Leverandørens efterlevelse af krav
Det er vigtigt at sikre, at der bliver fulgt op på efterlevelsen af de fastsatte krav, og om leverandøren leverer på de aftalte områder. Herunder at myndigheden modtager afrapportering i aftalt format og frekvens, samt at statusmøder bliver afholdt.
Hvis der er aftalt, at myndigheden skal modtage revisionserklæringer fra leverandøren, skal det ligeledes besluttes, hvordan revisionsanmærkninger og afvigelser i håndtering af informationssikkerhed skal behandles af myndigheden.
Når man har aftalt de overordnede krav til it-løsning, sikkerhed og samarbejdsmodel, skal leverandøren beskrive, hvordan de vil opfylde og efterleve de forskellige krav. Én praktisk måde for myndigheden er at opstille kontraktkrav skematisk med tilhørende løsningsbeskrivelse og målbare kontroller. Dette gør det lettere for audit, tilsyn og revision at følge op, hvis det kan bruges direkte som tjekliste. Nedenstående dokument viser et eksempel på en metode til at kontraktstyre og sikre systematisk opfølgning med en leverandøren.
Hent eksempel på metode til leverandørstyring og kontraktopfølgning
Nogle gode råd til krav og opfølgning på leverandører er:
Styr på alle relevante krav (risikobaseret)
Målbare krav, der egner sig til opfølgning (SMART-model)
Overdragelse af krav fra projekt til drift (kravkatalog)
Opfølgning og efterlevelse af krav (tilsyn og verificering)
Endelig er det essentielt at myndighederne internt afsætter tilstrækkelige ressourcer med de rette kompetencer til at følge aktivt op på leverandørstyringen, således at leverandøren imødekommer de kontraktuelle krav.