Styring af leverandørsikkerhed: It-sikkerhedskrav til dine leverandører

02 oktober 2018

Rådet for Digital Sikkerhed har udstedt et holdningspapir med anbefalinger til de krav, du bør stille dine leverandører for at opnå den bedste sikring af dine data.

For at sikre virksomhedens og kundens data er det vigtigt, at virksomheden bliver bedre til at kontrollere leverandørens it-sikkerhed. Ansvaret for datasikkerhed ligger hos virksomheden. Driften af et it-system kan outsources, men det kan ansvar for datasikkerhed ikke. Det er derfor afgørende for virksomhedens datasikkerhed at have styr på - og kontrol med – sikkerheden hos leverandørerne.

Nedenfor følger en kort gennemgang af Rådet for Digital Sikkerheds budskaber. Du kan læse hele holdningspapiret fra Rådet for Digital Sikkerhed her.

Rådet for Digital Sikkerhed anbefaler, at processen for styring af leverandørsikkerhed opdeles i forskellige trin.

  1. Ensartet overblik over leverandører
    Det anbefales, at virksomheden skaber et overblik over dens leverandører og risikovurderer dem. Der bør herunder skabes et overblik over indholdet af kontrakterne, samt hvilken risiko der er forbundet med den pågældende leverandør. Virksomheden bør sikre, at risici forbundet med den pågældende leverandør bliver vurderet, prioriteret og mitigeret. 
     
  2. Skriv krav til leverandørsikkerhed i kontrakten
    Krav til informationssikkerhed og ansvarsfordeling skal skrives ind i leverandørkontrakten, da kravene herved kan håndhæves på samme måde som andre kontraktretlige krav. Virksomheden skal fastlægge og definere sikkerhedskravene til leverandøren, herunder hvilket niveau virksomheden ønsker beskyttelse på.
     
  3. Rammeværk med roller og rapportering
    For at holde styr på leverandørkontrakterne, anbefaler Rådet for Digital Sikkerhed, at virksomheden udarbejder et rammeværk, der samler de sikkerhedskontroller leverandøren skal efterleve. Virksomheden og leverandøren bør afholde regelmæssige møder vedrørende den aktuelle status på sikkerhedskravene, samt møder hvor eventuelle ændringer af processer og metoder aftales. Virksomheden bør desuden aftale med leverandøren, at virksomheden modtager regelmæssige rapporter for at få et retvisende billede af sikkerhedsniveauet. Der er desuden behov for en intern metode til at sikre leverandørstyring på tværs af forskellige afdelinger i virksomheden.
     
  4. Overvågning af overholdelse af sikkerhedskrav
    Virksomheden bør overvåge, at leverandøren overholde de aftalte sikkerhedskrav. Dette kan gøres ved at aftale en rapportering med leverandøren, der indeholder årlig vurdering af sikkerhedsniveau, modenhed inden for governance af sikkerhed, og hvorvidt rapporter og møder er blevet afholdt korrekt. 
     
  5. Løbende kommunikation om trusler, sårbarhed og risici
    Leverandøren skal uden unødig ophold underrette virksomheden ved sikkerhedsbrister, hvorefter virksomheden inden 72 timer skal underrette Datatilsynet. Det er derfor afgørende, at kommunikationen mellem leverandør og virksomhed fungerer.

Bird & Birds kommentarer

Det er afgørende, at sikkerhedskrav og roller skrives ind i kontrakten, således at der ikke er nogen tvivl om rolle- og ansvarsfordelingen. Det er desuden afgørende, at virksomheden følger op på, at de krav der er skrevet i kontrakten, bliver overholdt af leverandøren.

> Tilmeld dig vores nyhedsbrev og få de seneste nyheder, gode råd og invitationer til events