Rådet for Digital Sikkerhed: Holdningspapir om styring af leverandørsikkerhed

Rådet for Digital Sikkerhed har udgivet et holdningspapir, der anfører en række konkrete forslag til, hvordan private virksomheder og offentlige myndigheder kan sikre informationssikkerhedsniveauet hos deres leverandører. 

Regeringen udgav i maj 2018 en ”National strategi for cyber- og informationssikkerhed”, hvorunder der indføres skærpede krav til alle offentlige myndigheder om brug af tilstrækkelige sikkerheds- og styringsbestemmelser. Rådet for Digital Sikkerhed opfatter sikring af informationssikkerhedsniveauet hos leverandører som en væsentlig del af enhver organisations sikkerhedsarbejde. En virksomhed kan lægge driften af et it-system ud til en leverandør, men ansvaret for at sikre data er fortsat placeret hos den dataansvarlige.

Opgaven kan med fordel struktureres efter fem faser som holdningspapiret foreslår. Rådet fremhæver, at der er behov for en stram styring af sikkerheden og afklaring af behov og forventninger på begge sider. Kunden kan med fordel indskrive sikkerhedskrav, roller og ansvarsfordeling i kontrakten. Herunder kan kunden og leverandøren aftale en række målbare indikatorer, som vurderes løbende. Samtidig kan det være en fordel at holde sig oplyst om aktuelle sikkerhedshændelser eller softwareopdateringer gennem en samlet database over virksomhedens leverandører. 

Læs mere...