Leverandørstyring

En stor del af den offentlige it-drift er outsourcet til eksterne leverandører. Leverandørstyring spiller derfor en vigtig rolle i mange myndigheders håndtering af informationssikkerhed.

Hvad er en leverandør?

En leverandør kan levere en lang række af forskellige produkter, varer eller ydelser til en forretning eller en privatperson. En leverandør er en fysisk person eller en virksomhed.

Hvorfor er leverandørstyring vigtig?

Når myndigheden overlader driften af sine it-systemer til en leverandør, kan der opnås en række fordele, såsom adgang til færdigheder, myndigheden ikke har inhouse samt bedre udnyttelse af interne ressourcer.

Outsourcing sker dog på bekostning af direkte kontrol. Derfor er det vigtigt at sikre et højt sikkerhedsniveau gennem indirekte kontrolværktøjer som aftalegrundlag, statusmøder, måling, rapportering og revision.

Det er essentielt for myndighedens informationssikkerhed, at disse værktøjer er effektive. Det er blandt andet det, leverandørstyring handler om.

Højt trusselsniveau kræver bedre leverandørstyring

I følge Center for Cybersikkerhed er cybertruslen er blevet et grundvilkår for danske myndigheder og virksomheder. Samtidig er der med indførelsen af skærpet lovning de seneste år, herunder Databeskyttelsesforordningen (GDPR) sket en tydeliggørelse af vigtigheden af at fremme beskyttelse af persondata . Dette øger betydningen af, at myndigheden har en grundig tilgang til informationssikkerheden hos leverandøren, da konsekvenserne ved sårbarheder hos leverandøren og læk kan være store. Center for Cybersikkerhed og Digitaliseringsstyrelsen har udgivet en vejledning om emnet.

Se vejledningen: Informationssikkerhed i leverandørforhold

Indbygget databeskyttelse (privacy by design)

Behandlingssikkerhed omhandler korrekt og sikker behandling af information, fx personoplysninger, hvilket blandt andet kan opnås gennem design og standardindstillinger. Tilsvarende ved leverandørstyring skal databeskyttelse gennem design og standardindstillinger indtænkes i fx it-systemer tidligst muligt.

Læs mere om Indbygget databeskyttelse (privacy by design)

Leverandørstyring og ISO 27001

I dag anvender de fleste myndigheder outsourcing, og flere er underlagt krav om outsourcing af it-drift. Leverandørstyring fylder dog ikke særlig meget i ISO 27001-standarden, men fremgår i Anneks A afsnit 15, hvor der er 5 kontroller, som omhandler leverandørstyring. Disse kontroller er derfor meget essentielle for myndigheder med outsourcing.

 Se rejsefortællingen om krav og opfølgning på sikkerhed

En leverandørstyringsproces kan beskrives i 5 faser

Billedet illustrer de 5 faser i leverandørstyringsprocessen, samt fase 0, som er opbygningsprocessen, og det samlede overblik, som er forudsætningerne for opbygningen af en effektiv leverandørstyrringsproces. I det følgende beskrives de enkelte faser nærmere.

Billedet illustrer de 5 faser i leverandørstyringsprocessen, samt fase 0, som er opbygningsprocessen, og det samlede overblik, som er forudsætningerne for opbygningen af en effektiv leverandørstyrringsproces. I det følgende beskrives de enkelte faser nærmere.

Kontraktstyring – en forudsætning for leverandørstyring

En af de væsentligste forudsætninger for leverandørstyring er, at man har et godt overblik over, hvilke leverandører, man har, og hvor kontrakterne er i deres livscyklus. Da kravudarbejdelse, udbudsprocesser og leverandørudvælgelse ofte er meget tidskrævende, bør man påbegynde disse aktiviteter i god tid før aftaler skal indgås eller genudbydes.

Billedet illustrerer Kontraktstyring, som er en vigtig forudsætning for leverandørstyring og opnåelse af et samlet overblik.

 Billedet illustrerer Kontraktstyring, som er en vigtig forudsætning for leverandørstyring og opnåelse af et samlet overblik. 

En velfungerende kontraktstyring er derfor en forudsætning for leverandørstyring, og man bør have et samlet overblik over hvilke faser de enkelte aftaler og leverandører er i:

  • Udbud
  • Implementering
  • Drift
  • Afslutning / På vej i genudbud.

Fasemodel for kontrakter

Model for overblik over kontrakter og deres livscyklus

Casebeskrivelse

Moderniseringsstyrelsen lægger ligeledes vægt på kontraktstyring i deres leverandørstyring, som er beskrevet i nedenstående case.

Case: Leverandørstyring i Moderniseringsstyrelsen

Overblik over leverandører, kontrakter og deres livscyklus

Moderniseringsstyrelsen har mange komplicerede systemer, mange leverandører og mange kontrakter. Det kan tage lang tid at udarbejde kravs-materiale til udbud, og derfor er det vigtigt at starte analysefasen i god tid. Forudsætningen for dette er er, at man er opmærksom på, hvor de forskellige kontrakter er i deres livscyklus. Det er derfor essentielt for kvaliteten i kravs- og udbudsarbejdet, at man i styrelsen har et godt overblik over kontrakterne.

En anden tilgang til udarbejdelsen af krav til sikkerhed

Udbudsretligt skelnes der traditionelt mellem krav og mindstekrav.
I Moderniseringsstyrelsen har man tidligere primært arbejdet med mindstekrav på sikkerhedsområdet. Denne tilgang er man i gang med at revidere, så man erstatter mindstekrav med krav, som leverandøren i tilbuddet bliver bedt om at beskrive hvorledes de vil opfylde det. Derved opnår man at Leverandørerne i deres tilbud må redegøre for, hvordan de har tænkt sig at opfylde kravet og ikke blot angive, at kravet er opfyldt. Man får derved et mere udførligt og nuanceret beslutningsgrundlag for sit leverandørvalg.

Fokus på hvad man vil opnå, når det gælder sikkerhedskrav

Når man udarbejder sikkerhedskrav til leverandører, fokuserer man i Moderniseringsstyrelsen på, hvad man vil opnå i stedet for at beskrive specifikt, hvordan man vil opnå det. Derved undgår man at tvinge leverandører ud i dyrere og mindre effektive sikkerhedsløsninger. "Det perfekte er det godes fjende" er et af de principper, man arbejder efter.

Konkrete krav, når det gælder rapportering

Til gengæld er man i styrelsen konkret i sine krav til rapportering og opfølgning. Man pålægger leverandører at levere specifikke revisionserklæringer ud fra kontraktens krav samt rapportering på leverandørens opfølgning på revisionsanmærkninger. Selv når rapporteringskrav ikke indgår i kontrakten, er det styrelsens erfaring, at man efterfølgende kan forhandle sig frem til fornuftige aftaler om rapportering.