Kurser

2 dages kursus 
Læring inden for et specifikt emne

Informationssikkerhed i leverandørstyring

2. - 3. maj 2024 Taastrup
10. - 11. juni 2024 Aarhus
2. - 3. september 2024 Taastrup
28. - 29. oktober 2024 Aarhus
DKK  10.999
ekskl. moms
Nr. 91167 A
3,4
Meget godt
17 anmeldelser
Arrangementer på Teknologisk Institut bliver evalueret af deltagerne. Stjernerne angiver deltagernes gennemsnitlige tilfredshed inden for de sidste 5 år.

På kurset kigger vi på de udfordringer og løsninger, der er inden for leverandørstyring med fokus på informationssikkerhed set ud fra et kundeperspektiv. Vi gennemgår et eksempel på en løsning til leverandørstyring og nogle af de variationer, der kan være. Vi lægger vægten på kontrol og verificering af, om kontraktens krav bliver opfyldt samt sikring af, at kravene løbende bliver revitaliseret i hele kontraktens løbetid. Målet er et godt samarbejde og være i kontrol med leverandøren.

Stå stærkt i et kunde-leverandørforhold

Med informationssikkerhed forstås al information i fysisk og elektronisk form, hvilket betyder, at kurset dækker forhold omkring dokumentationssikkerhed, personelsikkerhed, fysisk sikkerhed, IT-sikkerhed og cybersikkerhed.

Når udbudsmaterialet er udarbejdet, den rette leverandørløsning er fundet, og kontrakten indgået, følger tiden, hvor kontrakten skal stå sin endelige prøve.

Uanset om vi har den perfekte kontrakt, vil der kunne opstå fortolkninger i forbindelse med implementering og verificering af sikkerhedskravene.

På kurset kigger vi på de forhold, som gør sig gældende for et godt leverandørsamarbejde igennem hele kontraktens levetid og muligheden for at kunne svare ja til at være i kontrol, ikke kun til glæde for kunden selv, men også hvis revisionen eller anden compliances funktion kigger forbi.

Kurset tager udgangspunkt i et klassisk kunde-leverandørforhold med mulighed for at kunne inspicere de faktiske forhold. Derudover dækkes også hybride og fuldt ud cloudificerede IT-løsninger, hvor data og IT-systemer ikke er tilgængelige for fysisk inspektion.

Deltagerprofil

Dig som forventer at komme til at arbejde med, eller som allerede arbejder med, leverandørstyring med fokus på informationssikkerhed, herunder informationer der er relateret til personer og derved de registreredes rettigheder.

Udbytte

  • Et holistisk billede af samarbejdet mellem bl.a. IT-driftsleverandører, udviklingshuse, advokater og revisorer
  • Governance omkring leverandørstyring og hvem der kan varetage hvilke roller i din virksomhed som kunde
  • Udarbejdelse af en måde til etablering og mulig forbedring af rolle-/ansvarsfordeling i din virksomhed som kunde før, under og efter kontraktindgåelse
  • Overvejelser omkring niveau af leverandørstyring, kontrolmiljøets styrker og forskelligheder i det samlede IT-systemlandskab set ud fra en risikobetragtning

Det får du på kurset

Vi sørger for at rammerne er i orden, så du kan fokusere på at lære

Efter du har fuldendt kurset, vil du modtage et kursusbevis.

Kursusbevis

Hos Teknologisk Institut bruger vi kun erfarne undervisere.

Erfaren underviser

På dette kursus vil der højest være MAKS DELTAGERE pr. hold.

Maks. 16 deltagere

På kurset får du morgenmad, frokost, snacks og drikkevarer.

Fuld forplejning

På kurset er der indtænkt øvelser og deltagerinddragelse.

Øvelser og inddragelse

Materiale på dansk

Materiale på dansk

Indhold

Generelt
  • Udbudsmåder og vægtning af betydningen af informationssikkerhed i forhold til den samlede kontrakt
  • Brug af standarder for informationssikkerhed og risici ifm. fortolkning af indhold
  • Hensyn til forskellige informationssikkerhedspolitikker hos kunden og leverandøren
  • Perioden før, under og efter kontraktindgåelse
  • Governance omkring leverandørstyring
  • Roller hos kunden og et muligt match i forhold til leverandørens organisation(er)
  • Samarbejde med bl.a. intern og ekstern revision
  • Håndtering af klassificerede informationssystemer ifølge sikkerhedscirkulæret
  • Muligt samarbejde med sikkerhedsmyndighederne
  • Håndtering af kombinationer med flere leverandører, underleverandører og samarbejdsparter
  • Konstellationer med blandinger af intern og ekstern drift, forvaltning og udvikling af it-systemer baseret på standard it-systemer og egen videreudvikling
  • Hensyn til at kunne agere fleksibelt, hurtigt og ibrugtage nye it-komponenter og teknologier, som kom til efter kontraktens indgåelse
Cloud
  • Forhold omkring anvendelse af cloudløsninger og håndtering af en cloud-broker
  • Forhold omkring hybride løsninger it-løsninger baseret på brug af cloud og on-prem
  • Perspektiv på brug af cloudleverandører verden rundt
Personhenførbare informationer
  • Hensyn til forhold omkring lokalitet og brug af personhenførbare informationer
  • Brug af databehandleraftaler og DPIA samt mulighed for opfølgning på disse
Tiden inden kontraktindgåelse
  • Afprøvning af nye krav og kontroller på eksisterende IT-miljø inden udbudsforretning
  • Valg af strategi for flytning af IT-løsning og tidspunkt for introduktion af nye krav og kontroller
  • Forslag til sammenhæng mellem udarbejdelse af krav og - kontrolmateriale
  • Evaluering af indkomne svar på opfyldelse af krav i udbudsmateriale
I kontraktens levetid
  • Fra det perfekte kravmateriale til den uperfekte verden og retur
  • Brug af risikovurdering/-håndtering til løbende at få revitaliseret kravmateriale
  • Forslag til at få rettet op på afvigelser og opnåelse af en bedre overensstemmelse mellem det dokumenterede og de faktiske forhold
  • Hændelseshåndtering
  • Sikring af det gode samarbejde gennem kontaktens levetid med mulighed for forlængelse
  • Vægtning og vurdering af kontrolapparatets niveau set i et holistisk perspektiv i forhold til det samlede IT-systemlandskab eller -portefølje.
  • Manuelle og automatiske/systemunderstøttende kontroller.
  • Nedlukning og forhold omkring afslutning af samarbejdet med leverandøren
Afslutning og overdragelse til mulig anden leverandør
  • Muligheder for flytning af bl.a. data fra en leverandør til mulig ny og anden leverandør
  • Den gode afsked med bl.a. sikkerhed for og kontrol af at kundedata er blevet destrueret på anvendte disksystemer og backup
Kontrol- og verifikationsmiljø
  • Brug af IT-revision (intern og ekstern)
  • Egenkontrol foretaget af kunden og af leverandøren selv
  • Brug af revisionserklæringer og samarbejde med ekstern revision
  • Brug af ISAE 3000, ISAE 3402 og ISRS 4400 samt et kig på SOC2
  • Brug af resultater fra et certificeringsorgan og akkrediteringsmyndighed
  • Instruks til brug for gennemgang af et givent område med mulighed for reproducerbarhed
  • Brug af GRC-værktøjer
  • Sundhedstjek (healthcheck) af IT-komponenter
  • Forslag til opfølgning på udarbejdelse af software og kvaliteten af koden
  • Sårbarhedstest og penetration test
  • Compliance
  • Test af om forholdene virker efter hensigten
  • Dokumentation af observationer, bevisets styrke og den sproglige fremstilling
  • Inspiration fra Rigsrevisionen, Finanstilsynet og Datatilsynets gennemgange af sager
  • Præsentation af en leverandørstyringsløsning, et eksempel, som har bevist sin evne til at virke (dog med en vis omkostning), og som kan danne basis for en baseline i forhold til et ønsket niveau
  • Forslag til håndtering af afvigelser mellem det kontrollerede og kravmaterialet
  • Overvejelser og accept af risikoen ved fx. et risikobillede og resultat af udført arbejde

Anmeldelser af Informationssikkerhed i leverandørstyring

3,4
 
Meget godt Baseret på 17 anmeldelser
Arrangementer på Teknologisk Institut bliver evalueret af deltagerne. Stjernerne angiver deltagernes gennemsnitlige tilfredshed inden for de sidste 5 år.
Fremragende
Meget godt
Godt
Mindre godt
Ikke godt
Underviseren var meget inspirerende og god til at forklare tingene så alle forstår det. God til opsummeringer og gøre stoffet relevant.
 - Jette Vejgaard Next Uddannelse København
Underviseren var fantastisk. Meget sympatisk og eminent til at forklare og beskrive emnet. Han får mine varmeste anbefalinger.
 - Jessica Liljahart Dansk Beredskabskommunikation A/S

Form

Kurset tager udgangspunkt i afdækning af deltagernes situation, ønsker og behov. Afhængig af deltagerne vil kursusmaterialet blive anvendt målrettet og suppleret med illustrationer og henvisninger.

Kursusmateriale er baseret på præsentationsmateriale, der løbende bliver vedligeholdt og udbygget. Du vil som kursist blive inddraget aktivt i kurset for at sikre optimal indlæring og værdi. Der vil løbende blive lavet og anvendt illustrationer, som kan variere fra kursus til kursus.

Workshop som firmahold

Kurset udbydes også som en workshop over én eller flere dage med fokus på de forhold, der er i en konkret virksomhed eller offentlig styrelse eksempelvis med mulighed for inddragelse af egne inspektioner/revisioner.

25653
Underviser

Peter Anglov

4.4/5 (144 evalueringer) 
Baseret på alle evalueringer af underviseren fra de seneste 5 år.

Peter er uddannet civilingeniør og har beskæftiget sig med IT-sikkerhed og IT-revision i nogle af de største IT-installationer i Danmark og har 25 års erfaring med undervisning.

Vælg dato

Taastrup
2. - 3. maj 2024
Aarhus
10. - 11. juni 2024
Taastrup
2. - 3. september 2024
Aarhus
28. - 29. oktober 2024
Taastrup
21. - 22. november 2024