Leverandørsikkerhed

Leverandørsikkerhed handler om at identificere og styre de informationssikkerhedsrisici, der opstår, når din organisation bruger eksterne leverandører og samarbejdspartnere. Det er et krav i både ISO 27001 og NIS2, og det er et af de mest oversete sikkerhedsområder i praksis.

Tilbage til ordbog

Hvorfor er leverandørsikkerhed vigtig?

Moderne organisationer er afhængige af et stort antal eksterne leverandører: cloud-udbydere, SaaS-systemer, konsulenter, outsourcede IT-funktioner og mange andre. Disse leverandører har ofte adgang til organisationens data eller systemer, og de introducerer dermed sikkerhedsrisici, som organisationen er forpligtet til at styre.

Supply chain-angreb, hvor en angriber kompromitterer en leverandør for at angribe kunderne, er en af de hurtigst voksende trusselstyper. SolarWinds-angrebet i 2020 og MOVEit-bruddet i 2023 er eksempler på dette.

ISO 27001's krav

ISO 27001:2022 adresserer leverandørsikkerhed i Annex A kontrol 5.19–5.22:

5.19: Informationssikkerhed i leverandørforhold.
5.20: Adressering af informationssikkerhed i leverandøraftaler.
5.21: Styring af informationssikkerhed i IKT-leverandørkæden.
5.22: Overvågning, gennemgang og ændringsstyring af leverandørtjenester.

Risikovurdering af leverandører

Ikke alle leverandører udgør samme risiko. En risikobaseret tilgang indebærer at klassificere leverandører efter:

Adgang til følsomme data eller kritiske systemer
Kritikalitet for forretningsdrift
Leverandørens egen sikkerhedsmodenhed (fx ISO 27001-certificering)

Leverandørbedømmelse: For højrisiko-leverandører bør du kræve dokumentation for deres sikkerhedsniveau, fx via certifikater, revisionsrapporter (SOC 2) eller et udfyldt sikkerhedsspørgeskema.

Sikkerhedskrav i leverandøraftaler

Sikkerhedskrav skal ind i leverandøraftaler og SLA'er. Det inkluderer typisk krav til fortrolighed, hændelsesnotifikation, adgangskontrol, kryptering, og ret til at auditere. Overlappende krav med GDPR's regler om databehandleraftaler bør koordineres.

Ofte stillede spørgsmål om leverandørsikkerhed

Hvad kræver ISO 27001 for leverandørsikkerhed?

ISO 27001:2022 adresserer leverandørsikkerhed i Annex A kontrol 5.19–5.22, der dækker informationssikkerhed i leverandørforhold, leverandøraftaler, IKT-leverandørkædestyring og overvågning af leverandørtjenester.

Hvordan bør leverandører risikovurderes?

Leverandører bør klassificeres efter deres adgang til følsomme data eller kritiske systemer, deres kritikalitet for forretningsdriften og deres egen sikkerhedsmodenhed. Højrisiko-leverandører bør levere dokumentation som ISO 27001-certifikater eller SOC 2-rapporter.

Hvilke sikkerhedskrav bør indgå i leverandøraftaler?

Leverandøraftaler bør indeholde krav til fortrolighed, hændelsesnotifikation, adgangskontrol, kryptering, databeskyttelse, revisionsrettigheder og ret til opsigelse ved alvorlige sikkerhedsbrud.

Er leverandørsikkerhed krævet under både ISO 27001 og NIS2?

Ja. ISO 27001 adresserer det gennem Annex A kontrol 5.19–5.22, mens NIS2 artikel 21, stk. 2, litra d kræver foranstaltninger vedrørende leverandørkædesikkerhed. Kravene supplerer hinanden og kan adresseres gennem en samlet leverandørstyringsramme.

Hvad er forskellen på leverandørsikkerhed og leverandørkædesikkerhed?

Leverandørsikkerhed fokuserer på at styre risici fra dine direkte leverandører, især i konteksten af ISO 27001. Leverandørkædesikkerhed er bredere og inkluderer hele kæden af underleverandører bag dine direkte leverandører, som NIS2 lægger vægt på.