Alle statslige myndigheder skal i gang med at opdatere rammerne for håndteringen af deres it-sikkerhed - men de har god tid til at få det hele på plads.
De statslige myndigheder har nemlig helt frem til 1. april 2025 til at få implementeret den nye og opdaterede version af den udbredte sikkerhedsstandard ISO 27001.
Selve standarden har været anvendt siden 2016, så den er ret velkendt.
Den er nu blevet opdateret med en række nye krav, som alle statslige myndigheder skal indrette sig efter.
De nye krav og elementer, der netop er blevet præsenteret, indeholder blandt andet en række nye såkaldte foranstaltninger, helt ny opsætning, krav om opdatering af vejledninger og procedurer og flere andre ting.
Digitaliseringsstyrelsen opfordrer desuden til, at alle myndigheder tager fat i deres leverandører for at få klarlagt, om de nye forhold i standarden skal føre til “ændringer af eksisterende kontraktuelle forhold, databehandleraftaler og tilhørende driftsprocesser,” som det hedder.
“Opdateringerne i den nye version af ISO 27001 omfatter anneks A, der omhandler foranstaltninger til informationssikkerhed, hvor de 14 kapitler er omstruktureret til fire hovedområder. Den nye struktur betyder, at en del af foranstaltningerne (tidligere kontroller) sammenlægges, så det samlede antal foranstaltninger går fra 114 til 93, hvoraf 11 foranstaltninger er nye,” meddeler Digitaliseringsstyrelsen.
Her opfordrer man alle myndigheder til omgående at gå i gang med arbejdet.
”Myndighederne opfordres allerede nu til at påbegynde arbejdet med den opdaterede struktur og de nye foranstaltninger,” meddeler Digitaliseringsstyrelsen.