Informationssikkerhed i leverandørforhold

Leverandørstyring er en central del af organisationers cyberforsvar og derfor har Digitaliseringsstyrelsen og Center for Cybersikkerhed udgivet en vejledning, der giver en række anbefalinger til organisationer, der bruger leverandører.

Vejledningen henvender sig til ledelsen af organisationer og til de medarbejdere, der skal deltage i styringen af samarbejdet før, under og efter aftaleperioden.

Anbefalinger i vejledningen:

I vejledningen anbefales blandt andet, at organisationen:

  • Opretholder nødvendige kompetencer til at styre informationssikkerheden i kunde/leverandørforholdet.
  • Foretager løbende risikovurderinger af det forhold, at en leverandør varetager it-driften og dermed kan påvirke beskyttelsen af tilgængelighed, fortrolighed og integritet af informationer.
  • Stiller krav om informationssikkerhed til leverandøren med fokus på effekt - kort fortalt: Hav fokus på ”hvad” fremfor ”hvordan”.
  • Løbende følger op på, om leverandøren efterlever de stillede krav.