Eksempler på den sikkerhedspolitiske udvikling, kan bl.a. være forventede ændringer grundet krig, terror, handelsblokade, ændringer i politisk orientering, og økonomisk udvikling. De mulige sikkerhedsmæssige konsekvenser risikovurderes jf. fortrolighed, integritet og tilgængelighed (FIT).

Omfanget af vurderingen skal stå mål med den sikkerhedsmæssige kritikalitet for funktionen af indkøbet. Flere alternative indkøbsmuligheder/løsninger bør vurderes på sikkerhedsmæssige konsekvenser, og indgå i en sammenligning af andre indkøbsmæssige aspekter f.eks. pris, specifikationer m.v.

Er et af følgende punkter gældende, skal de sikkerhedsmæssige konsekvenser vurderes:

• Funktionen er essentiel for drift eller forskning
• Fortrolige eller følsomme informationer behandles
• Producent, leverandør, serviceleverandør er uden for EU
• Udstyr er omfattet af eksportkontrol
• Information som behandles, er omfattet af GDPR

 

Et af grundprincipperne inden for informationssikkerhed er FIT. Derfor er det en god idé at starte her, når du skal vurdere risici ved indkøb af en ny vare. Du kan bl.a. forholde dig til: 

Fortrolighed:

• Produktet: Vurder hvordan produktet håndterer fortrolige oplysninger. Har det f.eks. indbyggede sikkerhedsforanstaltninger såsom datakryptering, adgangskontrol og autentificering? 
• Leverandøren: Undersøg om leverandørens politikker og procedurer til at beskytte fortrolige data er tilstrækkelige. Du kan f.eks. anmode om dokumentation for deres sikkerhedscertificeringer og audits (evt. en revisionserklæring som ISAE3402, ISAE3000 GDPR og ISAE3000 NIS2). 
• Kontrakten: Indgå kontrakter, der indeholder fortrolighedsklausuler, hvor leverandøren forpligter sig til at beskytte følsomme data og rapportere om eventuelle brud på fortroligheden. 

Integritet:

• Data- og systemintegritet: Vurder om produktet sikrer integriteten af de data, det behandler. Dette kan bl.a. være funktioner til at opdage og forhindre uautoriserede ændringer af data. 
• Sikkerhed i kontrakter: Indgå kontrakter, der specificerer krav til kvalitet og integritet af produktet, samt procedurer for håndtering af eventuelle afvigelser. Sørg for løbende at vurdere om produktet lever op til den kontraktuelt aftalte kvalitet og integritet. 

Tilgængelighed:

• Beredskabsplaner: Vurder hvor vigtigt det er at produktet virker, og udvikl evt. en beredskabsplan for at sikre, at produktet kan opretholdes i tilfælde af tekniske problemer, naturkatastrofer eller cyberangreb. Dette kan bl.a. inkludere alternative leverandører og nødprocedurer. 
• SLA'er: Indgå klare Service Level Agreements (SLA) med leverandøren, der specificerer krav til tilgængelighed, responstider og support.

Du kan få hjælp til at foretage en sikkerhedsmæssig konsekvensvurdering af et vareindkøb, ved at oprette en sag her og udfylde nedenstående deri: 

• Varetype
• Varenavn
• Leverandørnavn
• Antal enheder/varer/licenser
• Dataklassifikation (læs mere her)
• Forventet formål
• Eventuelle alternativer til varen
• Eventuelle driftsaftaler
• Forventet levetid
• Organisatorisk forankring
• Hvorfor mener du, at der bør foretages en vurdering af varen inden indkøb? 

Udfyld venligst overskriften i henvendelsen med: "Sikkerhedsscreening af varenavn".