Anskaffelser og leverandørstyring (AL)
Dette innebærer å vurdere hvilke krav som skal gjelde for leverandørene innenfor leveransens omfang, om leverandørene tilfredsstiller kravene, og sørge for at disse kravene følges opp og helhetlig og aktivt forvaltes gjennom hele leveransens levetid. Gjennom tydelige kontraktskrav, risikovurderinger, revisjoner og tett samarbeid med leverandørene, skal virksomheten oppnå en robust og effektiv styring av risiko knyttet til anskaffelser.
Virksomheten skal bygge på eksisterende sikkerhetstiltak og fellessikring, supplert med spesifikke krav tilpasset den enkelte anskaffelse. Slik sikres en helhetlig tilnærming som både dekker virksomhetens behov, og legger til rette for kontinuerlig forbedring.
Virksomheten skal sørge for at anskaffelses - og leverandørstyringsprosesser er i samsvar med regelverk og avtaler.
AL-1 Identifisere behov
Risikoeier skal vurdere hvordan risiko for oppgaver og tjenester endrer seg ved anskaffelse av en tjeneste som leveres av en tredjepart. Dette innebærer også å evaluere risiko knyttet til leverandører, og deres underleverandører, og deres evne til å oppfylle krav til informasjonssikkerhet og personopplysningsvern.
Basert på føringene fra virksomhetsledelsen, skal risikoeier definere og tilpasse krav til informasjonssikkerhet og personopplysningsvern.
For den enkelte anskaffelse, vil en vurdering av risiko knyttet til oppgaven tjenesten skal inn i, og tjenesten i seg selv, benyttes for å definere spesifikke krav til den aktuelle leveransen. I tillegg bør behov for kompetansebyggende tiltak i virksomheten identifiseres – både med tanke på oppfølging av leveransen, og for å ta i bruk det som anskaffes.
Følgende bør dokumenteres:
- risikovurderinger knyttet til anskaffelser som kan brukes som beslutningsgrunnlag for håndtering av risiko
- behov for kompetansebyggende tiltak i virksomheten
Tips
Ta utgangspunkt i virksomhetens fellessikring, og behovet for samhandling i styringsaktivitetene når krav defineres - for eksempel vurdering og håndtering av risiko, og overvåking og hendelseshåndtering.
Vurder hvilke tiltak i fellessikringen leverandøren vil ha ansvaret for, hvilke dere selv må ivareta, og hvilke det vil være delt ansvar for.
For anskaffelser som gjøres ofte vil denne vurderingen kunne gjøres én gang, og gjenbrukes.
Gir evne til
- å vurdere risiko ved anskaffelse av en leverandørtjeneste
- å stille krav til leverandører og tjenester, og ha dialog med leverandører i hele leveransens levetid
- kompetansestyring – hva gjør leverandøren, og hva må virksomheten selv ha av kompetanse
- å evaluere leverandørens evne til å opprettholde informasjonssikkerhet og personopplysningsvern i samsvar med virksomhetens krav
- å ta velinformerte beslutninger om samarbeid med leverandører
AL-2 Håndtere risiko og stille krav
Risikoeier skal sørge for at risiko håndteres i forbindelse med anskaffelser av tjenester med betydning for informasjonsbehandlingen i virksomheten.
På samme måte som i Håndtering av risiko (RH), skal risikoeiere sørge for at det utarbeides forslag til hvordan risiko skal håndteres, og ta beslutninger om hvilke forslag som skal følges. Sikkerhets- og personverntiltak som leverandøren skal ha helt eller delvis ansvar for, må inkluderes i kontrakter med leverandører. Leverandørens forpliktelser både i normalsituasjon og under kriser bør beskrives.
Aktiviteten gir en liste med sikkerhetskrav som kan pålegges leverandører gjennom kontrakter, og danner beslutningsgrunnlag for valg av leverandører.
Håndtering av risiko i anskaffelser kan inkludere å:
- opprettholde fellessikringen, ved at leverandør har ansvar for relevante deler av denne i tjenesteleveransen
- sette krav til nye sikkerhets- og personverntiltak som leverandører skal ha ansvaret for
- inngå databehandleravtaler med leverandører
- etablere nye sikkerhets- og personverntiltak i egen virksomhet
- akseptere ny risiko
Gir evne til
- å redusere virksomhetens risiko og sårbarheter i leverandørkjeden
AL-3 Vurdering av leverandører
Risikoeier skal vurdere leverandørenes evne til å oppfylle virksomhetens krav til informasjonssikkerhet og personopplysningsvern. Vurderingen skal gi beslutningsgrunnlag for valg av leverandører, og brukes i den videre leverandørstyringen. Virksomheten bør også vurdere leverandørens arbeid med informasjonssikkerhet og personopplysningsvern. Ved behov skal også eierskapsforhold og fysisk beliggenhet være en del av vurderingen.
Vurderingene skal sikre at valgte leverandører kan ivareta virksomhetens informasjonssikkerhet og arbeid med personopplysningsvern, overholde regelverk og bidra til en trygg leverandørkjede.
Vurderingene skal dokumenteres.
Gir evne til å
- velge leverandører som kan levere tjenester iht. behovet for informasjonssikkerhet og personopplysningsvern
AL-4 Oppfølging av leverandører
Virksomheten skal regelmessig følge opp tjenesteleverandørens evne til å følge kontraktfestede krav. I tilfeller hvor man oppdager tjenesteavvik, brudd på kontrakt og lignende, skal virksomheten håndtere disse avvikene.
Virksomheten bør etablere og opprettholde et kommunikasjons-/kontaktpunkt hos sine leverandører, for å enklere følge opp status, problemstillinger og utfordringer.
Ved avvik eller mangler hos leverandører skal det utarbeides og gjennomføres handlingsplaner for å utbedre det.
Gir evne til
- å overvåke og bekrefte leverandørens overholdelse av avtalte krav
- å bygge tillit mellom virksomheten og leverandørene gjennom transparens og samarbeid
AL-5 Holde helhetlig oversikt over leverandører
Virksomheten skal sørge for å holde oversikt over alle leverandører virksomheten benytter.
Virksomheten skal dokumentere en helhetlig og systematisk vurdering av informasjonssikkerhet, personopplysningsvern og avhengigheter til tjenesteleveranser, tjenesteleverandører og leverandørkjeder. Basert på denne vurderingen skal virksomheten jobbe for å redusere risiko i leverandørkjeden og avhengighet til tredjeparter, og bygge robusthet i tilfelle leverandører opplever en uønsket hendelse.
Tips
En helhetlig oversikt kan brukes til å sortere leverandører i grupper eller kategorier, basert på kritikalitet og omfang. Kategoriseringen av leverandører kan brukes til å prioritere ressursbruk på leverandøroppfølging.
Gir evne til å
- vurdere og håndtere risiko knyttet til leverandørkjeder
- gjøre prioriteringer i arbeid med oppfølging av leverandører
- få oversikt over hvordan virksomhetens oppgaver og tjenester er avhengig av eksterne leverandører og underleverandører