1. Kravsudarbejdelse

Når man skal udarbejde sikkerhedskrav til leverandøren, bør man dels forholde sig overordnet til leverancen og dels konkret til risikovurderinger af de elementer (informationer, systemer, infrastruktur), der indgår i leverancen

Eksempler på spørgsmål man kan stille til leverancen:

Er det en standardiseret eller en specialiseret ydelse?
Hvad er kritikaliteten af leverandørens ydelse?

• Er der udarbejdet en risikovurdering med udgangspunkt i risikoen for de registreredes rettigheder?
• Er der en eksisterende risikovurdering, man kan tage udgangspunkt i?
• Skal der udarbejdes en trusselsvurdering i forhold til ydelsen?

På baggrund af leverancens kategorisering og risikoprofil skal man herefter udvælge de nødvendige sikkerhedskrav, som skal indgå i kravspecifikation og udbudsmateriale.

Billedet illustrerer Fase 1: Kravudarbejdelse

Digitaliseringsstyrelsens kravkatalog til leverandører

Digitaliseringsstyrelsen har udarbejdet et kravkatalog, som er en hjælp og inspiration til at stille relevante sikkerhedskrav ved udbud og indgåelse af it-kontrakter med leverandører.

Hent Digitaliseringsstyrelsens kravkatalog til leverandører.

Stil også krav til rapportering

I kravudarbejdelsen bør man tage stilling til, hvilken grad af dokumentation for overholdelse af kravene, leverandøren skal levere. For nogle krav er det nok at henvise til en generel revisionserklæring eller fx et ISO 27001-certifikat. For andre bør man stille krav om rapportering eller om en systemspecifik revisionserklæring baseret på inspektion og stikprøver. Graden af evidens afhænger af den overordnede leverance og de gennemførte risikovurderinger.

Indledende overvejelser om Samarbejdsmodel mellem myndighed og leverandør i kravudarbejdelsen

Det er vigtigt at gøre sig indledende overvejelser om samarbejdsmodellen i kravsudarbejdelsen, især i forbindelse med EU-udbud. Vigtige elementer i dette er blandt andet, at:

fastlægge, hvordan leverandøren skal dokumentere efterlevelse af kravene på sikkerhedsområdet

beslutte, hvilke former for afrapportering, der skal leveres fra leverandøren

beslutte frekvens og struktur for statusmøder

fastsætte krav til revisionserklæringer

fastsætte retten til at gennemføre inspektion, audit eller revision hos leverandøren

Beslutte grænsefladen mellem myndighed og leverandør i forhold til sikkerhedshændelser og beredskab, herunder sikring af at myndigheden kan rapportere brud på persondatassikkerhed indenfor 72 timer.

En mere udtømmende liste over, hvilke elementer man bør forholde sig til i udarbejdelsen af aftalegrundlaget, kan man finde i Center for Cybersikkerhed og Digitaliseringsstyrelsen vejledning Informationssikkerhed i leverandørforhold.

Casebeskrivelse:

I Rigspolitiet har man gjort sig erfaringer med foruddefinerede kravkataloger for informationssikkerhed med nøglekrav til forskellige kategorier af systemer. Herved har man et godt udgangspunkt for kravudarbejdelsen, hvor krav, der er centrale i forhold til bestemte typer af løsninger, er identificeret og beskrevet på forhånd.

Case: Differentierede kravkataloger i Rigspolitiet

Kravkatalog som "menukort"

I Rigspolitiet arbejder man med information og systemer med forskellig klassifikationsgrad og følsomhed.

For at lette arbejdet med at udvælge krav i forbindelse med udbudsarbejdet, har man arbejdet med en model med et antal krav-"menukort" til forskellige grader af klassifikation, som man kan vælge krav fra.
I disse kataloger er nogle krav angivet som "nøglekrav". Princippet bag nøglekravene er ikke, at de er obligatoriske at medtage, men at man er forpligtet til at angive en saglig begrundelse, hvis man fravælger dem (fx på baggrund af en konkret risikovurdering eller fordi kravene ikke giver mening i sammenhængen).

På den måde får man vejledning til at udvælge krav svarerende til informationens eller systemets følsomhed, men har samtidig fleksibilitet i valg af krav, da man ikke har defineret "mindstekrav".
Forskellen på de forskellige "menukort" består i såvel antallet samt indholdet af definerede nøglekrav.

Sikkerhed, når du arbejder hjemme

1. Kravsudarbejdelse

Eksempler på spørgsmål man kan stille til leverancen:

Digitaliseringsstyrelsens kravkatalog til leverandører

Stil også krav til rapportering

Eksempel på leverandørkategoriseringsmodel

Indledende overvejelser om Samarbejdsmodel mellem myndighed og leverandør i kravudarbejdelsen

Casebeskrivelse:

Case: Differentierede kravkataloger i Rigspolitiet

Kravkatalog som "menukort"

Genveje

Følg os

Bliv klogere på...

Sikkerhed, når du arbejder hjemme

1. Kravsudarbejdelse

Eksempler på spørgsmål man kan stille til leverancen:

Digitaliseringsstyrelsens kravkatalog til leverandører

Stil også krav til rapportering

Eksempel på leverandørkategoriseringsmodel

Indledende overvejelser om Samarbejdsmodel mellem myndighed og leverandør i kravudarbejdelsen

Casebeskrivelse:

Case: Differentierede kravkataloger i Rigspolitiet

Kravkatalog som "menukort"

Genveje

Følg os