ISO27001-efterlevelse

Formål

Formålet med bestemmelsen er at sikre, at leverandøren efterlever ISO27001-standarden eller tilsvarende standard for ledelsessystemer for informationssikkerhed, herunder at leverandøren efterlever de relevante kontroller fra myndighedens Statement of Applicability, der forudsættes at foreligge, og vil være udarbejdet i henhold til ISO27001. Dette vil blandt andet indebære, at leverandøren har truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre myndighedens data og information mod tab af fortrolighed, tilgængelighed og integritet. Med andre ord forpligtes leverandøren til blandt andet at sikre:

  • At data og information kun kan tilgås af det personel, som har et arbejdsrelateret behov for dette.
  • At relevant data og information kan genfindes efter behov, eksempelvis i sammenhæng med revision eller anmodning om aktindsigt.
  • At data og information er pålideligt, så det kan danne basis for beslutningsgrundlag.

Kontrakttyper, hvor bestemmelserne kan bruges

Bestemmelsen, eller bestemmelser med en tilsvarende retsvirkning, kan anvendes til inspiration i kontrakter vedrørende drift af statslige myndigheders it-systemer. Dette følger af, at efterlevelse af ISO27001 er obligatorisk for alle statslige myndigheder, og at myndighederne derfor skal sikre, at der stilles relevante krav til sikkerhedsforanstaltninger hos eksterne leverandører, hvortil der outsources ansvarsområder, der er omfattet af ISO27001, således at myndighederne overholder sine forpligtelser samlet set. Det er således også på denne baggrund, at kravene til leverandøren i det relevante omfang skal være parallelle til myndighedens egen SoA.  

For så vidt angår samfundskritiske ydelser er det endvidere essentielt, at informationssikkerheden er særligt i fokus, hvilket tillige fremgår af rapporten Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift fra 2014, som blev udarbejdet af Center for Cybersikkerhed og Digitaliseringsstyrelsen i kølvandet på CSC-sagen.

Bestemmelsens anvendelse i forhold til behandling af personoplysninger bunder i de lovmæssige krav, der stilles i persondatalovens kapitel 11, sikkerhedsbekendtgørelsens kapitel 2 og persondataforordning.  

Klausulens anvendelse er ingen garanti for god sikkerhed, og det er derfor vigtigt, at den enkelte myndighed ser klausulen i sin kontekst og anvender den som inspiration.

Fordele og ulemper ved brug af bestemmelserne

Anvendes bestemmelsen korrekt vil den kunne understøtte de særlige sikkerhedsbehov der gør sig gældende hos den enkelte myndighed. En klar forudsætning for anvendelse af bestemmelsen er, at myndigheden har et fornødent modenhedsniveau i forhold til sin egen implementering af ISO27000-principperne. Derudover bygger bestemmelsernes anvendelse på en grundig risiko- og sårbarhedsvurdering samt et statement of applicability, som kan illustrere myndighedens reelle sikkerhedsbehov.

Opfølgning i driftsfasen

Bestemmelsen indeholder krav om dokumentation for efterlevelse, både ved indgåelse og løbende i kontraktens levetid. Myndigheden bør i hele kontraktens levetid sikre sig, at leverandørens ydelse lever op til det aftalte.

Bod/bonus

Det anbefales således, at misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder fx bod eller ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger som skyldes manglende overholdelse af gældende ret og skade på omdømme. Endvidere bør vurderingen omfatte en stillingtagen til, i hvilket omfang boden vurderes at være prisdrivende i den konkrete kontrakt.

Rapportering

Der er indarbejdet krav om, at leverandøren skal rapportere til kunden i tilfælde, hvor leverandøren ikke ser sig i stand til at opfylde sine forpligtelser til at levere en revisionserklæring.

Ubekendte

Bestemmelsen indeholder en række ubekendte, markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en forhandling med leverandøren om, hvilket indhold bestemmelsen skal have.

Denne bestemmelse forudsætter, at myndigheden efterlever ISO27001 og derfor som minimum har en risikovurdering og en SoA for myndighedens egen organisation. Øvelsen for den enkelte myndighed bliver at udvælge de krav fra myndighedens SoA, der skal kravsættes over for leverandøren i medfør af aftalen.