For myndigheder

Jf. den nationale Digitaliseringsstrategi for 2024-2028, har Digitaliseringsstyrelsen følgende mål for cyber- og informationssikkerhed i centraladministrationens myndigheder:

Yde rådgivning i implementering af en informationssikkerhedsstandard

For at implementering af ISO 27001 kan ske på fyldestgørende vis, er det ikke kun nødvendigt med engagerede ledere i et centralt forankret ledelsessystem. Informationssikkerhed skal også tænkes ind lokalt i den enkelte myndighed, hvor forskellige informationssikkerhedsaktiver, arbejdsgange og risici kræver forskellige niveauer af informationssikkerhed.

Cyber- og Informationssikkerhedsafdelingen tilbyder og skal jf. den nationale Digitaliseringsstrategi bistå den enkelte myndighed efter deres behov, så en stærk og ressourceeffektiv implementering lykkes i den enkelte myndighed.

Dette kan inkludere:

Oplæg, workshops, kursusafholdelse mfl. for medarbejdere og ledere i den enkelte myndighed
Rådgivning i udarbejdelse af risikovurderinger, forretningsberedskabsplaner, mfl.
Auditering
Identificering og prioritering af informationssikkerhedsaktiver.

Yde rådgivning i udarbejdelse af beredskabsplaner og -øvelser

Det er afgørende, at alle enheder har følgende beredskabsplaner i tilfælde af en situation, hvor arbejde under almindelige forhold ikke længere succesfuldt kan udføres.

Derfor bør alle myndigheder udarbejde følgende beredskabsplaner:

Beredskabsplan for forretning (Business Continuity Plan)
Fysisk beredskabsplan (Brand- og evakueringsinstruks)
IT-beredskabsplan (hvis myndigheden har egne systemer, som vurderes vitale for at arbejde i myndigheden kan udføres)

Cyber- og Informationssikkerhedsafdelingen kan i den forbindelse bistå med beredskabsskabeloner, udarbejdelse af IT- og forretningsberedskabsplaner, samt beredskabsøvelser.

Implementering af ISO 27001 i centraladministrationen indenfor strategiperioden

Digitaliseringsstyrelsen har det overordnede ansvar for implementering af den internationale informationssikkerhedsstandard ISO 27001/2 i Naalakkersuisut og disses underliggende myndigheder.

Dette indebærer:

Udarbejdelse og vedligeholdelse af politikker og procedurer
Gennemførelse og formidling af risikovurderinger og afholdelse af risikovurderingsworkshops, blandt andet på IT-systemer
Opbygning af viden om cyber- og informationssikkerhed gennem kurser, oplæg og workshops for offentlige myndigheder
Fysisk sikkerhed (f.eks. adgangskontrol, sikring af fortrolige dokumenter m.m.)

Udvikling af et undervisningsprogram i informations- og cybersikkerhed til ledere i det offentlige

Solid ledelsesforankring og ledelsesengagement er vitalt for succesfuld implementering af et ISMS-system, og derfor også for at hæve centraladministrationens robusthed over for cyber- og informationssikkerhedstrusler. Cyber og –informationssikkerhed udvikler sig dog hele tiden, og ledere kan derfor ikke forventes effektivt at kunne varetage og tage ansvar for myndighedernes kontinuerlige forbedring og opretholdelse af et effektivt sikkerhedsniveau, hvis de ikke bliver klædt på til opgaven.

Det er derfor Cyber- og Informationssikkerhedsafdelingens mål at opkvalificere ledere, som skal have ansvar for deres enheds informationssikkerhed, samt på sigt skabe et undervisningsprogram for ledere, som kan sikre den kontinuerlige opretholdelse af stærke standarder i alle enheder i centraladministrationen.

Kontakt

Hvis du har spørgsmål til Cyber- og Informationssikkerhedsafdelingen, kan du skrive til infosikkerhed@nanoq.gl