Stil også krav til rapportering
I kravudarbejdelsen bør man tage stilling til, hvilken grad af dokumentation for overholdelse af kravene, leverandøren skal levere. For nogle krav er det nok at henvise til en generel revisionserklæring eller fx et ISO 27001-certifikat. For andre bør man stille krav om rapportering eller om en systemspecifik revisionserklæring baseret på inspektion og stikprøver. Graden af evidens afhænger af den overordnede leverance og de gennemførte risikovurderinger.
Eksempel på leverandørkategoriseringsmodel
Udformningen af krav til leverandørens sikkerhed, rapportering og revisionserklæringer bør stå i relation til leverancens art og kritikalitet.
Indledende overvejelser om Samarbejdsmodel mellem myndighed og leverandør i kravudarbejdelsen
Det er vigtigt at gøre sig indledende overvejelser om samarbejdsmodellen i kravsudarbejdelsen, især i forbindelse med EU-udbud. Vigtige elementer i dette er blandt andet, at:
fastlægge, hvordan leverandøren skal dokumentere efterlevelse af kravene på sikkerhedsområdet
beslutte, hvilke former for afrapportering, der skal leveres fra leverandøren
beslutte frekvens og struktur for statusmøder
fastsætte krav til revisionserklæringer
fastsætte retten til at gennemføre inspektion, audit eller revision hos leverandøren
Beslutte grænsefladen mellem myndighed og leverandør i forhold til sikkerhedshændelser og beredskab, herunder sikring af at myndigheden kan rapportere brud på persondatassikkerhed indenfor 72 timer.
Gode erfaringer fra Faxe Kommune
I filmen præsenterer Faxe Kommune nogle af de gode erfaringer, de har gjort sig, når de skal indkøbe nye systemer og skal sikre sig, at leverandøren kan levere den nødvendige sikkerhed.
Hvis du vil have mere inspiration til, hvilke elementer du bør forholde dig til i udarbejdelsen af aftalegrundlaget, kan du finde mere i Center for Cybersikkerhed og Digitaliseringsstyrelsens vejledning Informationssikkerhed i leverandørforhold.
Hent Vejledning: Informationssikkerhed i leverandørforhold