Tønder Kommune bliver ISO 27001-certificeret i 2018

Tønder Kommune bliver ISO 27001-certificeret i 2018

Ved at arbejde med en tredjepart og gå efter en formel ISO 27001-certificering vil Tønder Kommune sikre topkvalitet i det rent procesmæssige samt troværdighed og tillid i forhold til politikere og borgere.
Tønder Kommune har valgt at gå efter at blive formelt certificeret ifølge datasikkerhedsstandarden ISO 27001, og i tæt samarbejde med Det Norske Veritas arbejder kommunen hen imod en certificering senest i foråret 2018.
”Ved at have et formelt samarbejde med en tredjepart som Det Norske Veritas sikrer vi, at vi kommer hele vejen rundt og også i dybden med risikovurdering, gap-analyse og alle de andre elementer i arbejdet med datasikkerhed. Derudover er en formel certificering et meget stærkt og tillidsskabende bevis på, at vi rent faktisk gør det, vi siger, vi vil gøre på sikkerhedsområdet,” siger Lars Møldrup, Fagchef for Sekretariat, IT og Borgerservice i Tønder Kommune.
Certificeringen er også et redskab til at sikre den nødvendige bevidsthed og forankring af ansvar for sikkerheden, også på øverste ledelsesniveau.
”Der er ingen, der har lyst til at miste en certificering og dermed troværdighed. Så vi tror på, at en formel certificering vil betyde, at der vil blive handlet aktivt på sikkerhedsmæssige problemstillinger frem for blot at føre dem til notat,” forklarer Lars Møldrup.
Er prisen værd
En certificering vil ifølge Lars Møldrup også kunne levere et meget kort og effektivt svar, når man bliver bedt om at redegøre for sikkerheden i forhold til behandlingen af borgernes data.
”Hvis vi over for politikere eller borgere skal forklare, hvilket sikkerhedsniveau vi ligger på, så er en certificering et rigtig godt og kort svar på det. Alternativet er, at vi skulle forklare i detaljer, hvad vi har gjort, og hvis vi ikke kan henvise til en uafhængig tredjepart, bliver folk nødt til at stole på, at kommunens egenkontroller er i orden,” siger han.
”Vi ønsker løbende at blive klogere på arbejdet med datasikkerhed og at kunne stå på mål for det, vi gør. Samtidig håber vi, at vi kan komme til at arbejde tættere sammen med andre kommuner på dette vigtige område og give sparring til de kommuner, der overvejer at gå samme vej som os,” siger Lars Møldrup.
Certificeringen har selvfølgelig en pris, men Lars Møldrup mener, at den er værd at betale.
”Selvfølgelig er der omkostninger forbundet med selve certificeringsdelen, men gennem en certificering sikrer vi, at vi bruger præcis de ressourcer, der skal til, hverken mere eller mindre. Jeg ser faktisk en certificering som et godt værn mod at komme til at skyde over målet,” siger han.
 
Samspil med DPO
Arbejdet med ISO 27001 og den kommende Databeskyttelsesforordning hænger tæt sammen.
”Vi får noget forærende ved at gå hele vejen med ISO 27001. Hvis vi lever op til den, lever vi også i udstrakt grad op til Databeskyttelsesforordningen,” siger Lars Møldrup og fortsætter:
”Der er naturligvis elementer i Databeskyttelsesforordningen, som ISO 27001 ikke dækker. Vi får for eksempel ikke en DPO gennem arbejdet med 27001, men til gengæld vil jeg hævde, at ved at leve op til ISO 27001 på certificeringsniveau vil vi også udføre en del af DPO’ens opgaver. Så her ligger der en potentiel sidegevinst ved investeringen i en certificering.”
 
Ikke kun for ”særligt interesserede”
Selve arbejdet med at implementere ISO 27001 er taget ind i et standardprocesforløb baseret på fire-step-modellen ”Plan-Do-Check-Act” der typisk anvendes i forbindelse med kontroller og løbende forbedring af processer og produkter. I første halvdel af 2016 blev ledelsessystemet til risikovurdering etableret, eksisterende dokumentation blev revideret, og efter behov blev der produceret ny dokumentation. Efterfølgende startede der et årshjul med en lang række aktiviteter, der kører kontinuerligt og parallelt. og i parallel. Det drejer sig eksempelvis om revision af risikostyring og sikkerhedsmål, planlægning af awarenesskampagner og kommunikation, selve udførelsen af kampagner, risikovurderinger, målinger, interne audits samt mindst én gang om året en ledelsesevaluering af risikostyringen.
Processen drives af et informationssikkerhedsudvalg bestående af direktøren for Centralforvaltningen, Teknik og Miljø, fagchefen for Sekretariat, IT og Borgerservice, IT-driftschefen samt informationssikkerhedskoordinatoren.
”Målet er at få arbejdet med datasikkerheden spredt effektivt ud i organisationen, så det ikke bare bliver et projekt for ”særligt interesserede”. En vigtig del af certificeringsprocessen er, at organisationen påtager sig det nødvendige ansvar og ejerskab i forhold til sikkerheden frem for at fokusere på at give ansvar fra sig,” siger Lars Møldrup.