Kurser

Nyt2 dages kursus 
Læring inden for et specifikt emne

Informationssikkerhed i leverandørstyring

21. - 22. september 2022 Taastrup
24. - 25. oktober 2022 Aarhus
6. - 7. december 2022 Taastrup
19. - 20. december 2022 Aarhus
DKK  10.999
ekskl. moms
Nr. 91167 A
3,7
Meget godt
3 anmeldelser
Arrangementer på Teknologisk Institut bliver evalueret af deltagerne. Stjernerne angiver deltagernes gennemsnitlige tilfredshed.

På kurset kigger vi på de udfordringer og løsninger, der er inden for leverandørstyring med fokus på informationssikkerhed set ud fra et kundeperspektiv. Vi gennemgår et eksempel på en løsning til leverandørstyring og nogle af de variationer, der kan være. Vi lægger vægten på kontrol og verificering af, om kontraktens krav bliver opfyldt samt sikring af, at kravene løbende bliver revitaliseret i hele kontraktens løbetid. Målet er et godt samarbejde og være i kontrol med leverandøren.

Stå stærkt i et kunde-leverandørforhold

Med informationssikkerhed forstås al information i fysisk og elektronisk form, hvilket betyder, at kurset dækker forhold omkring dokumentationssikkerhed, personelsikkerhed, fysisk sikkerhed, IT-sikkerhed og cybersikkerhed.

Når udbudsmaterialet er udarbejdet, den rette leverandørløsning er fundet, og kontrakten indgået, følger tiden, hvor kontrakten skal stå sin endelige prøve.

Uanset om vi har den perfekte kontrakt, vil der kunne opstå fortolkninger i forbindelse med implementering og verificering af sikkerhedskravene.

På kurset kigger vi på de forhold, som gør sig gældende for et godt leverandørsamarbejde igennem hele kontraktens levetid og muligheden for at kunne svare ja til at være i kontrol, ikke kun til glæde for kunden selv, men også hvis revisionen eller anden compliances funktion kigger forbi.

Kurset tager udgangspunkt i et klassisk kunde-leverandørforhold med mulighed for at kunne inspicere de faktiske forhold. Derudover dækkes også hybride og fuldt ud cloudificerede IT-løsninger, hvor data og IT-systemer ikke er tilgængelige for fysisk inspektion.

Deltagerprofil

Dig som forventer at komme til at arbejde med, eller som allerede arbejder med, leverandørstyring med fokus på informationssikkerhed, herunder informationer der er relateret til personer og derved de registreredes rettigheder.

Udbytte

  • Et holistisk billede af samarbejdet mellem bl.a. IT-driftsleverandører, udviklingshuse, advokater og revisorer
  • Governance omkring leverandørstyring og hvem der kan varetage hvilke roller i din virksomhed som kunde
  • Udarbejdelse af en måde til etablering og mulig forbedring af rolle-/ansvarsfordeling i din virksomhed som kunde før, under og efter kontraktindgåelse
  • Overvejelser omkring niveau af leverandørstyring, kontrolmiljøets styrker og forskelligheder i det samlede IT-systemlandskab set ud fra en risikobetragtning

Indhold

Generelt
  • Udbudsmåder og vægtning af betydningen af informationssikkerhed i forhold til den samlede kontrakt
  • Brug af standarder for informationssikkerhed og risici ifm. fortolkning af indhold
  • Hensyn til forskellige informationssikkerhedspolitikker hos kunden og leverandøren
  • Perioden før, under og efter kontraktindgåelse
  • Governance omkring leverandørstyring
  • Roller hos kunden og et muligt match i forhold til leverandørens organisation(er)
  • Samarbejde med bl.a. intern og ekstern revision
  • Håndtering af klassificerede informationssystemer ifølge sikkerhedscirkulæret
  • Muligt samarbejde med sikkerhedsmyndighederne
  • Håndtering af kombinationer med flere leverandører, underleverandører og samarbejdsparter
  • Konstellationer med blandinger af intern og ekstern drift, forvaltning og udvikling af it-systemer baseret på standard it-systemer og egen videreudvikling
  • Hensyn til at kunne agere fleksibelt, hurtigt og ibrugtage nye it-komponenter og teknologier, som kom til efter kontraktens indgåelse
Cloud
  • Forhold omkring anvendelse af cloudløsninger og håndtering af en cloud-broker
  • Forhold omkring hybride løsninger it-løsninger baseret på brug af cloud og on-prem
  • Perspektiv på brug af cloudleverandører verden rundt
Personhenførbare informationer
  • Hensyn til forhold omkring lokalitet og brug af personhenførbare informationer
  • Brug af databehandleraftaler og DPIA samt mulighed for opfølgning på disse
Tiden inden kontraktindgåelse
  • Afprøvning af nye krav og kontroller på eksisterende IT-miljø inden udbudsforretning
  • Valg af strategi for flytning af IT-løsning og tidspunkt for introduktion af nye krav og kontroller
  • Forslag til sammenhæng mellem udarbejdelse af krav og - kontrolmateriale
  • Evaluering af indkomne svar på opfyldelse af krav i udbudsmateriale
I kontraktens levetid
  • Fra det perfekte kravmateriale til den uperfekte verden og retur
  • Brug af risikovurdering/-håndtering til løbende at få revitaliseret kravmateriale
  • Forslag til at få rettet op på afvigelser og opnåelse af en bedre overensstemmelse mellem det dokumenterede og de faktiske forhold
  • Hændelseshåndtering
  • Sikring af det gode samarbejde gennem kontaktens levetid med mulighed for forlængelse
  • Vægtning og vurdering af kontrolapparatets niveau set i et holistisk perspektiv i forhold til det samlede IT-systemlandskab eller -portefølje.
  • Manuelle og automatiske/systemunderstøttende kontroller.
  • Nedlukning og forhold omkring afslutning af samarbejdet med leverandøren
Afslutning og overdragelse til mulig anden leverandør
  • Muligheder for flytning af bl.a. data fra en leverandør til mulig ny og anden leverandør
  • Den gode afsked med bl.a. sikkerhed for og kontrol af at kundedata er blevet destrueret på anvendte disksystemer og backup
Kontrol- og verifikationsmiljø
  • Brug af IT-revision (intern og ekstern)
  • Egenkontrol foretaget af kunden og af leverandøren selv
  • Brug af revisionserklæringer og samarbejde med ekstern revision
  • Brug af ISAE 3000, ISAE 3402 og ISRS 4400 samt et kig på SOC2
  • Brug af resultater fra et certificeringsorgan og akkrediteringsmyndighed
  • Instruks til brug for gennemgang af et givent område med mulighed for reproducerbarhed
  • Brug af GRC-værktøjer
  • Sundhedstjek (healthcheck) af IT-komponenter
  • Forslag til opfølgning på udarbejdelse af software og kvaliteten af koden
  • Sårbarhedstest og penetration test
  • Compliance
  • Test af om forholdene virker efter hensigten
  • Dokumentation af observationer, bevisets styrke og den sproglige fremstilling
  • Inspiration fra Rigsrevisionen, Finanstilsynet og Datatilsynets gennemgange af sager
  • Præsentation af en leverandørstyringsløsning, et eksempel, som har bevist sin evne til at virke (dog med en vis omkostning), og som kan danne basis for en baseline i forhold til et ønsket niveau
  • Forslag til håndtering af afvigelser mellem det kontrollerede og kravmaterialet
  • Overvejelser og accept af risikoen ved fx. et risikobillede og resultat af udført arbejde

Anmeldelser af Informationssikkerhed i leverandørstyring

3,7
 
Meget godt Baseret på 3 anmeldelser
Arrangementer på Teknologisk Institut bliver evalueret af deltagerne. Stjernerne angiver deltagernes gennemsnitlige tilfredshed.
Fremragende
Meget godt
Udmærket
Mindre godt
Ikke godt

Form

Kurset tager udgangspunkt i afdækning af deltagernes situation, ønsker og behov. Afhængig af deltagerne vil kursusmaterialet blive anvendt målrettet og suppleret med illustrationer og henvisninger.

Kursusmateriale er baseret på præsentationsmateriale, der løbende bliver vedligeholdt og udbygget. Du vil som kursist blive inddraget aktivt i kurset for at sikre optimal indlæring og værdi. Der vil løbende blive lavet og anvendt illustrationer, som kan variere fra kursus til kursus.

Workshop som firmahold

Kurset udbydes også som en workshop over én eller flere dage med fokus på de forhold, der er i en konkret virksomhed eller offentlig styrelse eksempelvis med mulighed for inddragelse af egne inspektioner/revisioner.

25653
Underviser

Peter Anglov

Peter er uddannet civilingeniør og har beskæftiget sig med IT-sikkerhed og IT-revision i nogle af de største IT-installationer i Danmark og har 25 års erfaring med undervisning.

Vælg dato

Taastrup
21. - 22. september 2022
Aarhus
24. - 25. oktober 2022
Taastrup
6. - 7. december 2022
Aarhus
19. - 20. december 2022

Få ny inspiration til din kompetence­udvikling

Unikke tilbud, relevante artikler og nyt om vores kurser og uddannelser.

Indtast venligst et validt navn
Tilmelder nyhedsbrev
Tak for din tilmelding
Teknisk fejl

Der er desværre en systemfejl på nuværende tidspunkt. Du kan alternativt skrive en mail til data@teknologisk.dk