Disse spørgsmål bør du stille til dine it-leverandører

Mange virksomheder outsorcer it-drift og it-sikkerhed. Få tips til hvordan du sikrer, at dine leverandører og samarbejdspartnere har styr på din data og it-sikkerhed.

Har I også valgt at outsource virksomhedens it-drift til eksterne it-leverandører, så it-sikkerheden er på professionelle hænder? Så får du her inspiration til, hvilke krav du bør stille til din leverandør.

Det er altid virksomhedens eget ansvar, at it-sikkerheden er i orden, også selvom I outsourcet it-sikkerheden til eksterne leverandører. Derfor er det vigtigt, at du sørger for at stille krav til din eksterne leverandør og få dem skrevet ind i en samarbejdskontrakt.

Stil krav til hvordan leverandøren opbevarer jeres data ved at spørge:

  • Hvor ligger virksomhedens data rent fysisk? Det vil sige, på hvilken lokation og i hvilket land står de servere, der indeholder jeres virksomhedsdata? Du skal være opmærksom på, at der gælder særlige regler, hvis dine data opbavares uden for EU's grænser. 

Her kan du kan læse mere om overførsel af personoplysninger til tredjelande

Stil krav til leverandørens it-processer ved at spørge:

  • Hvordan og hvor tages backup?
  • Hvad er processen for antivirusprogrammer og deres opdatering?
  • Hvordan er processen for opdateringer og ændringer af it-systemer og programmer?
  • Hvordan styrer I brugeradgang og -rettigheder til it-systemerne?

Stil krav til leverandørens it-sikkerhedsforanstaltninger ved at spørge:

  • Hvordan sikrer I sikkerheden mellem datanetværkerne? For eksempel via logning af netværker, segmentering af netværker eller firewall?
  • Hvordan dokumenterer I virksomhedens netværker? For eksempel i en grafisk netværksoversigt?

Stil krav til it-leverandørens beredskab og test af sikkerhedsløsninger ved at spørge:

  • Har I en it-beredskabsplan? Det skal for eksempel fremgå, at leverandøren giver virksomheden besked ved sikkerhedshændelser.
  • Tester I løbende it-sikkerheden i virksomheden?

Stil krav til leverandørens behandling af persondata ved at spørge:

  • Hvordan håndterer I persondata?
  • Hvordan sikrer I fortroligheden af de persondata, I behandler for os?

Bed om en løbende afrapportering

Leverandøren skal løbende (fx kvartalsvist) rapportere om sikkerhedshændelser og give en status på de sikkerhedsprocedurer, som er aftalt i samarbejdskontrakten.

På den måde får I indsigt i, om leverandøren lever op til sine forpligtelser, og om jeres it-sikkerhedsniveau er i orden.