Leverandørstyring

En stor del af den offentlige it-drift er outsourcet til eksterne leverandører. Leverandørstyring spiller derfor en vigtig rolle i mange myndigheders håndtering af informationssikkerhed.

Hvad er en leverandør?

En leverandør kan levere en lang række af forskellige produkter, varer eller ydelser til en forretning eller en privatperson. En leverandør er en fysisk person eller en virksomhed.

Hvorfor er leverandørstyring vigtig?

Når myndigheden overlader driften af sine it-systemer til en leverandør, kan der opnås en række fordele, såsom adgang til færdigheder, myndigheden ikke har inhouse samt bedre udnyttelse af interne ressourcer.

Outsourcing sker dog på bekostning af direkte kontrol. Derfor er det vigtigt at sikre et højt sikkerhedsniveau gennem indirekte kontrolværktøjer som aftalegrundlag, statusmøder, måling, rapportering og revision.

Det er essentielt for myndighedens informationssikkerhed, at disse værktøjer er effektive. Det er blandt andet det, leverandørstyring handler om.

Højt trusselsniveau kræver bedre leverandørstyring

I følge Center for Cybersikkerhed er cybertruslen er blevet et grundvilkår for danske myndigheder og virksomheder. Samtidig er der med indførelsen af skærpet lovning de seneste år, herunder Databeskyttelsesforordningen (GDPR) sket en tydeliggørelse af vigtigheden af at fremme beskyttelse af persondata . Dette øger betydningen af, at myndigheden har en grundig tilgang til informationssikkerheden hos leverandøren, da konsekvenserne ved sårbarheder hos leverandøren og læk kan være store. Center for Cybersikkerhed og Digitaliseringsstyrelsen har udgivet en vejledning om emnet.

Se vejledningen: Informationssikkerhed i leverandørforhold

Indbygget databeskyttelse (privacy by design)

Behandlingssikkerhed omhandler korrekt og sikker behandling af information, fx personoplysninger, hvilket blandt andet kan opnås gennem design og standardindstillinger. Tilsvarende ved leverandørstyring skal databeskyttelse gennem design og standardindstillinger indtænkes i fx it-systemer tidligst muligt.

Læs mere om Indbygget databeskyttelse (privacy by design)

Leverandørstyring og ISO 27001

I dag anvender de fleste myndigheder outsourcing, og flere er underlagt krav om outsourcing af it-drift. Leverandørstyring fylder dog ikke særlig meget i ISO 27001-standarden, men fremgår i Anneks A afsnit 15, hvor der er 5 kontroller, som omhandler leverandørstyring. Disse kontroller er derfor meget essentielle for myndigheder med outsourcing.

 Se rejsefortællingen om krav og opfølgning på sikkerhed

En leverandørstyringsproces kan beskrives i 5 faser

Billedet illustrer de 5 faser i leverandørstyringsprocessen, samt fase 0, som er opbygningsprocessen, og det samlede overblik, som er forudsætningerne for opbygningen af en effektiv leverandørstyrringsproces. I det følgende beskrives de enkelte faser nærmere.

Billedet illustrer de 5 faser i leverandørstyringsprocessen, samt fase 0, som er opbygningsprocessen, og det samlede overblik, som er forudsætningerne for opbygningen af en effektiv leverandørstyrringsproces. I det følgende beskrives de enkelte faser nærmere.

Kontraktstyring – en forudsætning for leverandørstyring

En af de væsentligste forudsætninger for leverandørstyring er, at man har et godt overblik over, hvilke leverandører, man har, og hvor kontrakterne er i deres livscyklus. Da kravudarbejdelse, udbudsprocesser og leverandørudvælgelse ofte er meget tidskrævende, bør man påbegynde disse aktiviteter i god tid før aftaler skal indgås eller genudbydes.

Billedet illustrerer Kontraktstyring, som er en vigtig forudsætning for leverandørstyring og opnåelse af et samlet overblik.

 Billedet illustrerer Kontraktstyring, som er en vigtig forudsætning for leverandørstyring og opnåelse af et samlet overblik. 

En velfungerende kontraktstyring er derfor en forudsætning for leverandørstyring, og man bør have et samlet overblik over hvilke faser de enkelte aftaler og leverandører er i:

  • Udbud
  • Implementering
  • Drift
  • Afslutning / På vej i genudbud.

Fasemodel for kontrakter

Model for overblik over kontrakter og deres livscyklus