⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →
DA EN BG CS DE EL ES ET FI FR GA HR HU IT LT LV MT NL PL PT RO SK SL SV
Compliance

Ud over håndtrykket: styrk leverandørsikkerheden med ISO 27001 og GDPR

Igor Petreski
12 min read
#ISO 27001:2022 #GDPR #Leverandørstyring #Risikostyring #Databeskyttelse #NIS2 #DORA

Dine leverandører er en forlængelse af din forretning, men de er også en forlængelse af din angrebsflade. Svag leverandørsikkerhed kan føre til brud på persondatasikkerheden, tilsynsmæssige sanktioner og driftsmæssigt kaos, hvilket gør robust styring ufravigelig. Denne vejledning giver en praktisk tilgang til at mestre leverandørsikkerhed med ISO 27001:2022 og opfylde GDPR-forpligtelser for databehandlere gennem effektive kontrakter og løbende tilsyn.

Hvad der er på spil

I dagens sammenkoblede forretningsøkosystem opererer ingen organisation isoleret. Du er afhængig af et netværk af leverandører til alt fra cloudhosting og softwareudvikling til marketinganalyse og lønbehandling. Selvom outsourcing skaber effektivitet, introducerer det også væsentlige risici. Hver gang du giver en tredjepart adgang til dine data, systemer eller infrastruktur, baserer du dig på, at de opretholder samme sikkerhedsniveau som dig. Når den tillid er fejlplaceret, kan konsekvenserne være alvorlige og række langt ud over en simpel driftsafbrydelse. Et brud, der udspringer af din forsyningskæde, er stadig dit brud, og de driftsmæssige, økonomiske og omdømmemæssige konsekvenser lander direkte hos dig.

Det regulatoriske landskab, især i Europa, efterlader ikke plads til uklarhed. GDPR gør det i Article 28 udtrykkeligt klart, at dataansvarlige er ansvarlige for deres databehandleres handlinger. Det betyder, at du er retligt forpligtet til at gennemføre due diligence og sikre, at enhver leverandør, der behandler personoplysninger, giver tilstrækkelige garantier for sit sikkerhedsniveau. Det er ikke nok blot at underskrive en kontrakt; du skal have en formel, dokumenteret databehandleraftale, der beskriver specifikke sikkerhedsforanstaltninger, fortrolighedsforpligtelser, procedurer for underretning om brud og revisionsrettigheder. Hvis dette ikke er på plads, kan det medføre alvorlige bøder, men skaden stopper ikke der. Regelsæt som NIS2 og DORA udvider forventningerne og kræver koordinerede risikovurderinger og kontraktlige sikkerhedsforpligtelser på tværs af hele IKT-forsyningskæden, særligt i kritiske sektorer og den finansielle sektor.

Forestil dig en mindre e-handelsvirksomhed, der hyrer et eksternt marketingbureau til at administrere sine e-mailkampagner til kunder. Marketingbureauet lagrer kundelisten på en dårligt konfigureret cloudserver. En trusselsaktør opdager sårbarheden, eksfiltrerer personoplysninger om tusindvis af kunder og offentliggør dem online. For e-handelsvirksomheden er konsekvensen øjeblikkelig og katastrofal. Virksomheden står over for en GDPR-undersøgelse, mulige bøder, tab af kundetillid, som kan tage år at genopbygge, og den driftsmæssige byrde ved at håndtere hændelsesrespons og underretninger. Rodårsagen var ikke en fejl i virksomhedens egne systemer, men manglende grundig vurdering af leverandøren og manglende kontraktlig binding til specifikke sikkerhedsstandarder. Scenariet understreger en kritisk sandhed: Din informationssikkerhed er kun så stærk som din svageste leverandør.

Sådan ser god praksis ud

Robust leverandørsikkerhed handler ikke om at bygge uigennemtrængelige mure; det handler om at etablere en gennemsigtig, risikobaseret styringsramme for tredjepartsrelationer. Et modent program, der er tilpasset ISO 27001:2022, flytter leverandørstyring fra at være en indkøbsformalitet til en strategisk sikkerhedsfunktion. Det begynder med principperne i kontrol A.5.19, som fokuserer på at etablere og vedligeholde en klar politik for styring af informationssikkerhed i leverandørrelationer. Det betyder, at alle leverandører ikke behandles ens. I stedet inddeles de i niveauer efter den risiko, de introducerer, med hensyntagen til faktorer som følsomheden af de data, de har adgang til, kritikaliteten af den tjeneste, de leverer, og deres integration med dine kernesystemer.

Denne risikobaserede tilgang danner direkte grundlag for de kontraktlige krav, der følger af kontrol A.5.20, som omhandler informationssikkerhed i leverandøraftaler. For en højrisikoleverandør, f.eks. en cloudinfrastrukturudbyder, vil aftalen være omfattende. Den vil specificere tekniske kontroller som krypteringsstandarder, kræve regelmæssige sikkerhedsaudits, fastsætte stramme frister for underretning om brud og sikre din ret til at kontrollere leverandørens efterlevelse. For en lavrisikoleverandør, f.eks. et rengøringsfirma, kan kravene være så enkle som en fortrolighedsklausul. Målet er at sikre, at enhver leverandørrelation er reguleret af klare, bindende sikkerhedsforpligtelser, der står i rimeligt forhold til risikoen. Denne strukturerede proces sikrer, at sikkerhed er et centralt hensyn fra det øjeblik, en ny leverandør overvejes, og ikke en eftertanke efter kontraktunderskrivelsen. Vores omfattende kontrolbibliotek hjælper med at definere disse specifikke foranstaltninger for forskellige leverandørniveauer.1

Forestil dig en voksende fintech-startup, der behandler følsomme finansielle data. Dens leverandørsikkerhedsprogram er et eksempel på effektiv praksis. Når virksomheden indgår aftale med en ny cloududbyder om hosting af sin kerneapplikation, klassificeres udbyderen som “kritisk risiko”. Det udløser en grundig due diligence-proces, herunder gennemgang af udbyderens ISO 27001-certifikat og SOC 2-rapport. Databehandleraftalen gennemgås nøje af juridiske teams og sikkerhedsteams for at sikre, at den opfylder GDPR-krav til dataresidens og styring af underdatabehandlere. Når virksomheden derimod hyrer et lokalt designbureau til et enkeltstående marketingprojekt, klassificeres bureauet som “lav risiko”. Det underskriver blot en standardfortrolighedsaftale og får kun adgang til ikke-følsomme brandaktiver. Denne niveauopdelte, metodiske tilgang gør det muligt for startupvirksomheden at fokusere sine ressourcer på de højeste risici og samtidig bevare agilitet.

Praktisk tilgang

Opbygning af et holdbart leverandørsikkerhedsprogram kræver en struktureret, faseopdelt tilgang, der integrerer sikkerhed i hele leverandørens livscyklus, fra valg til afvikling. Det er ikke et engangsprojekt, men en løbende forretningsproces, der koordinerer indkøb, jura og IT. Ved at opdele implementeringen i håndterbare trin kan du skabe fremdrift og hurtigt dokumentere værdi uden at overbelaste dine teams. Tilgangen sikrer, at sikkerhedskrav defineres, at kontrakter er robuste, og at overvågningen er løbende, hvilket skaber et kontrolsystem, der tilfredsstiller revisorer og reelt reducerer risiko. Vores ISMS-implementeringsvejledning, Zenith Blueprint, indeholder en detaljeret projektplan for etablering af disse grundlæggende processer.2

Den indledende fase handler om at lægge fundamentet. Det indebærer at forstå det eksisterende leverandørlandskab og fastlægge reglerne for alle fremtidige relationer. Du kan ikke beskytte det, du ikke kender, så oprettelse af en samlet fortegnelse over alle nuværende leverandører er det nødvendige første skridt. Processen afdækker ofte afhængigheder og risici, som tidligere ikke var dokumenteret. Når du har overblik, kan du udvikle de politikker og procedurer, der skal styre programmet, så alle i organisationen forstår deres rolle i at opretholde sikkerhed i forsyningskæden.

  • Uge 1: Kortlægning og politikfundament
    • Udarbejd en fuldstændig fortegnelse over alle nuværende leverandører med angivelse af de tjenester, de leverer, og de data, de har adgang til.
    • Udvikl en risikovurderingsmetode til at klassificere leverandører i niveauer (f.eks. høj, middel, lav) baseret på datafølsomhed, tjenestekritikalitet og systemadgang.
    • Udarbejd et udkast til en formel leverandørsikkerhedspolitik, der definerer kravene for hvert risikoniveau.
    • Opret et standardiseret sikkerhedsspørgeskema og en skabelon til databehandleraftaler, der er tilpasset GDPR Article 28.

Når de grundlæggende politikker er på plads, fokuserer næste fase på at indarbejde de nye krav i indkøbs- og juridiske arbejdsgange. Her bevæger programmet sig fra teori til praksis. Det er afgørende at sikre, at ingen ny leverandør kan onboardes uden at gennemgå den relevante sikkerhedsgennemgang. Det kræver tæt samarbejde med de teams, der håndterer leverandørkontrakter og betalinger. Ved at gøre sikkerhed til et obligatorisk kontrolpunkt i indkøbsprocessen forhindrer du risikable relationer i at opstå og sikrer, at alle aftaler indeholder de nødvendige juridiske beskyttelser.

  • Uge 2: Integration og due diligence
    • Integrér processen for sikkerhedsgennemgang i den eksisterende arbejdsgang for indkøb og leverandøronboarding.
    • Begynd at vurdere nye leverandører ved hjælp af sikkerhedsspørgeskemaet og risikometoden.
    • Samarbejd med det juridiske team for at sikre, at alle nye kontrakter, især dem der omfatter personoplysninger, indeholder standarddatabehandleraftalen og relevante sikkerhedsklausuler.
    • Start processen med retrospektivt at vurdere eksisterende højrisikoleverandører og afhjælpe eventuelle kontraktmæssige mangler.

Den tredje fase flytter fokus til løbende overvågning og gennemgang. Leverandørsikkerhed er ikke en aktivitet, man kan sætte på autopilot. Trusselslandskabet ændrer sig, leverandørers tjenester udvikler sig, og deres egen sikkerhedstilstand kan forringes over tid. Et modent program omfatter mekanismer til løbende tilsyn, så leverandører fortsat overholder deres kontraktlige forpligtelser gennem hele relationen. Det indebærer regelmæssige opfølgninger, gennemgang af revisionsrapporter og en klar proces for håndtering af ændringer i de tjenester, de leverer.

  • Uge 3: Overvågning og ændringsstyring
    • Fastlæg en plan for periodiske gennemgange af højrisikoleverandører (f.eks. årligt). Dette bør omfatte indhentning af opdaterede certificeringer eller revisionsrapporter.
    • Definér en formel proces for håndtering af ændringer i leverandørtjenester. Enhver væsentlig ændring, f.eks. introduktion af en ny underdatabehandler eller ændring af lokation for databehandling, skal udløse en fornyet risikovurdering.
    • Implementér et system til at følge leverandørers opfyldelse af aftalte serviceniveauer for sikkerhed og kontraktlige krav.

Endelig skal programmet være forberedt på at håndtere hændelser og afslutte leverandørrelationer sikkert. Uanset hvor grundig din due diligence er, kan hændelser stadig opstå. En veldefineret hændelseshåndteringsplan, der omfatter dine leverandører, er afgørende for en hurtig og effektiv reaktion. Lige så vigtig er en sikker afviklingsproces. Når en kontrakt ophører, skal du sikre, at alle dine data returneres eller destrueres sikkert, og at al adgang til dine systemer tilbagekaldes, så der ikke efterlades sikkerhedshuller.

  • Uge 4: Hændelseshåndtering og afvikling af leverandørforhold
    • Integrér leverandører i hændelseshåndteringsplanen, og tydeliggør deres roller, ansvar og kommunikationsprocedurer i tilfælde af et sikkerhedsbrud.
    • Udarbejd en formel tjekliste for afvikling af leverandørforhold. Den skal omfatte trin for returnering eller destruktion af data, tilbagekaldelse af al fysisk og logisk adgang samt endelig afregning.
    • Test kommunikationsplanen for leverandørhændelser for at sikre, at den fungerer som forventet.
    • Begynd at anvende afviklingsprocessen på leverandørrelationer, der er under ophør.

Politikker, der forankrer praksis

En praktisk implementeringsplan er nødvendig, men uden klare og bindende politikker vil selv de bedste processer svigte under pres. Politikker er rygraden i dit leverandørsikkerhedsprogram og omsætter strategiske mål til konkrete regler, der styrer daglige beslutninger. De skaber klarhed for medarbejderne, opstiller entydige forventninger til leverandørerne og etablerer revisionsbart bevismateriale for din styringsramme. En velskrevet politik fjerner gætværk og sikrer, at sikkerhedsmæssig due diligence anvendes ensartet på tværs af organisationen, fra indkøbsteamet, der forhandler en ny kontrakt, til IT-teamet, der tildeler adgang til en tredjepartskonsulent.

Hjørnestenen i denne ramme er Politik for tredjeparts- og leverandørsikkerhed.3 Dokumentet fungerer som den centrale autoritet for alle sikkerhedsforhold vedrørende leverandører. Det definerer formelt organisationens forpligtelse til at styre risici i forsyningskæden og beskriver hele livscyklussen for en leverandørrelation set fra et sikkerhedsperspektiv. Det fastlægger metoden for risikoniveauinddeling, specificerer minimumssikkerhedskravene for hvert niveau og tildeler klare roller og ansvarsområder. Politikken sikrer, at sikkerhed ikke er et valgfrit tillæg, men en obligatorisk del af ethvert leverandørsamarbejde, og giver den nødvendige bemyndigelse til at håndhæve efterlevelse og afvise leverandører, der ikke opfylder dine standarder.

Et eksempel: En mellemstor logistikvirksomhed er afhængig af et dusin forskellige softwareleverandører til alt fra ruteplanlægning til lagerstyring. Virksomhedens Politik for tredjeparts- og leverandørsikkerhed kræver, at enhver leverandør, der håndterer forsendelses- eller kundedata, klassificeres som “høj risiko”. Før økonomiteamet kan behandle en faktura for et nyt softwareabonnement, skal den indkøbsansvarlige uploade en underskrevet databehandleraftale og et udfyldt sikkerhedsspørgeskema til et centralt dokumentarkiv. Den IT-sikkerhedsansvarlige får automatisk besked om at gennemgå dokumenterne. Hvis dokumenterne mangler, eller leverandørens svar er utilstrækkelige, forhindrer systemet godkendelse af betaling og stopper effektivt onboardingprocessen, indtil sikkerhedskravene er opfyldt. Denne enkle, politikstyrede arbejdsgang sikrer, at ingen risikabel leverandør slipper igennem.

Tjeklister

For at sikre en dækkende og gentagelig leverandørsikkerhedsproces er det nyttigt at opdele de centrale aktiviteter i handlingsrettede tjeklister. Listerne guider dine teams gennem de kritiske faser med at opbygge programmet, drive det i det daglige og verificere dets effektivitet over tid. De hjælper med at standardisere tilgangen, reducere risikoen for menneskelige fejl og levere klart revisionsbevismateriale for, at kontrollerne implementeres konsekvent.

Et solidt fundament er afgørende for ethvert effektivt sikkerhedsprogram. Før du kan begynde at vurdere individuelle leverandører, skal du først etablere den interne ramme, der understøtter hele processen. Det indebærer at definere risikovillighed, oprette den nødvendige dokumentation og tildele klart ejerskab. Uden disse grundlæggende elementer bliver indsatsen uorganiseret, inkonsekvent og vanskelig at skalere, efterhånden som organisationen vokser. Den indledende etableringsfase handler om at skabe de værktøjer og regler, der skal styre alle fremtidige leverandørsikkerhedsaktiviteter.

Opbyg: Etablering af din styringsramme for leverandørsikkerhed

  • Udarbejd og godkend en formel Politik for tredjeparts- og leverandørsikkerhed.
  • Opret en samlet fortegnelse over alle eksisterende leverandører og de data, de har adgang til.
  • Definér en klar risikovurderingsmetode og kriterier for niveauinddeling af leverandører.
  • Udarbejd et standardiseret sikkerhedsspørgeskema til leverandør-due diligence.
  • Opret en juridisk skabelon til databehandleraftaler, der er i overensstemmelse med GDPR Article 28.
  • Tildel klare roller og ansvarsområder for leverandørsikkerhedsstyring på tværs af afdelinger.

Når rammen er på plads, flyttes fokus til de operationelle, daglige aktiviteter i styringen af leverandørrelationer. Det indebærer at indarbejde sikkerhedskontrollerne i de almindelige forretningsprocesser, især indkøb og onboarding. Enhver ny leverandør skal passere disse sikkerhedskontrolpunkter, før der gives adgang til data eller systemer. Denne operationelle tjekliste sikrer, at de politikker, du har udarbejdet, anvendes konsekvent i praksis for hvert enkelt leverandørsamarbejde.

Drift: Styring af leverandørens livscyklus

  • Gennemfør sikkerhedsmæssig due diligence og risikovurdering for alle nye leverandører før kontraktunderskrivelse.
  • Sørg for, at en underskrevet databehandleraftale og relevante sikkerhedsklausuler indgår i alle relevante leverandørkontrakter.
  • Tildel leverandøradgang efter princippet om mindste privilegium.
  • Spor og håndter eventuelle sikkerhedsrelaterede undtagelser eller accepterede risici for specifikke leverandører.
  • Gennemfør den formelle afviklingsproces, når en leverandørkontrakt ophører, herunder destruktion af data og tilbagekaldelse af adgang.

Endelig er et sikkerhedsprogram kun effektivt, hvis det regelmæssigt overvåges, gennemgås og forbedres. “Verificér”-fasen handler om at sikre, at kontrollerne fungerer efter hensigten, og at leverandørerne fortsat opfylder deres sikkerhedsforpligtelser over tid. Det omfatter periodiske kontroller, formelle revisioner og en forpligtelse til at lære af hændelser og nærved-hændelser. Denne løbende verifikationssløjfe er det, der omdanner et statisk regelsæt til en dynamisk og robust sikkerhedsfunktion.

Verificér: Overvågning og revision af leverandørsikkerhed

  • Planlæg og gennemfør periodiske sikkerhedsgennemgange af højrisikoleverandører.
  • Anmod om og gennemgå leverandørers dokumentation for efterlevelse, f.eks. ISO 27001-certifikater eller resultater fra penetrationstest.
  • Udfør interne revisioner af leverandørsikkerhedsprocessen for at sikre overholdelse af politikken.
  • Gennemgå og opdater leverandørrisikovurderinger som reaktion på væsentlige ændringer i tjenester eller trusselslandskabet.
  • Indarbejd erfaringer fra leverandørrelaterede sikkerhedshændelser i politikker og procedurer.

Almindelige faldgruber

Selv med et veldesignet program falder organisationer ofte i velkendte fælder, der underminerer deres arbejde med leverandørsikkerhed. Bevidsthed om disse faldgruber er første skridt til at undgå dem. En af de hyppigste fejl er at behandle leverandørsikkerhed som en engangsaktivitet, der blot skal afkrydses under onboarding. En leverandør kan have en stærk sikkerhedstilstand, når kontrakten underskrives, men situationen kan ændre sig. Fusioner, opkøb, nye underdatabehandlere eller simpel konfigurationsdrift kan introducere nye sårbarheder. Hvis der ikke gennemføres periodiske gennemgange, især for højrisikoleverandører, baserer du driften på forældede og potentielt unøjagtige antagelser om deres sikkerhed.

En anden væsentlig faldgrube er ukritisk accept af leverandørdokumentation. Store udbydere, især på cloud- og SaaS-markederne, præsenterer ofte deres standardkontrakter og sikkerhedsvilkår som ikke-forhandlingsbare. Mange organisationer, der ønsker at komme hurtigt i gang med et projekt, underskriver disse aftaler uden grundig gennemgang fra juridiske teams og sikkerhedsteams. Det kan føre til accept af ugunstige vilkår, f.eks. meget begrænset ansvar ved brud, uklare klausuler om dataejerskab eller manglende revisionsret. Selvom forhandling kan være vanskelig, er det afgørende at identificere eventuelle afvigelser fra din egen sikkerhedspolitik og formelt dokumentere risikoaccepten, hvis du vælger at fortsætte. At underskrive leverandørens vilkår uden at forstå konsekvenserne er manglende due diligence.

En tredje almindelig fejl er dårlig intern kommunikation og uklart ejerskab. Leverandørsikkerhed er ikke alene IT- eller sikkerhedsafdelingens ansvar. Indkøb skal håndtere kontrakterne, jura skal gennemgå vilkårene, og de forretningsansvarlige, der er afhængige af leverandørens tjeneste, skal forstå de tilknyttede risici. Når disse afdelinger arbejder i siloer, opstår der uundgåeligt huller. Indkøb kan forny en kontrakt uden at udløse en krævet fornyet sikkerhedsvurdering, eller en forretningsenhed kan engagere en ny “billig” leverandør helt uden sikkerhedsvurdering. Et vellykket program kræver et tværfunktionelt team med klare roller og en fælles forståelse af processen.

Endelig undlader mange organisationer at planlægge afslutningen af relationen. Afvikling af leverandørforhold er lige så kritisk som onboarding. En almindelig fejl er at opsige en kontrakt, men glemme at tilbagekalde leverandørens adgang til systemer og data. Efterladte, ubrugte konti er et attraktivt mål for angribere. En formel afviklingsproces, der omfatter en tjekliste for tilbagekaldelse af alle legitimationsoplysninger, returnering eller destruktion af alle virksomhedsdata og bekræftelse af adgangsophør, er nødvendig for at forhindre, at sådanne zombiekonti bliver til en fremtidig sikkerhedshændelse.

Næste skridt

Er du klar til at opbygge et robust leverandørsikkerhedsprogram, der kan modstå regulatorisk kontrol og beskytte din forretning? Vores omfattende værktøjspakker indeholder de politikker, kontroller og implementeringsvejledninger, du skal bruge for at komme i gang.

Referencer

  1. Zenith-kontroller ↩︎

  2. Zenith Blueprint ↩︎

  3. Politik for tredjeparts- og leverandørsikkerhed ↩︎

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article

Related Articles

Sådan kommer du i gang med ISO 27001:2022: En praktisk vejledning

Sådan kommer du i gang med ISO 27001:2022: En praktisk vejledning

Introduktion

ISO 27001 er den internationale standard for ledelsessystemer for informationssikkerhed (ISMS). Denne praktiske vejledning fører dig gennem de væsentlige trin i implementeringen af ISO 27001 i din organisation, fra den indledende planlægning til certificering.

Hvad er ISO 27001?

ISO 27001 giver en systematisk tilgang til styring af følsomme virksomhedsoplysninger og til at sikre, at oplysningerne forbliver beskyttede. Standarden omfatter mennesker, processer og IT-systemer og bygger på en risikobaseret styringsproces.