Sådan stiller du krav til leverandører om informationssikkerhed - Katalog

Kravkataloget er en hjælp og inspiration til at stille relevante sikkerhedskrav ved udbud og indgåelse af it-kontrakter med leverandører.

Anvendelsen af kataloget forudsætter, at brugeren udvælger krav på baggrund af risikovurderinger, der bør understøtte ledelsens til- og fravalg af sikkerhedsmæssige tiltag.

Kravene i kataloget er formuleret generisk, og kravene skal derfor tilpasses den konkrete kontraktuelle kontekst. Eksempelvis skal begrebsanvendelsen afstemmes med kontraktens definitioner. Der er desuden ikke tale om en udtømmende liste af krav, og der kan derfor være behov for at stille yderligere krav, der ikke fremgår af Kravkataloget.

Læsevejledning

Kataloget består af en vejledning samt ”Bilag 1: Kravkatalog baseret på ISO27001” og ”Bilag 2: Kravkatalog baseret på SANS CIS”.

Vejledningen beskriver opbygningen af kravkataloget og indeholder generelle oplysninger, om hvilke forudsætninger der skal være til stede for at arbejde med kataloget, herunder blandt andet sammenhæng til risikovurderinger, tekniske og organisatoriske sikkerhedstiltag, forretningsmæssige beslutninger samt kontraktuelle begreber.

De to bilag indeholder krav baseret på ISO27001:2013, der er en standard for informationssikkerhedsledelse, samt krav baseret på rammeværktøjet SANS CIS Critical Security Controls v. 6.1, der har særligt fokus på operationel it-sikkerhed. Bilag 1 og Bilag 2 indeholder tilsammen 286 kontraktuelle krav, som kunden (ordregiver) efter behov kan vælge imellem og indarbejde i sit samarbejde med leverandøren.

Øvrige anvendelsesområder for kravkataloget

Kravkatalogets primære formål er som anført ovenfor at understøtte udarbejdelsen af kravspecifikationer vedrørende informationssikkerhed i kontrakter.

Kataloget kan dog også understøtte en række øvrige aktiviteter, herunder kan kataloget:

  • Understøtte forventningsafstemning mellem ordregiver og leverandøren, fx hvis der vælges krav, der præciserer roller og ansvar
  • Anvendes i ordregivers leverandørstyring, herunder fordi Kravkataloget indeholder konkrete krav, der kan være meget håndgribelige at følge op på
  • Tjene som dokumentation (eksempelvis ved tilsyn) for, at der stilles relevante sikkerhedskrav til leverandører, fx krav om logning eller adgangsstyring
  • Tjene som dokumentation for, at lovkrav, øvrig regulering samt standarder mv. efterleves
  • Anvendes ved ekstern og intern auditering eller ved tilsyn og revision
  • Tjene som generel inspiration til sikkerhedsarbejdet