Q&A med Faaborg-Midtfyn Kommune: "Det er lidt en kliche, men vi er ikke bedre end det fælles niveau"

Q&A med Janni Underbjerg Nebel, GDPR-jurist hos Faaborg-Midtfyn Kommune

Hvilken cyber- og informationssikkerhedsstandard har I implementeret?

"Vi har valgt at implementere ISO 27001. Vi er ikke certificeret efter standarden, men følger principperne."

Hvor lang tid har det taget at implementere standarden?

"Vi er fortsat i en proces i forhold til at få det helt ud i det yderste led i organisationen, men det har foreløbigt taget tre år. Rammerne er på plads. Vi har igennem mange år arbejdet efter ISO 27001 standarden, men har først formaliseret fundamentet for tre års tid siden."

Hvordan har I valgt at implementere standarden?

"Ledelsessystemet er forankret i IT, Sikkerhed og Digitalisering, men ejes af ISU (hvor hvert medlem repræsenterer et fagområde).

"Vi har organiseret hele strukturen og rammerne op omkring vores informationssikkerhedspolitik og regulativ."

"Politik som det overordnede – det skal godkendes hver 4. år."

Hvilke udfordringer har I oplevet?

"Den klart største udfordring er formidlingen, det kræver at nå ud i yderste led i organisationen.

"Forankringen sker hos os i IT, men det er fagområderne og stabene som lige så meget er bærere af standarden. Da kommunen rummer mange fagligheder fra plejehjem til skoler, kræver det meget koordination, kommunikation og tilpasning at få det båret ud i alle dele af organisationen." 

"Derudover er en af vores store udfordringer ofte ressourcer og kompetencer. Det er ikke altid, vi har nok ressourcer til implementeringen, men det er heller ikke altid, at ressourcerne har de rigtige kompetencer til at løse opgaven. Derfor har vi været en gruppe afsted på kursus i informationssikkerhed for at kunne rådgive andre i organisationen."

Hvilke effekter har I set af implementeringen?

"Vi har set en klarere rollefordeling og et større fokus på informationssikkerhed generelt, som har været gavnligt. Vi har også gjort os meget umage med at invitere os selv ind og tilpasse os til de forskellige fagområder. For det er vigtigt at tage højde for forskellige kompetencer og fagligheder. Det er lidt en kliche, men vi er ikke bedre end det fælles niveau."

"Generelt har den største effekt været de nye koordineringsmuligheder på tværs af organisationen, som implementeringen har ført med sig. Det sammenspil, vi har set på tværs, er værdifuldt, og der er blevet løst nogle udfordringer, som måske ikke ellers ville være løst."

"Eksempelvis har vi opdaget, at der var systemer som ikke fungerede hensigtsmæssigt hvor der er fundet nye løsninger, som samtidigt er sikrere. Der, hvor man har opdaget udfordringer, har der været en god dialog om processerne, som ellers ikke havde været taget."

Står omkostningerne ved at implementere standarden mål med gevinsterne?

"Det er altid et svært spørgsmål at svare på og alt efter, hvor man spørger i organisationen, vil man nok få nogle forskellige svar. Men som medarbejder i informationssikkerhed, så synes jeg bestemt, at omkostningerne står mål med gevinsterne."

"Vi har fået klare rollefordringer, en mere struktureret tilgang til arbejdet med informationssikkerhed og vigtigst af alt en opmærksomhed på, hvordan ressourcerne skal prioriteres og fordeles for, at vi er compliant efter den risikovillighed organisationen ønsker at have."