Egedal Kommune bruger Secure ISMS som fagsystem for kommunens informationssikkerhed

For tre år siden lyste it-sikkerhedslamperne rødt i Egedal Kommune. Vigtige opgaver blev ikke udført, og der manglede central styring. I dag er der fuld kontrol over sikkerhedsarbejdet

I 2015 modtog byrådet i Egedal Kommune 20 bemærkninger i forbindelse med den årlige revision af it-kontrollen. Bemærkningerne rangerede fra mindre påtaler til deciderede kritiske punkter, de såkaldte kategori 1’ere. Som et led i en generel sikkerhedsoprustning investerede Egedal Kommune i Neuparts sikkerhedsværktøj, Secure ISMS (tidligere SecureAware). Og kort tid efter blev Annette Rokkjer ansat som chefkonsulent i Egedal Kommune med ansvar for at implementere centrale elementer fra den internationale sikkerhedsstandard, ISO27000. Hendes første opgave var at danne sig et overblik over sikkerhedsniveauet i Egedal Kommune og spotte de største huller. Dem var der nogle stykker af.

“Der var ingen sikkerhedsorganisation, som kunne bestemme risici for kommunen. Der var ingen sikkerhedspolitik. Der var ingen opdateret sikkerhedshåndbog. Og der var ingen risikovurderinger af kommunens it-systemer,” siger Annette Rokkjer og tilføjer, at kommunen på mange måder havde gode intentioner, og at der også fandtes stor viden om it-sikkerhed i kommunen.

“Men den viden var spredt ud over fagpersoner i kommunens forskellige forvaltninger. Der var ingen central styring.”

Annette Rokkjer, Chefkonsulent Egedal Kommune

Annette Rokkjer, Chefkonsulent
Egedal Kommune

Risikovurdering af kritiske systemer

I sin første tid fik Annette Rokkjer god hjælp fra Neuparts konsulenter, som blandt andet var med til at gennemføre risikovurderinger af kommunens “liv-og-død”-systemer. Altså, de systemer, som bare ikke må kompromitteres, hvis kommunen skal kunne levere basale velfærdsydelser.

“Sammen med Neuparts konsulent fik vi foretaget risikovurderingerne og dokumenteret det hele. Vi lavede også en skrivebordsberedskabsøvelse, som genererede en kritisk rapport, jeg kunne bruge overfor ledelsen. Det var lidt af en øjenåbner for dem. Sikkerhed er ikke kun databeskyttelse. Det er også sikring af hele den infrastruktur, der holder vores kritiske it-systemer i luften,” siger Annette Rokkjer.

Secure ISMS kommer 360 grader rundt

Secure ISMS er Annette Rokkjers styringsværktøj. Hun kalder det selv for sit fagsystem til informationssikkerhed.

“Jeg er et strukturmenneske. Så for mig er det rart at have ét værktøj, hvor alt er samlet. Skabeloner, vejledninger, e-læringssessioner, sikkerhedshåndbog, beredskabsplaner og så videre. Hvis jeg følger den systematik, der er bygget ind i Secure ISMS, ved jeg, at jeg kommer 360 grader rundt, og at alt er dokumenteret, når jeg er færdig. Det giver en stor tryghed,” siger hun. 

Alle data ligger i Secure ISMS

Annette Rokkjer er ikke uddannet indenfor it-sikkerhed og har heller ikke en stor teknisk viden. Derfor er det også vigtigt for hende, at hun har adgang til simple værktøjer og konsulenter, der taler forståeligt dansk og ikke teoretisk tågesnak.

“Selvom jeg har kolleger, der hjælper mig, har jeg været meget alene om at løse informationssikkerhedsopgaverne i Egedal Kommune. Derfor har jeg brug for praktisk sparring og konkret systemunderstøttelse for ikke at fare vild,” siger hun.

I dag har Egedal Kommune ét autoritativt sted, hvor de lægger alt deres sikkerhedsarbejde. Dokumenter flyder ikke frit, netværksdrevet bliver ikke brugt til lagring af data, og kritiske oplysninger bliver ikke noteret på små lapper papir.

“Alt ligger i Secure ISMS, hvor folk kan finde det og orientere sig.”

Sikkerhedslamperne lyser grønt

Ved den eksterne it-revision i 2018 var der kun fem bemærkninger i rapporten, hvoraf én skyldtes en kontrolsvaghed hos deres driftsleverandør.

“Egedal Kommune er i dag kommet langt med at få skabt både rammerne og indholdet for vores informationssikkerhed. Der er stadig et stykke vej at gå, men vi ved hvad der skal til,” siger Annette Rokkjer og slutter:

“Secure ISMS er med til at fastholde og dokumentere vores informationssikkerhed. Men det største arbejde foregår ude i organisationen, hvor vi har fokus på fortsat at øge sikkerhedsbevidstheden.”

Egedal Kommune bruger Secure ISMS