www.pwc.dk Leverandørstyring Digitaliseringsstyrelsens konference 1. marts 2018 Revision. Skat. Rådgivning.
Overordnet agenda Introduktion af oplægsholder og workshopholder Oplæg Workshop Afrunding 2
3
Introduktion 4
Introduktion Workshopafholder Susanne Møller-Hansen Tlf: +45 51350651 Mail: san@pwc.dk Uddannet datalog Tidligere: IT revisor & compliance manager Nu: Sikkerhedsledelse og ISO27001 Har arbejdet med sikkerhedsledelse og ISO27001 implementering og vurdering i det offentlige og private i en del år 5
Leverandørstyring Styring af nye og eksisterende leverandører 6
Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 7
Eksisterende leverandører Overblik Kritisk Krav Overblik over leverandører Overblik over services Definer kritiske leverandører Identificer kritiske leverandører Kan der stilles sikkerhedskrav Hvilke sikkerhedskrav kan/skal stilles Kontrakt Kan/skal der laves kontraktændringer Opfølg Realistisk opfølgning Opfølgning på services og sikkerhedskrav 8
Nye leverandører Overblik Services fra leverandøren Kritisk Definer kritiske leverandører Identificer kritiske leverandører Krav Identificer sikkerhedskrav til leverandøren Kontrakt Beskriv sikkerhedskrav i kontrakten Beskriv opfølgning på sikkerhedskrav i kontrakten Opfølg Opfølgning på services og sikkerhedskrav 9
Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 10
Overblik Få overblik over jeres leverandører IT 1 Hvilken software bruges? Hvordan drives jeres systemer? Services 2 Hvem leverer services? Hjemmhjælpsfirmaer, vikarfirmaer, outsourcede funktioner? Fysiske services 3 Hvem leverer fysiske services? Håndværkere, flytning, kantine, drift af udstyr? 11
Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 12
Kritiske leverandører Definer hvad en kritisk leverandør er for jer: Inddrag: lovkrav, risikovurderinger kritiske processer Tab af data Tab af adgang til data Usikkerhed om at data er korrekte Tab af menneskeliv Økonomisk tab Manglende overholdelse af lovgivning 13
Kritiske leverandører Gode spørgsmål: hvilke IT-systemer kan organisationen ikke fungere uden? Hosting leverandører? Hvilke serviceleverandører kan organisationen ikke fungere uden? Hjemmehjælpsfirmaer? vikarbureauer? Hvilke fysiske-serviceleverandører kan organisationen ikke fungere uden? Rengøring? Bygningsvedligeholdelse? 14
Cases 6 cases Hver gruppe arbejder på samme case igennem workshoppen. Skriv hvert af jeres svar på øvelsen på en post-it og sæt den på tavlen. 15
Øvelse 1 Klassificering Vurder om i vil klassificere den leverandør der er beskrevet i jeres case som en kritisk leverandør? Hvorfor? Hvorfor ikke? 1o minutter Skriv jeres gruppes svar på øvelsen på en post it og sæt den på tavlen. 16
Opsamling øvelse 1 17
Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 18
Sikkerhedskrav Bilag med standard sikkerhedskrav Inspiration: ISO27001/2 Sikkerhedsstandarder GDPR Lovgivningsmæssige krav Interne krav 19
SMART metodik Målbart Specifikt Realistisk Tidsbegrænset Accepteret Mål ISO27004 Forslag til målinger 20
Øvelse 2 Sikkerhedskrav Hvilke sikkerhedskrav vil I stille til leverandøren i jeres case ud fra den liste af krav i har fået udleveret? 1o minutter Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen. 21
Opsamling øvelse 2 22
Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 23
Databehandleraftaler - definitioner Dataansvarlig Den organisation der bestemmer hvordan og til hvad personoplysningerne behandles Databehandler den organisation der håndterer persondata på vegne af en dataansvarlig I kan som organisation ikke outsource jeres ansvar som dataansvarlig! 24
Databehandleraftaler Hvilke persondata må håndteres Hvordan persondata må håndteres Krav til håndtering af persondata Hjemmel til at håndtere data Krav til databehandler Instruks for behandling Brug datatilsynets standard databehandleraftale: https://www.datatilsynet.dk/nyheder/nyhed/artikel/ny-skabelon-skal-hjlpevirksomheder-og-myndigheder-med-at-blive-klar-til-databeskyttelsesforordning/ 25
Kontraktvilkår Hav en standardkontrakt der som minimum inkluderer følgende Sikring af data Underleverandører Pludselige og udefrakommende uforudsete omstændigheder, der fører til tab af data Adgang til de data, der lagres hos leverandøren Adgang til data ved driftsstop, misligholdelse, opsigelse, konkurs mv Forpligtigelse til at håndtere, dokumentere og rapportere på væsentlige sikkerhedsbrud Håndtering af uvedkommendes adgang til data (eksempelvis straksrapportering) Håndtering af myndigheders ønske om adgang til data, herunder regeringer og domstole Adgang for revision Krav til revisionserklæring Se også https://digst.dk/sikkerhed/styring-af-leverandoerer/styrkelse-af-sikkerheden-i-statensoutsourcede-it-drift/ 26
Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 27
Opfølgning Overvej hvordan I vil følge op på sikkerheds- og kontraktkrav Ekstern revision Løbende opfølgning: månedsmøder, månedsrapporter, SLA opfølgning Intern revision 28
SMART metodik Målbart Specifikt Accepteret Realistisk Mål Tidsbegrænset 29
Øvelse 3 Opfølgning Hvordan vil I måle/følge op på om leverandøren overholder service og sikkerhedskravene? 1o minutter Skriv jeres gruppes svar på øvelsen på en post-it og sæt den på tavlen. 30
Opsamling øvelse 3 31
Agenda for workshoppen Overordnet proces Overblik over leverandører Kritiske leverandører Sikkerhedskrav Kontrakt Opfølgning Opsamling 32
Opsummering Få overblik over leverandører Definer hvad der er kritiske leverandører Definer sikkerhedskrav Husk kontraktlige krav Opfølgning på sikkerhedskrav, kontraktlige krav og leverede services 33
Tak for jeres tid 34
Sikkerhedskrav Inspiration til bilag med standard sikkerhedskrav Inspiration til sikkerhedskrav: Katalog Sådan stiller du krav til leverandører om informationssikkerhed katalog GDPR Folder Cyberforsvar der virker https://www.datatilsynet.dk/fileadmin/user_uploa d/dokumenter/12_spoergsmaal_-_gdpr.pdf https://digst.dk/styring/standardkontrakter/klausul er-til-informationssikkerhed/kravkatalog-tilleverandoerer https://feddis.dk/cfcs/cfcsdocuments/cyberforsvar%20 der%20virker.pdf Lovgivningsmæssige krav ISO27001 anneks A kontroller CIS security controls https://www.sans.org/securityresources/posters/20-critical-securitycontrols/55/download Interne krav 35
Leverandørstyring skaber vi sammen... Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. 2017 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer til PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Succes skaber vi sammen