Gå til hovedindhold

Mit Virk >

Anbefaling 16 – IT-sikkerhed hos jeres samarbejdspartnere

Anbefaling 16 – IT-sikkerhed hos jeres samarbejdspartnere

IT-sikkerhed hos jeres samarbejdspartnere

Mange danske virksomheder vælger at outsource hele eller dele af deres IT-drift til eksterne IT-leverandører. Det er dog altid virksomhedens eget ansvar, at IT-sikkerheden er i orden. Det er derfor afgørende at få stillet de rigtige spørgsmål og sikkerhedskrav til jeres samarbejdspartner og få det skrevet ind i jeres samarbejdskontrakt. Når kravene er på plads, skal virksomheden og leverandør aftale, hvem der har ansvaret for hvad.

Her er anbefalinger til spørgsmål og sikkerhedskrav, I kan stille til jeres IT-leverandør for at sikre jeres It-sikkerhed og data bedst muligt:

Stil krav til leverandørens opbevaring af jeres data ved at spørge:

  • Hvor ligger virksomhedens data rent fysisk? Dvs. hvilken lokation og i hvilket land står serverne, der indeholder jeres virksomhedsdata?

Stil krav til leverandørens IT-processer ved at spørge:

  • Hvordan og hvor tages backup?
  • Hvad er processen for antivirusprogrammer og deres opdatering?
  • Hvordan er processen for opdateringer og ændringer af IT-systemer programmer?
  • Hvordan styrer I brugeradgang og -rettigheder til IT-systemerne?

Stil krav til leverandørens IT-sikkerhedsforanstaltninger ved at spørge:

  • Hvordan sikrer I sikkerheden mellem datanetværkerne? Fx via logning af netværker, segmentering af netværker, firewall etc.?
  • Hvordan dokumenterer I virksomhedens netværker. Fx i en grafisk netværksoversigt.

Stil krav til IT-leverandørens beredskab og test af sikkerhedsløsninger ved at spørge:

  • Har I en IT-beredskabsplan? Det skal fx fremgå, at leverandøren giver virksomheden besked ved sikkerhedshændelser)
  • Tester i løbende IT-sikkerheden i virksomheden?

Stil krav til leverandørens behandling af persondata ved at spørge:

  • Hvordan håndterer I persondata?
  • Hvordan sikrer i fortroligheden af de persondata, I behandler for os?

Vær opmærksom på: Hvis jeres IT-leverandør håndterer persondata, stiller GDPR ekstra krav. Så skal I aftale, hvem der er dataansvarlig og databehandler for hvilke behandlinger. I skal eventuelt indgå en data-behandleraftale eller en aftale om fordelingen af ansvaret mellem to dataansvarlige.

Læs mere om databehandleraftaler i Anbefaling 17 – Lav en databehandleraftale.

Stil krav til leverandørens løbende afrapportering

Leverandøren skal løbende rapportere (fx kvartalsvist) om sikkerhedshændelser og status på de sikkerhedsprocedurer, som er aftalt i samarbejdskontrakten. På den måde får I indsigt i, om leverandøren lever op til sine forpligtelser og om jeres IT-sikkerhedsniveau er i orden.

Hvis jeres leverandør udvikler softwarekode for jeres virksomhed, er det vigtigt, at I får afklaret, hvem der beholder de immaterielle rettigheder. I skal sørge for at have en kopi af konfigurationsfiler og kildekode i tilfælde af, at I ønsker at skifte leverandør.