Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Revision. Skat. Rådgivning.
Leverandørstyring
Digitaliseringsstyrelsens konference 1. marts 2018
www.pwc.dk
PwC
Overordnet agenda
• Introduktion af oplægsholder og workshopholder
• Oplæg
• Workshop
• Afrunding
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
2
December 2017
PwC
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
3
December 2017
PwC
Introduktion
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
4
December 2017
PwC
IntroduktionWorkshopafholder
Susanne Møller-Hansen
PwC
Tlf: +45 51350651
Mail: [email protected]
Uddannet datalog
Tidligere: IT revisor & compliance manager
Nu: Sikkerhedsledelse og ISO27001
Har arbejdet med sikkerhedsledelse og ISO27001 implementering og vurdering i det offentlige og private i en del år
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
5
December 2017
PwC
Leverandørstyring
Styring af nye og eksisterende leverandører
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
6
December 2017
PwC
Agenda for workshoppen
• Overordnet proces
• Overblik over leverandører
• Kritiske leverandører
• Sikkerhedskrav
• Kontrakt
• Opfølgning
• Opsamling
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
7
December 2017
PwC
Eksisterende leverandører
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
8
December 2017
Overblik
• Overblik over leverandører
• Overblik over services
Kritisk
• Definer kritiske leverandører
• Identificer kritiske leverandører
Krav
• Kan der stilles sikkerhedskrav
• Hvilke sikkerhedskrav kan/skal stilles
Kontrakt• Kan/skal der laves kontraktændringer
Opfølg
• Realistisk opfølgning
• Opfølgning på services og sikkerhedskrav
PwC
Nye leverandører
Overblik• Services fra leverandøren
Kritisk
• Definer kritiske leverandører
• Identificer kritiske leverandører
Krav• Identificer sikkerhedskrav til leverandøren
Kontrakt
• Beskriv sikkerhedskrav i kontrakten
• Beskriv opfølgning på sikkerhedskrav i kontrakten
Opfølg• Opfølgning på services og sikkerhedskrav
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
9
December 2017
PwC
Agenda for workshoppen
• Overordnet proces
• Overblik over leverandører
• Kritiske leverandører
• Sikkerhedskrav
• Kontrakt
• Opfølgning
• Opsamling
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
10
December 2017
PwC
OverblikFå overblik over jeres leverandører
Hvilken software bruges? Hvordan drives jeres systemer?
IT
1Hvem leverer services? Hjemmhjælpsfirmaer, vikarfirmaer, outsourcede funktioner?
Services 2Hvem leverer fysiske services? Håndværkere, flytning, kantine, drift af udstyr?
Fysiske services 311
December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
PwC
Agenda for workshoppen
• Overordnet proces
• Overblik over leverandører
• Kritiske leverandører
• Sikkerhedskrav
• Kontrakt
• Opfølgning
• Opsamling
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
12
December 2017
PwC
Kritiske leverandører
Definer hvad en kritisk leverandør er for jer:
Inddrag:
• lovkrav,
• risikovurderinger
• kritiske processer
Tab af data
Tab af adgang til data
Usikkerhed om at data er korrekte
Tab af menneskeliv
Økonomisk tab
Manglende overholdelse af lovgivning
13
December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
PwC
Kritiske leverandører
Gode spørgsmål:
hvilke IT-systemer kan organisationen ikke fungere uden?
Hosting leverandører?
Hvilke serviceleverandører kan organisationen ikke fungere uden? Hjemmehjælpsfirmaer? vikarbureauer?
Hvilke fysiske-serviceleverandører kan organisationen ikke fungere uden?
Rengøring? Bygningsvedligeholdelse?
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
14
December 2017
PwC
Cases
6 cases
Hver gruppe arbejder på samme case igennem workshoppen.
Skriv hvert af jeres svar på øvelsen på en post-it og sæt den på tavlen.
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
15
December 2017
PwC
Øvelse 1
Klassificering
Vurder om i vil klassificere den leverandør der er beskrevet i jeres case som en kritisk leverandør?
Hvorfor?
Hvorfor ikke?
1o minutter
Skriv jeres gruppes svar på øvelsen på en post it og sæt den på tavlen.
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
16
December 2017
PwC
Opsamling øvelse 1
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
17
December 2017
PwC
Agenda for workshoppen
• Overordnet proces
• Overblik over leverandører
• Kritiske leverandører
• Sikkerhedskrav
• Kontrakt
• Opfølgning
• Opsamling
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
18
December 2017
PwC
Sikkerhedskrav
Bilag med standard sikkerhedskrav
Inspiration:
• ISO27001/2
• Sikkerhedsstandarder
• GDPR
• Lovgivningsmæssige krav
• Interne krav
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
19
December 2017
PwC
SMART metodik
Specifikt
Målbart
Accepteret
Realistisk Mål
Tidsbegrænset
20
December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
ISO27004 –Forslag til målinger
PwC
Øvelse 2
Sikkerhedskrav
Hvilke sikkerhedskrav vil I stille til leverandøren i jeres case ud fra den liste af krav i har fået udleveret?
1o minutter
Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen.
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
21
December 2017
PwC
Opsamling øvelse 2
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
22
December 2017
PwC
Agenda for workshoppen
• Overordnet proces
• Overblik over leverandører
• Kritiske leverandører
• Sikkerhedskrav
• Kontrakt
• Opfølgning
• Opsamling
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
23
December 2017
PwC
Databehandleraftaler - definitioner
Den organisation der bestemmer hvordan og til hvad personoplysningerne behandles
den organisation der håndterer persondata på vegne af en dataansvarlig
Dataansvarlig Databehandler
24
December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
I kan som organisation ikke outsource jeres ansvar som dataansvarlig!
PwC
Databehandleraftaler
Hvilke persondata må håndteres
Hvordan persondata må håndteres
Krav til håndtering af persondata
Krav til databehandler
Hjemmel til at håndtere data
Instruks for behandling
25
December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
Brug datatilsynets standard databehandleraftale:https://www.datatilsynet.dk/nyheder/nyhed/artikel/Ny-skabelon-skal-hjlpe-virksomheder-og-myndigheder-med-at-blive-klar-til-databeskyttelsesforordning/
PwC
KontraktvilkårHav en standardkontrakt der som minimum inkluderer følgende
• Sikring af data
• Underleverandører
• Pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data
• Adgang til de data, der lagres hos leverandøren
• Adgang til data ved driftsstop, misligholdelse, opsigelse, konkurs mv
• Forpligtigelse til at håndtere, dokumentere og rapportere på væsentlige sikkerhedsbrud
• Håndtering af uvedkommendes adgang til data (eksempelvis straksrapportering)
• Håndtering af myndigheders ønske om adgang til data, herunder regeringer og domstole
• Adgang for revision
• Krav til revisionserklæring
Se også https://digst.dk/sikkerhed/styring-af-leverandoerer/styrkelse-af-sikkerheden-i-statens-outsourcede-it-drift/
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
26
December 2017
PwC
Agenda for workshoppen
• Overordnet proces
• Overblik over leverandører
• Kritiske leverandører
• Sikkerhedskrav
• Kontrakt
• Opfølgning
• Opsamling
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
27
December 2017
PwC
OpfølgningOvervej hvordan I vil følge op på sikkerheds- og kontrakt-krav
• Ekstern revision
• Løbende opfølgning: månedsmøder, månedsrapporter, SLA opfølgning
• Intern revision
28
December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
PwC
SMART metodik
Specifikt
Målbart
Accepteret
Realistisk Mål
Tidsbegrænset
29
December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
PwC
Øvelse 3
Opfølgning
Hvordan vil I måle/følge op på om leverandøren overholder service og sikkerhedskravene?
1o minutter
Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen.
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
30
December 2017
PwC
Opsamling øvelse 3
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
31
December 2017
PwC
Agenda for workshoppen
• Overordnet proces
• Overblik over leverandører
• Kritiske leverandører
• Sikkerhedskrav
• Kontrakt
• Opfølgning
• Opsamling
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
32
December 2017
PwC
Opsummering
• Få overblik over leverandører
• Definer hvad der er kritiske leverandører
• Definer sikkerhedskrav
• Husk kontraktlige krav
• Opfølgning på sikkerhedskrav, kontraktlige krav og leverede services
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
33
December 2017
PwC
Tak for jeres tid
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
34
December 2017
PwC
Sikkerhedskrav
Inspiration til bilag med standard sikkerhedskrav
Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen
35
December 2017
Inspiration til sikkerhedskrav:
Katalog ”Sådan stiller du krav til leverandører om
informationssikkerhed –katalog”
https://digst.dk/styring/standardkontrakter/klausul
er-til-informationssikkerhed/kravkatalog-til-
leverandoerer
GDPR https://www.datatilsynet.dk/fileadmin/user_uploa
d/dokumenter/12_spoergsmaal_-_GDPR.pdf
Folder ”Cyberforsvar der virker” https://fe-
ddis.dk/cfcs/CFCSDocuments/Cyberforsvar%20
der%20virker.pdf
Lovgivningsmæssige krav
ISO27001 anneks A kontroller
CIS security controls https://www.sans.org/security-
resources/posters/20-critical-security-
controls/55/download
Interne krav
Leverandørstyring skaber vi sammen...
Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være
af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund
af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel
rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad
angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i
det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret
Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen
forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du
eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen,
eller for eventuelle beslutninger truffet på baggrund af publikationen.
© 2017 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder
forbeholdes. I dette dokument refererer “PwC” til PricewaterhouseCoopers Statsautoriseret
Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International
Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Succes skaber vi sammen …