Leverandørstyring: Sikkerhedsklausuler til kontrakter

Øget fokus på sikkerhed og privatliv i it-løsninger og skærpet trusselsniveau udfordrer udformning af relevante krav i it-driftskontrakterne.

Digitaliseringsstyrelsen har på baggrund af initiativ 7b i National Strategi for Cyber- og Informationssikkerhed 2015-16 udarbejdet et bibliotek over sikkerhedsmæssige krav, som myndighederne kan bruge som inspiration i arbejdet med it-kontrakter. Materialet skal støtte myndighederne i forbindelse med indgåelse af it-kontrakter og dermed forenkle arbejdet med at stille hensigtsmæssige krav i it-kontrakter.

Listen over klausuler er blevet udvidet som led i digitaliseringsstrategiens initiativer 7.1 om styr på informationssikkerhed i alle offentlige myndigheder. Disse krav relaterer sig dels til den helt basale håndtering af de omfattede data, dels til efterlevelse af love for deling af og adgange til disse data på tværs af de involverede myndigheder. Desuden relaterer de sig i høj grad også til muligheden for at opretholde privatlivsfred og indblik i den faktiske anvendelse af de personlige data.

Overblik over sikkerhedsklausuler

Der er ikke tale om et udtømmende bibliotek, der sikrer, at alle myndighederes individuelle sikkerhedskrav imødekommes. Anvendes klausulerne til inspiration, skal den enkelte myndighed derfor foretage en konkret sikkerhedsmæssig vurdering for derigennem at sikre sig, at der søges inspiration i en relevant klausul.

Valg mellem tre muligheder

Klausulerne er udarbejdet således, at myndighederne har mulighed for at vælge mellem tre løsninger. Der kan således stilles krav om, at leverandøren dokumenterer ISO-certificering eller tilsvarende. Alternativt forpligtes leverandøren til at dokumentere efterlevelse af ISO27001 eller tilsvarende. Taler konkrete forhold imod anvendelse af disse klausuler, er der udarbejdet bud på klausuler, som kan kombineres for at imødekomme et udsnit af myndighedens konkrete sikkerhedsbehov.

Hent