Peak logo mørk

DK

NO

Artikel

Sikkerhed fylder meget i den nye SKI 02.22 rammeaftale.

Print Friendly, PDF & Email

Den nye IT-drifts rammeaftale indikerer, at IT-sikkerhed fylder stadigt mere hos den offentlige leder.

Først og fremmest bliver der i SKI 02.22 stillet en række sikkerhedsmæssige krav til aftalens 12 leverandører, hvor det især forlanges, at leverandørens styringssystem for it-sikkerhed skal overholde de tre generelle krav i ISO27001, samt at systemet skal overholde i alt 12 krav indeholdt i ISO27001 Annex A pkt. 1.6… det kan forekomme ret teknisk, men Annex A indeholder mere end 100 såkaldte kontroller for sikkerhed.

Der kræves ikke en formel ISO27001 certificering, men som minimum at kontrollerne er af tilsvarende art og omfang. Leverandøren er ligeledes forpligtet til at anvende en risikobaseret tilgang i sin leverance, herunder til løbende at tilpasse sikkerhedsforholdene til en opdateret risikovurdering.

ISO 27001 Annex A rummer mere end 100 kontroller, der definerer IT-sikkerhedens forhold.

Rammeaftalen indeholder endvidere 13 skærpede sikkerhedskrav, der gør det muligt for kunden at få opfyldt et IT-sikkerheds behov, der rækker udover de krav, som standardleverancen indeholder.

Hvis kundens behov matcher et af de skærpede krav, er det påkrævet at anvende aftalens proces for mini-udbud.

De skærpede sikkerhedskrav i SKI 02.22

Rammeaftalens 13 skærpede krav til leverandørens IT-sikkerhedssystem er følgende, idet der som ovenfor skal være compliance inden for et, flere eller alle af nedenstående:

  • Overholdelse af ISO270018 (vedrører Public cloud) Personalesikkerhed, jf. ISO27001, Anneks A, punkt 7 eller tilsvarende standard.
  • Styring af aktiver, jf. ISO27001, Anneks A, punkt 8 eller tilsvarende standard.
  • Adgangsstyring, jf. ISO27001, Anneks A, punkt 9 eller tilsvarende standard
  • Kryptografi, jf. ISO27001, Anneks A, punkt 10 eller tilsvarende standard.
  • Driftssikkerhed, jf. ISO27001, Anneks A, punkt 12 eller tilsvarende standard.
  • Kommunikationssikkerhed, jf. ISO27001, Anneks A, punkt 13 eller tilsvarende standard.
  • Anskaffelse, udvikling og vedligeholdelse af systemer, jf. ISO27001, Anneks A, punkt 14 eller tilsvarende standard
  • Leverandørforhold, jf. ISO27001, Anneks A, punkt 15 eller tilsvarende standard
  • Styring af informationssikkerhedsbrud, jf. ISO27001, Anneks A, punkt 16 eller tilsvarende standard
  • Informationssikkerhedsaspekter ved nød-, beredskabs- og reetableringsstyring, jf. ISO27001, Anneks A, punkt 17 eller tilsvarende standard
  • Overensstemmelse, jf. ISO27001, Anneks A, punkt 18 eller tilsvarende standard
  • PET-godkendt personale.

Det kan måske virke en smule kompliceret, men der er hjælp at hente i rammeaftalens vejledning, ligesom vi gerne besvarer spørgsmål til emnet.

erik petersen

Erik Pedersen

Client Director

Først og fremmest bliver der stillet en række sikkerhedsmæssige krav til aftalens 12 leverandører, hvor det især forlanges, at leverandørens styringssystem for it-sikkerhed skal overholde de tre generelle krav i ISO27001

Du er velkommen til at kontakte os

info@peakconsulting.dk | Tlf: 3526 2880

Din tilmelding er registreret

Tak for din tilmelding, der nu er modtaget. Der er en bekræftelse på vej til din indbakke. 

Hvis du har problemer eller spørgsmål til tilmelding, så skriv til ms@peakconsulting.dk

Tilmelding til SAFe Forum 12. oktober 2022

Udfyld formularen og tilmeld dig SAFe forum 12. oktober 2022

Ved tilmelding accepterer du vores persondatapolitik og handelsbetingelser

Tilmelding til: Morgenseminar om den agile stat

Udfyld formularen og tilmeld dig seminaret. Ved tilmelding accepterer du vores persondatapolitik og handelsbetingelser

Bemærk: Vi forbeholder os retten til at afvise din tilmelding, hvis vi vurderer, at din profil ikke matcher målgruppen for seminaret. 

Hvis du har problemer eller spørgsmål til tilmelding, så skriv til ms@peakconsulting.dk

Tilmelding til SAFe Forum 16. marts 2022

Udfyld formularen og tilmeld dig SAFe forum 16. marts 2022

Ved tilmelding accepterer du vores persondatapolitik og handelsbetingelser

Tilmelding til Årets projektdag 19. maj 2022

Bemærk: Konferencen er udsolgt, men du kan skrive dig på venteliste og få besked, hvis der er afbud. 

Ved tilmelding accepterer du vores persondatapolitik og handelsbetingelser

Hvis du har problemer eller spørgsmål til tilmelding, så skriv til ms@peakconsulting.dk