Krav til informationssikkerhed
Det danske samfund er afhængigt af internettet og digitale løsninger, som skaber velstand og velfærd. Men den øgede digitalisering gør os også sårbare for digitale trusler og stiller krav til, at vi formår at beskytte os tilstrækkeligt. Derfor mødes Styrelsen for It og Læring (STIL) af en lang række eksterne krav til sikkerhedsarbejdet, som blandt andet tæller Databeskyttelsesforordningen, Databeskyttelsesloven, NIS2, ISO 27001, tekniske minimumskrav, NSIS, Center for Cybersikkerheds cybersikkerhedskrav, AI-forordningen mv.
Risikostyring og informationssikkerhed
Risikostyring er en fundamental del af arbejdet med informationssikkerhed og sikrer et grundlag for strategisk prioritering, effektiv ressourceudnyttelse, samt at sårbarheder afdækkes og dokumenteres.
Med udgangspunkt i risikovurderinger og de eksterne krav udarbejder og implementerer vi retningslinjer for informationssikkerhed i ministeriets systemer og opretholder supplerende procedurer og beredskabsplaner i Børne- og Undervisningsministeriet. Formålet er at sikre, at informationssikkerheden er i top, når det gælder de it-produkter, vi selv udvikler, og som hver dag anvendes af mange mennesker og til en lang række formål, for eksempel login til studieadministrative systemer eller afvikling af prøver.
Koordinerende rolle og tilsyn
Ud over det interne arbejde med informationssikkerhed har vi en koordinerende rolle i forhold til vejlede og hjælpe undervisningssektoren i forhold til it-sikkerhed og databeskyttelse. Styrelsen udfører også tilsyn med informationssikkerheden på de selvejende institutioner og statsinstitutionerne.
Vores it-sikkerheds- og databeskyttelsesindsats omfatter tre centrale områder, som definerer arbejdet med informationssikkerhed:
Produktvendte indsatser (ministeriets egne it-systemer)
- Vejledning vedr. it-sikkerhed og databeskyttelse
- Brugeradministration
- Evaluering og opfølgning på sikkerhedskontroller
- Tilsyn med leverandører
- Risikostyring
- Risikovurderinger af produktporteføljen
- It-beredskabsplan
Koncernvendte indsatser (hele ministeriet)
- Hændelseshåndtering (for eksempel ved databrud)
- Vejledning og understøttelse
- Udarbejde politikker og retningslinjer
- Bistå med risikovurderinger og databehandleraftaler
- Tilsyn med informationssikkerhed og GDPR
- Efterlevelse af ISO 27001
- Awareness
Sektorvendte initiativer
- Tilsyn med informationssikkerhed
- National strategi for cyber- og informationssikkerhed (NCIS)
- Vejledning om GDPR og informationssikkerhed
- Awarenessindsatser herunder Cybermissionen
I videoen herunder kan du høre mere om, hvordan vi arbejder med it-sikkerhed: