Økonomiudvalget tilsluttede sig den 12. januar 2004 Videnskabsministeriets anbefaling om at gøre det obligatorisk for statens institutioner at følge en fælles standard for informationssikkerhed. Udgangspunktet skulle være de basale krav i DS 484:2005 Standard for informationssikkerhed. Det satte et stort arbejde i gang i de statslige organisationer, og de har over de sidste 3-4 år høstet en mængde erfaringer.
En standard som DS 484 implementeres ikke via et enkelt gennemløb af en udvalgt implementeringsproces. Det kræver etablering af en tilbagevendende proces, der sikrer, at man hele tiden optimerer processer, organisation og tekniske foranstaltninger for at tilpasse arbejdet med informationssikkerheden til det stadigt foranderlige risikobillede.
Undersøgelsen har haft til formål:
I rapportens Bilag 1 gengives den interviewguide og spørgeramme, som interviewundersøgelsen har taget udgangspunkt i.
Spørgerammen har to dimensioner: Områder og Emner. Områderne kan ses som hovedoverskrifter på de spørgsmål, der blev stillet, mens spørgerammens emner svarer til de temaer, man gennemgående ville have fokus på.
Rapportens konklusioner (kap. 3) og dens analyseafsnit (kap. 6) er struktureret ud fra disse to dimensioner.
Kap. 3 præsenterer konklusionerne baseret på de gennemførte interview og den efterfølgende databearbejdning og analyse. Kapitlet er bygget tematisk op efter spørgerammens emner, jf. Bilag 1: spørgerammens horisontale dimension. De enkelte temaer med tilhørende opsummeringer og konklusioner ledsages af nogle udledte anbefalinger til inspiration for andre, der arbejder med informationssikkerhed.
Kap. 4 samler rækken af anbefalinger - baseret på konklusionerne og den bedste praksis, der kan udledes af interviewundersøgelsen, jf. kap. 3 – i en liste, der angiver et naturligt projektforløb ved implementering af informationssikkerhed.
Kap. 5 gør rede for undersøgelsens datagrundlag og metode.
Kap. 6 rummer analysen, der dykker ned i spørgerammens områder (jf. Bilag 1: spørgerammens vertikale dimension) og tager fat i svarene på de enkelte spørgsmål. Analysen danner belæg og grundlag for de udledte konklusioner og anbefalinger i kap. 3.
Analysen er krydret med en hel del citater fra interviewene, udvalgt som selvforklarende og sigende læsefrugter.
Begrebet ’informationssikkerhed’ belyses kort i Bilag 2, hvor de første afsnit af DS 484:2005 standardens kap. 0 gengives: 0.1 Hvad er informationssikkerhed? og 0.2 Hvorfor er informationssikkerhed nødvendig?
Rapporten er opbygget som et samlet hele og kan læses som et sådant.
Men det er også tanken, at man fx kan nøjes med at læse kap. 1-3, hvis man har behov for et hurtigt indblik i undersøgelsen og dens resultater. Mens man kan gå videre til analysen, hvis man er yderligere interesseret. Man skal også afhængigt af behov kunne foretage punktnedslag i rapporten, fx kan en projektleder her og nu have gavn af at slå op på listen over anbefalinger i
kap. 4.
I et forsøg på at imødekomme de forskellige behov har det været nødvendigt at indarbejde visse gentagelser undervejs i rapporten.
Denne side er kapitel 2 af 6 til publikationen "Erfaringer fra implementeringen af DS 484".
Version nr. 1.0 af 01-05-2009
© IT- og Telestyrelsen 2009