Halvårlige målinger
I regi af den nationale strategi for cyber- og informationssikkerhed 2018-2021, har regeringen besluttet, at der skal gennemføres målinger af statslige myndigheders ISO 27001 implementering hvert halve år, for at sikre fremdrift i implementeringen. Myndigheder, der ikke er i mål, skal forelægge en handleplan for regeringen, med henblik på at sikre fuld implementering.
En tidligere ISO-modenhedsmålinger gennemført i 2017 viste, at der i kommuner, regioner og staten stadig udestod et arbejde med implementeringen.
Egenvurdering af syv væsentlige områder
Digitaliseringsstyrelsen har udarbejdet en ISO 27001-modenhedsmåling til brug ved de halvårlige målinger. I målingen angiver myndighederne en egenvurdering af modenheden på syv væsentlige områder af ISO standarden:
- Ledelsessystem for informationssikkerhed
- Politik for informationssikkerhed
- Ressourcer, kompetencer og bevidsthed
- Leverandørstyring
- Risikostyring
- Måling, audit og evaluering
- Beredskabsplaner
Der er i målingen fastlagt en norm for, at myndighederne som minimum skal være på modenhedsniveau fire ud af fem mulige for at have implementeret ISO standarden fuldt. Normen svarer til, at myndigheden fører tilsyn med, at politikker og/eller procedurer følges, samt at gennemførelse af aktiviteter dokumenteres struktureret og så vidt muligt er målbare.