÆRKTØJ OG VEJLEDNINGER Resultatet fra undersøgelsen kan bruges til at vurdere, hvor støtte vil have størst værdi i forhold til informationssikkerhed i Danmark. Fra undersøgelsen kan der konkluderes, at der er et ønske om konkrete vejledninger på en række områder. Det anbefales, at resultatet gennemgås i detaljer som baggrund for udviklingen af vejledende materiale. Nedenfor følger nogle eksempel på støtte, som kunne forbedre arbejdet. Måleområde Leverandørstyring 12 Etablering af kravspecifikation Opfølgning af efterlevelse af krav Eksempel på støtte og konkrete vejledninger Proces for, hvordan en organisation kan opsamle kravene Eksempel på lessons learned i f.h.t. kravspecifikation til leverandører Proces for, hvordan en organisation kan følge op på leverandørens overholdelse af krav Eksempel på konkrete sager relateret til emnet Beredskabsplaner Øvelser og test Eksempel på, hvordan rollespil kan bruges til test af beredskab Awareness Opdatering af risikovurdering og SoA-dokument Evaluering af det reelle awareness-niveau Risikovurdering og håndtering Eksempel på effektiv vedligeholdelse af awareness Indikatorer som afsløre awareness-niveau i organisationen Værktøjer og eksempel på risikoprocesser Projektværktøjer Planer for sikkerhedsaktiviteter Punkter for måling Konkret vejledning for, hvordan en organisation kan evaluere den reelle informationssikkerhed ved at måle på en række punkter Eksempel på værktøjer for måling af en række almindelige digitale, fysiske og menneskelige kontroller

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback