Leverandørstyring

En stor del af den offentlige it-drift er outsourcet til eksterne leverandører. Leverandørstyring spiller derfor en vigtig rolle i mange myndigheders håndtering af informationssikkerhed. Denne sektion gennemgår og vejleder i dele af sikkerhedsaspekterne ved leverandørstyring. Bemærk at materialet fokuserer på indkøb af it-systemer og drift.

Hvad er en leverandør?

En leverandør kan levere en lang række af forskellige produkter, varer eller ydelser til en forretning eller en privatperson. En leverandør er en fysisk person eller en virksomhed.

Hvorfor er leverandørstyring vigtig?

Når myndigheden overlader driften af sine it-systemer til en leverandør, kan der opnås en række fordele, såsom adgang til færdigheder, myndigheden ikke har inhouse samt bedre udnyttelse af interne ressourcer.

Outsourcing sker dog på bekostning af direkte kontrol. Derfor er det vigtigt at sikre et højt sikkerhedsniveau gennem indirekte kontrolværktøjer som aftalegrundlag, statusmøder, måling, rapportering og revision.

Det er essentielt for myndighedens informationssikkerhed, at disse værktøjer er effektive. Det er blandt andet det, leverandørstyring handler om.

Kom godt i gang med leverandørstyring

Leverandørstyring består af mange faser. I filmen kan du især blive klogere på den fase, der følger, når kontrakten med leverandøren er indgået. Undervejs i filmen kan du teste din viden.

Højt trusselsniveau kræver bedre leverandørstyring

I følge Center for Cybersikkerhed er cybertruslen blevet et grundvilkår for danske myndigheder og virksomheder. Samtidig er der med indførelsen af skærpet lovgivning de seneste år, herunder Databeskyttelsesforordningen (GDPR) sket en tydeliggørelse af vigtigheden af, at fremme beskyttelse af persondata. Dette øger betydningen af, at myndigheden har en grundig tilgang til informationssikkerheden hos leverandøren, da konsekvenserne ved sårbarheder hos leverandøren og læk kan være store. Center for Cybersikkerhed og Digitaliseringsstyrelsen har udgivet en vejledning med anbefalinger til, hvordan organisationer kan overse cyber- og informationssikkerheden i de forskellige faser af et outsourcing-forløb. 

Se vejledningen: Cybersikkerhed i leverandørforhold

Indbygget databeskyttelse (privacy by design)

Behandlingssikkerhed omhandler korrekt og sikker behandling af information, fx personoplysninger, hvilket blandt andet kan opnås gennem design og standardindstillinger. Tilsvarende ved leverandørstyring skal databeskyttelse gennem design og standardindstillinger indtænkes i fx it-systemer tidligst muligt.

Læs mere om Indbygget databeskyttelse (privacy by design)

Leverandørstyring og ISO 27001

I dag anvender de fleste myndigheder outsourcing, og har de ansvaret for samfundskritiske it-systemer er de underlagt krav om outsourcing af it-drift. Leverandørstyring fylder dog ikke særlig meget i ISO 27001-standarden, men fremgår i Anneks A afsnit 5.19 - 5.22 (afsnit 15 i ISO 27001:2013), der  indeholder kontroller omhandlende leverandørstyring. Disse kontroller er derfor meget essentielle for myndigheder med outsourcing.

En leverandørstyringsproces kan beskrives i 5 faser

Billedet illustrer de 5 faser i leverandørstyringsprocessen, samt fase 0, som er opbygningsprocessen, og det samlede overblik, som er forudsætningerne for opbygningen af en effektiv leverandørstyrringsproces. På undersiderne om leverandørstyring beskrives de enkelte faser nærmere.

Kontraktstyring og det samlede overblik

En af de væsentligste forudsætninger for leverandørstyring er, at man har et godt overblik over, hvilke leverandører, man har, og hvor kontrakterne er i deres livscyklus. Som det fremgår af ovenstående figur, er en velfungerende kontraktstyring en forudsætning for leverandørstyring, og man bør have et samlet overblik over hvilke faser de enkelte aftaler og leverandører er i:

  • Udbud
  • Implementering
  • Drift
  • Afslutning / På vej i genudbud.

 

Fasemodel for kontrakter

Billede viser de 4 faser - Udbud, implementering, afslutning og drift

Særlige krav til myndigheders kontrakt- og leverandørstyring med eksterne leverandører af samfundskritiske it-systemer

Myndigheder, der outsourcer deres samfundskritiske it-systemer, skal efterleve en række krav til kontrakt- og leverandørstyring, herunder myndighedernes organisering, risikostyring og beredskabsplanlægning. Dette er for at sætte større fokus på myndigheders ansvar ved outsourcing af samfundskritiske it-systemer. Vurderingen af it-systemers kritikalitet skal foretages af myndigheden selv, og der findes definitioner på samfundskritiske it-systemer i ”Vejledning til model for porteføljestyring af statslige it-systemer” (se oes.dk), som myndigheden kan benytte i sin vurdering. Kataloget findes her:

Krav til kontrakt- og leverandørstyring for samfundskritiske it-systemer

Case

Leverandørstyring i Moderniseringsstyrelsen

Casebeskrivelse Moderniseringsstyrelsen

Moderniseringsstyrelsen lægger ligeledes vægt på kontraktstyring i deres leverandørstyring, som er beskrevet i nedenstående case.

Overblik over leverandører, kontrakter og deres livscyklus

Moderniseringsstyrelsen har mange komplicerede systemer, mange leverandører og mange kontrakter. Det kan tage lang tid at udarbejde kravs-materiale til udbud, og derfor er det vigtigt at starte analysefasen i god tid. Forudsætningen for dette er er, at man er opmærksom på, hvor de forskellige kontrakter er i deres livscyklus. Det er derfor essentielt for kvaliteten i kravs- og udbudsarbejdet, at man i styrelsen har et godt overblik over kontrakterne.

En anden tilgang til udarbejdelsen af krav til sikkerhed

Udbudsretligt skelnes der traditionelt mellem krav og mindstekrav.
I Moderniseringsstyrelsen har man tidligere primært arbejdet med mindstekrav på sikkerhedsområdet. Denne tilgang er man i gang med at revidere, så man erstatter mindstekrav med krav, som leverandøren i tilbuddet bliver bedt om at beskrive hvorledes de vil opfylde det. Derved opnår man at Leverandørerne i deres tilbud må redegøre for, hvordan de har tænkt sig at opfylde kravet og ikke blot angive, at kravet er opfyldt. Man får derved et mere udførligt og nuanceret beslutningsgrundlag for sit leverandørvalg.

Fokus på hvad man vil opnå, når det gælder sikkerhedskrav

Når man udarbejder sikkerhedskrav til leverandører, fokuserer man i Moderniseringsstyrelsen på, hvad man vil opnå i stedet for at beskrive specifikt, hvordan man vil opnå det. Derved undgår man at tvinge leverandører ud i dyrere og mindre effektive sikkerhedsløsninger. "Det perfekte er det godes fjende" er et af de principper, man arbejder efter.

Konkrete krav, når det gælder rapportering

Til gengæld er man i styrelsen konkret i sine krav til rapportering og opfølgning. Man pålægger leverandører at levere specifikke revisionserklæringer ud fra kontraktens krav samt rapportering på leverandørens opfølgning på revisionsanmærkninger. Selv når rapporteringskrav ikke indgår i kontrakten, er det styrelsens erfaring, at man efterfølgende kan forhandle sig frem til fornuftige aftaler om rapportering.

Tilknytning til ISO 27001

Leverandørstyring behandles i afsnit 5.19 – 5.22 om leverandørforhold (Afsnit 15 i ISO 27001:2013 Anneks A).