Anbefalinger til ledelsen omkring informationssikkerheden i organisationen

Nixu Blog

Nixu Blog

Syyskuu 11, 2014 at 10:29

Styrk sikkerheden, når I outsourcer IT

Ledelsen skal kende til de aktuelle trusler mod deres netværk. Det viser flere aktuelle sager med al tydelighed, og det bliver stadig vigtigere, at myndighederne arbejder systematisk med at vurdere sikkerhedsniveauet i de løsninger, som drives af eksterne leverandører. Ansvaret for dette ligger hos ledelsen. De skal tage ansvaret på sig og sørge for, at der løbende sker en overvågning og vurdering af sikkerheden hos deres eksterne leverandører.

Det skriver Digitaliseringsstyrelsen og Center for Cybersikkerhed i en ny rapport, hvor de giver 11 konkrete anbefalinger til, hvordan myndighederne skal styrke sikkerheden for statens outsourcede IT-drift.

 

”Rapportens anbefalinger er en god anledning til at gå sin sikkerhedsorganisation igennem – og til at drøfte sikkerhed med sine leverandører. Med rapporten får statens ledere helt konkrete anbefalinger til, hvordan de kan styrke arbejdet med IT-sikkerhed i myndigheden,” udtaler Lars Frelle-Petersen, Digitaliseringsstyrelsen.

 

Ledelsen skal arbejde målrettet på at sikre sig mod cyberangreb

”CSC-sagen understreger, at statslige myndigheder skal gøre sig klart, hvor vigtigt det er at orientere sig om aktuelle cybertrusler. Kender man ikke til trusselsbilledet, kan man heller ikke som organisation arbejde målrettet på at sikre sig mod angreb,” udtaler Thomas Lund-Sørensen, chef for Center for Cybersikkerhed.

 

Rapporten ’Styrkelse af sikkerheden i statens outsourcede IT-drift’ er den tredje rapport om CSC-sagen, som blev bestilt af regeringen sidste sommer for at undgå lignende sager. De to tidligere rapporter er ikke offentlige tilgængelige.

 

De elleve råd er:

1. Ledelsen bør sikre, at myndighedens risikovurderinger og risikoledelse tager udgangspunkt i et opdateret trusselbillede. Ledelsen bør endvidere sikre, at organisationen vurderer risici ud fra karakteren og værdien af data og systemer, som myndigheden er ansvarlig for, herunder hvor kritiske de er for myndigheden.

2. Ledelsen bør tage initiativ til, at myndigheden indleder en dialog med Center for Cybersikkerhed vedrørende mulighederne for at gøre brug af centerets IT-sikkerhedsydelser.

3. Ledelsen bør sikre, at der er en tydelig ansvarsfordeling mellem kunde og leverandør om, hvem der er ansvarlig for specifikke sikkerhedstiltag, herunder leverandørens ansvar for underleverandører. Der skal sikres en klar ansvarsfordeling mellem kunde og leverandør i forhold til sikkerhedsaktiviteter.

4. Ledelsen bør sikre, at der stilles relevante krav til sikkerhedsforanstaltninger hos eksterne leverandører.

5. Ledelsen skal inden kontraktindgåelse nøje vurdere risikoen for og konsekvenserne af, at det fornødne sikkerhedsniveau ikke videreføres ved et evt. salg eller ophør af leverandørens virksomhed.

6. Ledelsen skal sikre, at kontrakten om outsourcet it-drift indeholder konkrete bestemmelser, der tager højde for evt. salg eller ophør af leverandørens virksomheder samt ved skift af leverandørens teknologi/underleverandører etc.

7. Myndigheden bør inddrage eventuelle outsourcing-leverandører i arbejdet med at implementere sikkerhedsstandarden ISO27001.

8. Ledelsen bør sikre, at myndigheden etablerer et dokumenteret kendskab til trusselbilledet. Trusselsvurderinger af sektor- og myndighedsspecifikke områder kan med fordel i relevante tilfælde udarbejdes i samarbejde med Center for Cybersikkerhed og myndighederne.

9. Ledelsen skal sikre, at myndighedens risikovurdering udarbejdes med udgangspunkt i sikkerhedsstandarden ISO27001, således at der tages stilling til, om det påtænkte sikkerhedsniveau matcher risikobilledet af de pågældende systemer, der påtænkes outsourcet.

10. Ledelsen skal sikre, at myndigheden på baggrund af risikovurderingen udfærdiger relevante sikkerhedspolitikker og implementerer og dokumenterer relevante procedurer. Endvidere skal ledelsen sikre, at disse politikker og procedurer er kendte og forståede i organisationen.

11. Ledelsen skal sikre, at myndigheden i tilstrækkelig grad deltager i den statslige koordination og videndeling på området, herunder er repræsenteret i relevante fora.

 

Læs hele rapporten her