Difi sikrer staten tilgang til internasjonale IT sikkerhetsstandarder

Difi har for statsforvaltningen inngått en rammeavtale med Standard Online, Standard Norges salgsselskap, om tilgjengeliggjøring av standarder for styring av informasjonssikkerhet. Avtalen innbefatter tilgang til standarder for 203 statlige enheter.

- Med denne avtalen får staten tilgang til bruk av standarder som er viktige for god internkontroll på informasjonssikkerhetsområdet. Standardene gir internasjonale anbefalinger og råd om hvordan statlige enheter skal få tilstrekkelig styring og kontroll med informasjonssikkerheten. Avtalen vil sikre tilgang til siste versjon av de internasjonale standardene og være et viktig bidrag i arbeidet med å styrke informasjonssikkerheten i staten, sier seksjonssjef i Difi Lillian Røstad.

- Vi er veldig fornøyde med at staten her ser verdien av det internasjonale arbeidet som i dag utføres for å få fram standarder på samfunnskritiske områder. Avtalen med Difi er for oss en mulighet til å komme i inngrep med flere statlige etater, sier adm. dir. i Standard Norge og styreleder i Standard Online, Trine Tveter.

Flere av standardene i 27000-serien (utarbeidet av de internasjonale standardiseringsorganisasjonene ISO og IEC) har nylig vært under revisjon. De nye versjonene gjør det lettere å skape helhetlige styringssystem, slik Difi og Regjeringen anbefaler. Blant annet er listen med kontrolltiltak i standarden 27001 oppdatert for å håndtere utfordringer knyttet til skytjenester.

Fakta om avtalen

Med denne avtalen legges det til rette for at statsansatte som har behov for det, kan få tilgang til standardene i «it-sikkerhetspakken» fra Standard Online. Avtalen omfatter elektronisk bruk av nedlastbare versjoner av standardene og et antall utskrifter og samtidige brukere tilpasset enhetenes størrelse.

Følgende standarder ligger i avtalen:

  • NS-ISO/IEC 27000:2012 Informasjonsteknologi - Sikkerhetsteknikk - Styringssystemer for informasjonssikkerhet - Oversikt og terminologi
  • NS-ISO/IEC 27001:2013 Informasjonsteknologi - Sikringsteknikker - Styringssystem for informasjonssikring - Krav
  • NS-ISO/IEC 27002:2013 Informasjonsteknologi - Sikringsteknikker - Tiltak for informasjonssikring
  • NS-ISO/IEC 27003:2010 Informasjonsteknologi - Sikringsteknikker - Veiledning i implementering av styringssystem for informasjonssikkerhet
  • NS-ISO/IEC 27004:2009 Informasjonsteknologi - Sikringsteknikker - Styring av informasjonssikkerhet - Måling
  • NS-ISO/IEC 27005:2011 Informasjonsteknologi - Sikringsteknikker - Risikostyring av informasjonssikkerhet

Avtalen gjelder for to år, fra 15. november 2013 og ut 2015. Difi regner med at dette skal gi enhetene god tid til å etablere fungerende styringssystemer. Enheter som allerede har en avtale med Standard Online vil automatisk få tilgang til standardene.  Øvrige enheter må registrere seg hos Standard Online.

Slik får du tilgang til standardene

Difi har en viktig rolle som pådriver for, og bidragsyter til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen. Denne avtalen er et slikt bidrag. Difi vil nå arbeide videre med kurs, tilpasset veiledningsmateriell og annen kompetanseheving i informasjonssikkerhet.

Fakta om styringssystem for informasjonssikkerhet

Statsforvaltningen er i dag pålagt å ha en internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Difi anbefaler enhetene å basere seg på standarden ISO/IEC 27001. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001 og innholdsmessig støtte seg på ISO/ IEC 27002:2013. Den pålagte internkontrollen/styringssystemet kan samtidig med fordel være en integrert del av enhetenes helhetlige styringssystem for kontinuerlig forbedring av enhetenes arbeidsprosesser, måloppnåelse, informasjonssikkerhet, HMS, miljøledelse, samfunnsansvar m.v.

Sist endret: 
18. aug 2017

Deldette