1. Kravsudarbejdelse

Når man skal udarbejde sikkerhedskrav til leverandøren, bør man dels forholde sig overordnet til leverancen og dels konkret til risikovurderinger af de elementer (informationer, systemer, infrastruktur), der indgår i leverancen

Eksempler på spørgsmål man kan stille til leverancen:

  • Er det en standardiseret eller en specialiseret ydelse?
  • Hvad er kritikaliteten af leverandørens ydelse?

• Er der udarbejdet en risikovurdering med udgangspunkt i risikoen for de registreredes rettigheder?
• Er der en eksisterende risikovurdering, man kan tage udgangspunkt i?
• Skal der udarbejdes en trusselsvurdering i forhold til ydelsen?

På baggrund af leverancens kategorisering og risikoprofil skal man herefter udvælge de nødvendige sikkerhedskrav, som skal indgå i kravspecifikation og udbudsmateriale.

 Billedet illustrerer Fase 1: Kravudarbejdelse

Digitaliseringsstyrelsens kravkatalog til leverandører

Digitaliseringsstyrelsen har udarbejdet et kravkatalog, som er en hjælp og inspiration til at stille relevante sikkerhedskrav ved udbud og indgåelse af it-kontrakter med leverandører.

Hent Digitaliseringsstyrelsens kravkatalog til leverandører.