Inga produkter i varukorgen.
Kritik mot Sis i ny studie
Standarder En undersökning vid Örebro universitet ifrågasätter legitimiteten hos Sis standarder för informationssäkerhet. Forskarna menar att det saknas transparens i framtagningen av standarderna, och att utvecklingsarbetet har för få deltagare. Men från Sis håll ifrågasätter man vilka slutsatser som kan dras av studien.
En ny avhandling har tittat på hur Sis tar fram sina standarder. Foto: Stock Adobe
Informationssäkerhet är en viktig del av kvalitetsarbetet. Dels på grund av lagstiftarnas krav på dataskydd, men också för att dagens samhälle vilar tungt på informationsteknologi, vilket bjuder in till ökad brottslighet i olika former via it-systemen.
Standarder för informationssäkerhet behövs alltså. Men hur går det till när de utvecklas? Det har några Örebroforskare studerat genom att under tre år följa Sis processer. Och i sina resultat är de kritiska till hur Sis arbetar. Studien tar bland annat upp att en grundidé är att så många medlemmar som möjligt ur SIS tekniska kommitté ska delta i arbetet. Men i verkligheten deltar bara ett fåtal aktivt i utvecklingen av informationssäkerhetsstandarder.
”Processen är allt annat än transparent”
Ett annat exempel är att standarder och dess innehåll ska vara baserade på konsensusbeslut. Forskarna tolkar sina resultat i studien som att konsensus i praktiken har fått innebörden ”avsaknad av starkt motstånd”.
– Det visar att standarder utvecklas på en begränsad datakälla, säger Karin Hedström, Karin Hedström, professor i informatik och en av författarna till studien, i en kommentar.
Allt sammantaget visar studien på att arbetet med att utveckla standarder har låg legitimitet.
– Processen är allt annat än transparent och beslut tas informellt utan att dokumenteras. Det är ett problem med tanke på att vi litar på att standardiseringsprocessen fungerar, kommenterar Annika Andersson, docent i informatik, i pressmeddelandet.
På Sis är man skeptisk
På Sis är man dock frågande till studien. Johan Dahlgren är sektionschef för
informationsteknik och ledningssystem på institutet och han påpekar att studien är kvalitativ, och bygger på vissa urval ur standardiseringsprocessen. Den beskriver således inte processen med att utarbeta standarder inom informationssäkerhet i sin helhet.
– Jag är därmed skeptisk till påståendet att det är låg legitimitet i arbetet med standarder för informationssäkerhet med detta som utgångspunkt, säger Johan Dahlgren.
Med det sagt så finns det säkerligen utvecklingspotential för att öka på legitimiteten i vissa delar av Sis process, tillägger han.
– SIS är certifierade mot ISO 9001 där ständiga förbättringar är ett ständigt pågående arbete. SIS har därför också tagit kontakt med författarna för att sätta upp ett möte för att diskutera eventuella lärdomar och medskick, säger Johan Dahlgren, som dock fortfarande väntar på svar angående mötet.
Inga skyldigheter för myndigheter
I pressmeddelandet uppger Örebro universitet även att ”myndigheter är skyldiga att följa” de internationella standarderna inom informationssäkerhetsområdet. Detta stämmer emellertid inte enligt Johan Dahlgren.
– MSB har gjort en rekommendation om att använda ISO 27001 som grund för informationssäkerhetsarbetet. De har även tagit fram ett metodstöd som baseras på bland annat ISO 27000-serien på informationssäkerhet.se. Från vårt perspektiv är standarder alltid frivilliga att använda, med några enstaka undantag kopplat till EU:s byggproduktförordningen, ett av ett fåtal exempel där standarder är tvingande, menar Johan Dahlgren.
