CIS Control 15 - Service Provider Management
I dette afsnit gennemgår vi CIS Control 15: Service Provider Management.
Formålet med denne kontrol er at udvikle en proces til at evaluere service providers, som håndterer følsomme data eller er ansvarlige for virksomhedens kritiske IT-platforme eller processer. Målet er at sikre, at disse leverandører beskytter platforme og data på en passende måde.
Moderne virksomheder er i høj grad afhængige af tredjepartsleverandører. Samtidig viser erfaring, at brud hos en service provider kan få direkte eller indirekte konsekvenser for virksomheden, herunder databrud eller driftsforstyrrelser.
Hvad indebærer Control 15?
Control 15 kræver, at virksomheden etablerer et struktureret program og en proces for håndtering af service providers.
Uanset virksomhedens størrelse skal der være
• En politik for gennemgang af service providers • En opdateret fortegnelse over leverandører • En risikovurdering baseret på deres potentielle påvirkning af virksomheden • Kontraktmæssige forpligtelser, der holder leverandøren ansvarlig ved hændelser
Kontrollen fokuserer ikke kun på en checkliste, men på fundamentet for et styringsprogram.
Relationer og databehandling kan ændre sig over tid, og derfor skal processen genbesøges mindst årligt.
Service Provider Management Process
Processen består af flere centrale trin.
Identificer service providers
Virksomheden skal have overblik over, hvilke service providers der anvendes.
Det indebærer at identificere
• Hvilke leverandører der anvendes • Hvilke forretningsprocesser de understøtter • Hvem der har adgang • Roller og ansvar for administration
Det er vigtigt at adressere uautoriseret brug, herunder såkaldt shadow IT.
Der skal etableres og vedligeholdes en fortegnelse over service providers. Minimum skal denne indeholde:
• Navn på service provider • Forretningsenhed der anvender platformen • Klassifikation • Kontaktperson hos leverandøren • Intern kontaktperson med ansvar for relationen
Fortegnelsen skal gennemgås og opdateres årligt eller ved væsentlige ændringer.
Klassificer service providers
Hver service provider skal klassificeres baseret på relevante attributter, herunder:
• Forretningsfunktion • Geografisk placering • Dataklassifikation og følsomhed • Datamængde • Krav til tilgængelighed • Relevante regulativer • Inherent eller mitigated risiko
Etabler krav
Virksomheden skal definere krav, som service providers skal opfylde.
Kravene kan omfatte
• Sikkerhedsforpligtelser • Performance • Tilgængelighed • Rapportering • Ansvarsfordeling • Juridiske og regulatoriske krav
Ikke alle krav er nødvendigvis sikkerhedsrelaterede.
Vurder service providers
Virksomheden skal vurdere i hvilket omfang leverandøren opfylder de fastsatte krav.
Dette kan indebære
• Gennemgang af dokumentation • Standardiserede vurderingsrapporter • Spørgeskemaer • Ekstern vurdering
Service providers skal som minimum genvurderes årligt eller ved nye eller fornyede kontrakter.
Onboard service providers
Ved onboarding skal virksomheden sikre en struktureret integration i det eksisterende miljø.
Dette kan omfatte
• Oprettelse af konti • Integration med identitetsstyring • Overførsel af data • Integration med eksisterende systemer
Processen varierer afhængigt af leverandørtype og service model.
Overvåg service providers
Service providers skal overvåges løbende.
Det kan omfatte
• Overholdelse af kontraktlige forpligtelser • Ændringer i teknologisk infrastruktur • Håndtering af sikkerhedshændelser • Opdateringer og ændringer i platformen
Overvågning kan også indebære vurdering af sårbarheder eller hændelser hos leverandøren.
Decommission service providers
Når en service provider ikke længere anvendes, skal der være en formel proces for afvikling.
Denne proces skal omfatte
• Fjernelse af virksomhedens data • Fjernelse af konti • Fjernelse af adgang • Deaktivering af specifikke konti
Fjernelse af adgang skal ske i overensstemmelse med virksomhedens politikker for identitets- og datastyring.
Ansvar
IT-enheden har det primære ansvar for
• At vedligeholde fortegnelsen • At vurdere nye leverandører • At sikre overholdelse af juridiske og regulatoriske krav • At vedligeholde og afvikle service providers
Medarbejdere må ikke lagre virksomhedsdata på uautoriserede service provider systemer.
Afslutning
CIS Control 15 kræver, at virksomheden etablerer og vedligeholder en struktureret proces for styring af service providers.
Det indebærer identifikation, klassifikation, vurdering, onboarding, overvågning og afvikling af leverandører samt løbende opdatering af fortegnelser og risikovurderinger.
Formålet er at sikre, at tredjepartsleverandører beskytter virksomhedens data og kritiske IT-platforme på en passende måde.
Tak fordi du lyttede med.