ISO 2700 modenhedsmåling

Alle statslige myndigheder skal halvårligt foretage en modenhedsmåling, der identificerer områder, hvor de pågældende myndigheder endnu ikke er i mål med ISO 27001 implementeringen.

Halvårlige målinger

I regi af den nationale strategi for cyber- og informationssikkerhed 2018-2021, har regeringen besluttet, at der skal gennemføres målinger af statslige myndigheders ISO 27001 implementering hvert halve år, for at sikre fremdrift i implementeringen. Myndigheder, der ikke er i mål, skal forelægge en handleplan for regeringen, med henblik på at sikre fuld implementering.

En tidligere ISO-modenhedsmålinger gennemført i 2017 viste, at der i kommuner, regioner og staten stadig udestod et arbejde med implementeringen.

Egenvurdering af syv væsentlige områder

Digitaliseringsstyrelsen har udarbejdet en ISO 27001-modenhedsmåling til brug ved de halvårlige målinger. I målingen angiver myndighederne en egenvurdering af modenheden på syv væsentlige områder af ISO standarden:

  1. Ledelsessystem for informationssikkerhed
  2. Politik for informationssikkerhed
  3. Ressourcer, kompetencer og bevidsthed
  4. Leverandørstyring
  5. Risikostyring
  6. Måling, audit og evaluering
  7. Beredskabsplaner

Der er i målingen fastlagt en norm for, at myndighederne som minimum skal være på modenhedsniveau fire ud af fem mulige for at have implementeret ISO standarden fuldt. Normen svarer til, at myndigheden fører tilsyn med, at politikker og/eller procedurer følges, samt at gennemførelse af aktiviteter dokumenteres struktureret og så vidt muligt er målbare.