Sikkerhed

""

Statens It’s sikkerhedsservice dækker dels over en række tekniske sikkerhedskomponenter og sikkerhedsrelaterede aktiviteter, dels over opretholdelsen af en række procedurer, som sikrer overholdelse af ISO27001-standarden for informationssikkerhed og kravene til GDPR

Statens It har siden februar 2014, som den første statslige styrelse, været certificeret efter den internationale standard for informationssikkerhed, ISO27001. Denne standard danner grundlaget for informationssikkerheden i Statens It samt for Statens It’s leverancesikkerhed – dvs. den sikkerhed Statens It leverer ift. egne services og kundens systemer.

I dag er arbejdet med informationssikkerhed teknisk sikkerhed mere relevant end nogensinde før. Vi er derfor i løbende dialog med Center for Cybersikkerhed, og vi arbejder hver eneste dag på at forbedre vores allerede høje niveau. 

ISO27001 er et internationalt ledelsessystem til etablering, implementering, drift, overvågning, gennemgang, vedligeholdelse og forbedring af en organisations informationssikkerhed og tilhørende ledelsessystem. Det betyder, at standarden ikke primært beskriver tekniske sikkerhedsløsninger, men derimod forankrer processer i organisationen og fokuserer på ledelsens ansvar for, at der løbende bliver udviklet og vedligeholdt de retningslinjer, der skal til.

I Statens It har vi været ISO27001-certificerede siden 2014, og vi følger en årsplan for interne og eksterne audits, risikovurderinger og revisioner for at holde os på sporet.

De eksterne audits dækker over Rigsrevisionens revisioner, KRT’s gennemgange, Datatilsynets inspektion ift. GDPR samt uafhængig auditering to gange årligt af et eksternt certificerings- og auditeringsorgan.

Internt i Statens It udfører vi løbende audits inden for de forskellige ISO-relaterede områder, og sikrer, at ISO-dokumentationen er opdateret via dokumentejerne. Der udføres risikovurderinger på egne informationsaktiver med involvering af de relevante teams i organisationen, og der følges på ugentlig basis op på den interne RTP (Risk Treatment Plan), som blandt andet rummer identificerede risici og revisionsanmærkninger.  

Den tekniske del af Statens It’s sikkerhedsservice dækker over en række tekniske sikkerhedskomponenter såsom antispam-løsning, antivirus, firewall mm.

Herudover udfører Staten It en lang række sikkerhedsrelaterede aktiviteter, bl.a. risikostyring ift. understøttende infrastruktur og forretningsgrundlag, implementering, drift og test af logisk sikring af kundens infrastruktur, patch management, log management mv.

Vi kan desuden tilbyde en række sikkerhedsrelaterede tilkøbsservices samt rådgivning på sikkerhedsområdet.

Når en kunde entrerer med Statens It, indtager vi rollen som databehandler for kunden, som dermed er dataansvarlig. Parterne underskriver en databehandleraftale, som beskriver det ansvar, kunden og Statens It har som hhv. dataansvarlig og databehandler.

Som databehandler for vores kunder, er Statens It ansvarlig for at træffe de nødvendige (tekniske og organisatoriske) sikkerhedsforanstaltninger mod at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes, forringes, kommer til uvedkommendes kendskab eller misbruges. Statens It må kun behandle personoplysninger i henhold til databehandleraftalen eller efter anden dokumenteret instruks fra kunden.

Statens It skal omgående underrette kunden, hvis en instruks efter Statens It’s mening er i strid med databeskyttelsesforordningen. Statens It træffer ikke selvstændige beslutninger om væsentlige elementer ved ”hjælpemidlerne” til behandlingen af personoplysninger (fx tekniske eller organisatoriske hjælpemidler), medmindre der er tale om en såkaldt ”shared service”, eller hvis det følger af databehandleraftalen, instruksen eller hovedaftalen. Statens It kan blive selvstændig dataansvarlig for en eventuel behandling, som man som databehandler foretager i strid med instruksen fra kunden.

I Statens It er det en forudsætning for medarbejdernes ansættelse, at de kan opnå og opretholde en sikkerhedsgodkendelse på højt niveau. 

Det betyder, at medarbejderne samt eventuel ægtefælle/samlever undersøges i Politiets registre, så Statens It kan sikre sig, at der ikke er tvivl om medarbejdernes pålidelighed i forbindelse med håndtering af klassificerede informationer.