Leverandørstyring · PwC Kontraktvilkår Hav en standardkontrakt der som minimum inkluderer følgende • Sikring af data • Underleverandører • Pludselige og udefrakommende

Revision. Skat. Rådgivning.

Leverandørstyring

Digitaliseringsstyrelsens konference 1. marts 2018

www.pwc.dk

PwC

Overordnet agenda

• Introduktion af oplægsholder og workshopholder

• Oplæg

• Workshop

• Afrunding

Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen

2

December 2017

PwC


3

December 2017

PwC

Introduktion


4

December 2017

PwC

IntroduktionWorkshopafholder

Susanne Møller-Hansen

PwC

Tlf: +45 51350651

Mail: [email protected]

Uddannet datalog

Tidligere: IT revisor & compliance manager

Nu: Sikkerhedsledelse og ISO27001

Har arbejdet med sikkerhedsledelse og ISO27001 implementering og vurdering i det offentlige og private i en del år


5

December 2017

mailto:[email protected]

PwC

Leverandørstyring

Styring af nye og eksisterende leverandører


6

December 2017

PwC

Agenda for workshoppen

• Overordnet proces

• Overblik over leverandører

• Kritiske leverandører

• Sikkerhedskrav

• Kontrakt

• Opfølgning

• Opsamling


7

December 2017

PwC

Eksisterende leverandører


8

December 2017

Overblik


• Overblik over services

Kritisk

• Definer kritiske leverandører

• Identificer kritiske leverandører

Krav

• Kan der stilles sikkerhedskrav

• Hvilke sikkerhedskrav kan/skal stilles

Kontrakt• Kan/skal der laves kontraktændringer

Opfølg

• Realistisk opfølgning

• Opfølgning på services og sikkerhedskrav

PwC

Nye leverandører

Overblik• Services fra leverandøren

Kritisk

• Definer kritiske leverandører

• Identificer kritiske leverandører

Krav• Identificer sikkerhedskrav til leverandøren

Kontrakt

• Beskriv sikkerhedskrav i kontrakten

• Beskriv opfølgning på sikkerhedskrav i kontrakten

Opfølg• Opfølgning på services og sikkerhedskrav


9

December 2017

PwC





• Sikkerhedskrav

• Kontrakt

• Opfølgning

• Opsamling


10

December 2017

PwC

OverblikFå overblik over jeres leverandører

Hvilken software bruges? Hvordan drives jeres systemer?

IT

1Hvem leverer services? Hjemmhjælpsfirmaer, vikarfirmaer, outsourcede funktioner?

Services 2Hvem leverer fysiske services? Håndværkere, flytning, kantine, drift af udstyr?

Fysiske services 311

December 2017Udkast til oplæg til workshops faciliteret af Digitaliseringsstyrelsen

PwC





• Sikkerhedskrav

• Kontrakt

• Opfølgning

• Opsamling


12

December 2017

PwC

Kritiske leverandører

Definer hvad en kritisk leverandør er for jer:

Inddrag:

• lovkrav,

• risikovurderinger

• kritiske processer

Tab af data

Tab af adgang til data

Usikkerhed om at data er korrekte

Tab af menneskeliv

Økonomisk tab

Manglende overholdelse af lovgivning

13


PwC

Kritiske leverandører

Gode spørgsmål:

hvilke IT-systemer kan organisationen ikke fungere uden?

Hosting leverandører?

Hvilke serviceleverandører kan organisationen ikke fungere uden? Hjemmehjælpsfirmaer? vikarbureauer?

Hvilke fysiske-serviceleverandører kan organisationen ikke fungere uden?

Rengøring? Bygningsvedligeholdelse?


14

December 2017

PwC

Cases

6 cases

Hver gruppe arbejder på samme case igennem workshoppen.

Skriv hvert af jeres svar på øvelsen på en post-it og sæt den på tavlen.


15

December 2017

PwC

Øvelse 1

Klassificering

Vurder om i vil klassificere den leverandør der er beskrevet i jeres case som en kritisk leverandør?

Hvorfor?

Hvorfor ikke?

1o minutter

Skriv jeres gruppes svar på øvelsen på en post it og sæt den på tavlen.


16

December 2017

PwC

Opsamling øvelse 1


17

December 2017

PwC





• Sikkerhedskrav

• Kontrakt

• Opfølgning

• Opsamling


18

December 2017

PwC

Sikkerhedskrav

Bilag med standard sikkerhedskrav

Inspiration:

• ISO27001/2

• Sikkerhedsstandarder

• GDPR

• Lovgivningsmæssige krav

• Interne krav


19

December 2017

PwC

SMART metodik

Specifikt

Målbart

Accepteret

Realistisk Mål

Tidsbegrænset

20


ISO27004 –Forslag til målinger

PwC

Øvelse 2

Sikkerhedskrav

Hvilke sikkerhedskrav vil I stille til leverandøren i jeres case ud fra den liste af krav i har fået udleveret?

1o minutter

Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen.


21

December 2017

PwC

Opsamling øvelse 2


22

December 2017

PwC





• Sikkerhedskrav

• Kontrakt

• Opfølgning

• Opsamling


23

December 2017

PwC

Databehandleraftaler - definitioner

Den organisation der bestemmer hvordan og til hvad personoplysningerne behandles

den organisation der håndterer persondata på vegne af en dataansvarlig

Dataansvarlig Databehandler

24


I kan som organisation ikke outsource jeres ansvar som dataansvarlig!

PwC

Databehandleraftaler

Hvilke persondata må håndteres

Hvordan persondata må håndteres

Krav til håndtering af persondata

Krav til databehandler

Hjemmel til at håndtere data

Instruks for behandling

25


Brug datatilsynets standard databehandleraftale:https://www.datatilsynet.dk/nyheder/nyhed/artikel/Ny-skabelon-skal-hjlpe-virksomheder-og-myndigheder-med-at-blive-klar-til-databeskyttelsesforordning/

PwC

KontraktvilkårHav en standardkontrakt der som minimum inkluderer følgende

• Sikring af data

• Underleverandører

• Pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data

• Adgang til de data, der lagres hos leverandøren

• Adgang til data ved driftsstop, misligholdelse, opsigelse, konkurs mv

• Forpligtigelse til at håndtere, dokumentere og rapportere på væsentlige sikkerhedsbrud

• Håndtering af uvedkommendes adgang til data (eksempelvis straksrapportering)

• Håndtering af myndigheders ønske om adgang til data, herunder regeringer og domstole

• Adgang for revision

• Krav til revisionserklæring

Se også https://digst.dk/sikkerhed/styring-af-leverandoerer/styrkelse-af-sikkerheden-i-statens-outsourcede-it-drift/


26

December 2017

PwC





• Sikkerhedskrav

• Kontrakt

• Opfølgning

• Opsamling


27

December 2017

PwC

OpfølgningOvervej hvordan I vil følge op på sikkerheds- og kontrakt-krav

• Ekstern revision

• Løbende opfølgning: månedsmøder, månedsrapporter, SLA opfølgning

• Intern revision

28


PwC

SMART metodik

Specifikt

Målbart

Accepteret

Realistisk Mål

Tidsbegrænset

29


PwC

Øvelse 3

Opfølgning

Hvordan vil I måle/følge op på om leverandøren overholder service og sikkerhedskravene?

1o minutter

Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen.


30

December 2017

PwC

Opsamling øvelse 3


31

December 2017

PwC





• Sikkerhedskrav

• Kontrakt

• Opfølgning

• Opsamling


32

December 2017

PwC

Opsummering

• Få overblik over leverandører

• Definer hvad der er kritiske leverandører

• Definer sikkerhedskrav

• Husk kontraktlige krav

• Opfølgning på sikkerhedskrav, kontraktlige krav og leverede services


33

December 2017

PwC

Tak for jeres tid


34

December 2017

PwC

Sikkerhedskrav

Inspiration til bilag med standard sikkerhedskrav


35

December 2017

Inspiration til sikkerhedskrav:

Katalog ”Sådan stiller du krav til leverandører om

informationssikkerhed –katalog”

https://digst.dk/styring/standardkontrakter/klausul

er-til-informationssikkerhed/kravkatalog-til-

leverandoerer

GDPR https://www.datatilsynet.dk/fileadmin/user_uploa

d/dokumenter/12_spoergsmaal_-_GDPR.pdf

Folder ”Cyberforsvar der virker” https://fe-

ddis.dk/cfcs/CFCSDocuments/Cyberforsvar%20

der%20virker.pdf

Lovgivningsmæssige krav

ISO27001 anneks A kontroller

CIS security controls https://www.sans.org/security-

resources/posters/20-critical-security-

controls/55/download

Interne krav

Leverandørstyring skaber vi sammen...

Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være

af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund

af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel

rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad

angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i

det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret

Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen

forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du

eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen,

eller for eventuelle beslutninger truffet på baggrund af publikationen.

© 2017 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder

forbeholdes. I dette dokument refererer “PwC” til PricewaterhouseCoopers Statsautoriseret

Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International

Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Succes skaber vi sammen …