Den nye IT-drifts rammeaftale indikerer, at IT-sikkerhed fylder stadigt mere hos den offentlige leder.

Først og fremmest bliver der i SKI 02.22 stillet en række sikkerhedsmæssige krav til aftalens 12 leverandører, hvor det især forlanges, at leverandørens styringssystem for it-sikkerhed skal overholde de tre generelle krav i ISO27001, samt at systemet skal overholde i alt 12 krav indeholdt i ISO27001 Annex A pkt. 1.6… det kan forekomme ret teknisk, men Annex A indeholder mere end 100 såkaldte kontroller for sikkerhed.

Der kræves ikke en formel ISO27001 certificering, men som minimum at kontrollerne er af tilsvarende art og omfang. Leverandøren er ligeledes forpligtet til at anvende en risikobaseret tilgang i sin leverance, herunder til løbende at tilpasse sikkerhedsforholdene til en opdateret risikovurdering.

ISO 27001 Annex A rummer mere end 100 kontroller, der definerer IT-sikkerhedens forhold.

Rammeaftalen indeholder endvidere 13 skærpede sikkerhedskrav, der gør det muligt for kunden at få opfyldt et IT-sikkerheds behov, der rækker udover de krav, som standardleverancen indeholder.

Hvis kundens behov matcher et af de skærpede krav, er det påkrævet at anvende aftalens proces for mini-udbud.

De skærpede sikkerhedskrav i SKI 02.22

Rammeaftalens 13 skærpede krav til leverandørens IT-sikkerhedssystem er følgende, idet der som ovenfor skal være compliance inden for et, flere eller alle af nedenstående:

• Overholdelse af ISO270018 (vedrører Public cloud) Personalesikkerhed, jf. ISO27001, Anneks A, punkt 7 eller tilsvarende standard.
• Styring af aktiver, jf. ISO27001, Anneks A, punkt 8 eller tilsvarende standard.
• Adgangsstyring, jf. ISO27001, Anneks A, punkt 9 eller tilsvarende standard
• Kryptografi, jf. ISO27001, Anneks A, punkt 10 eller tilsvarende standard.
• Driftssikkerhed, jf. ISO27001, Anneks A, punkt 12 eller tilsvarende standard.
• Kommunikationssikkerhed, jf. ISO27001, Anneks A, punkt 13 eller tilsvarende standard.
• Anskaffelse, udvikling og vedligeholdelse af systemer, jf. ISO27001, Anneks A, punkt 14 eller tilsvarende standard
• Leverandørforhold, jf. ISO27001, Anneks A, punkt 15 eller tilsvarende standard
• Styring af informationssikkerhedsbrud, jf. ISO27001, Anneks A, punkt 16 eller tilsvarende standard
• Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring, jf. ISO27001, Anneks A, punkt 17 eller tilsvarende standard
• Overensstemmelse, jf. ISO27001, Anneks A, punkt 18 eller tilsvarende standard
• PET-godkendt personale.

Det kan måske virke en smule kompliceret, men der er hjælp at hente i rammeaftalens vejledning, ligesom vi gerne besvarer spørgsmål til emnet.