Siden 2007 har DS484 udgjort statens standard for it-sikkerhed. Regeringen har nu besluttet, at de statslige institutioner også kan anvende den internationale standard, ISO 27001, i stedet for den nuværende sikkerhedsstandard, DS 484. Skiftet til ISO 27001 skal senest gennemføres, når revisionen af ISO 27001 er færdig, formentlig i 2013.

Som led i vedligeholdelsen af sættet af åbne standarder og som et led i regeringens handlingsplan for afbureaukratisering skifter staten nu standard for informationssikkerhed. Den nuværende standard for informationssikkerhed DS 484 skiftes gradvist ud med den internationale standard ISO/IEC 27001.

I 2004 besluttedes det at indføre en fælles standard for informationssikkerhed i staten. Det var primært for at sikre et ensartet højt sikkerhedsniveau, så borgerne kunne føle sig trygge ved den digitale forvaltning. På det tidspunkt var ISO-standarderne ikke så udbyggede, som de er i dag, og der blev derfor udarbejdet en dansk standard, der imødekom behovet for forbedring af informationssikkerheden i Danmark. Det danske initiativ var på mange måder en pionerindsats, der har skabt interesse fra mange hold, også internationalt.

Der er flere grunde til at man i staten ønsker at skifte til ISO/IEC 27001:

• Standarden tager udgangspunkt i den enkelte institutions risikoprofil og lægger op til, at der implementeres netop de kontrolprocedurer, der er passende for den enkelte institution
• ISO/IEC 27001 er en standard der beskriver hvordan en organisation skal implementere et ledelsessystem for informationssikkerhed. Den lægger stor vægt på ledelsens engagement og bevidste stillingtagen til hvilke procedurer, der skal indføres og hvordan. Standarden indeholder en liste af mulige kontroller, der kan indføres for at opnå et passende sikkerhedsniveau, men den lægger vægt på at listen ikke er udtømmende, så der kan være organisationer, der skal implementere flere eller andre kontroller. Det fordrer en høj grad af modenhed i den organisation, der anvender ISO/IEC 27001, men denne modenhed er nu til stede i lang de fleste statslige institutioner takket være indførelsen af DS 484 og de erfaringer, der er opnået de seneste år
•  Den internationale standard har en fleksibilitet i forhold til, at den kan anvendes sammen med andre rammeværk for informationssikkerhed som f.eks. CoBit eller ISF standard of good practice.
•  ISO/IEC 27001 er en international standard, hvilket letter samarbejdet med andre lande og i højere grad sikrer den nødvendige vedligeholdelse af standarden. Vedligeholdelse af ISO standarder varetages af internationalt sammensatte ekspertgrupper, der med jævne mellemrum vurderer behovet for revision.

ISO/IEC 27001 er en normativ standard – det vil sige, at den stiller krav – i en serie af standarder kaldet 27000 familien af standarder. Den anden normative standard er ISO/IEC 27006. I familien indgår der udover de to normative standarder en række standarder med retningslinjer for, hvordan en organisation kan implementere og overholde de normative standarder. Nedenfor er en oversigt over de vigtigste standarder i 27000 familien (nogle af disse standarder er stadig under udarbejdelse):

Det er op til de enkelte myndigheder i staten, hvorvidt de vil skifte standard allerede nu, eller om de vil vente, til næste revision af ISO/IEC 27001 er gennemført, hvilket formodentlig vil være i 2013. Når den nye standard bliver udgivet, vil der være en overgangsperiode, i hvilken institutionerne har tid til at skifte fra den ene til den anden standard, uanset om det er fra DS til ISO eller fra gammel til ny ISO.