Anvisningens syfte

Syftet med anvisningen är att stödja institutionerna att implementera säkerhetsåtgärder i enlighet med Riktlinjer för informationssäkerhet vid Stockholms universitet.

I anvisningen finns underlag som ger hjälp till att införa och upprätthålla lämplig nivå av säkerhetsåtgärder som relaterar till leverantörsrelationer. Som ni kommer se är det fråga om en mix av arbetssätt, dokumentation, faktiska säkerhetsåtgärder och regler.

Allmänt om Leverantörsrelationer

Informationssäkerhet i leverantörsrelationer handlar kortfattat om tre delar. Dels att i avtal kravställa leveransens informationssäkerhetsegenskaper. Dels skydda sekretessaspekten för institutionens information, i de fall leverantören har tillgång till sådan. Dels att löpande verifiera att leveransen realiseras enligt avtal.

Säkerhetsåtgärder

Denna del av anvisningen talar om ett antal säkerhetsåtgärder som ska beaktas. Anvisningen styr inte på något sätt omfattning och nivå på säkerhetsåtgärder. De kan realiseras med olika omfattning och nivå beroende på vilket behov man har. För alla säkerhetsåtgärder gäller dock följande;

Skyddsåtgärdernas omfattning och dimensionering kan utformas utifrån resultatet av informationstillgångarnas klassificering samt verksamhetsanalys med tillhörande risk- och sårbarhetsanalys. Valet av omfattning och nivå bör kunna motiveras.

Hantering av säkerhet i leverantörsavtal

Denna del är enligt definition enbart tillämpligt för leveranser där leverantör kan tillgå, behandla, lagra, kommunicera er information, eller tillhandahåller infrastrukturkomponenter för er information.

För denna typ av tjänsteleveranser skall relevanta informationssäkerhetskrav upprättas och inkluderas i avtalet.

Vad denna kravställning bör omfatta varierar som ni då förstår från fall till fall. Det beror på vilken typ av tjänst/avtal det gäller. Omfattningen skall också stå i paritet till vilken typ av tjänst det gäller, dvs hur kritisk den är för er.

Delar som kravställningen kan omfatta:

  • Organisatoriska krav, ex. att leverantören ska följa ISO/IEC 27001 mm.
  • Processkrav, ex. att leverantören ska ha etablerade processer för incidenthantering, ändringshantering, kapacitetsplanering, kontinuitetsplanering, åtkomststyrning etc.
  • Rapporteringskrav, ex. att incidenter hos leverantören som har potential att beröra institutionen ska rapporteras, att risker som har potential att beröra institutionen ska rapporteras, att avtalad tjänstenivå (SLA) ska mätas och regelbundet rapporteras etc.
  • Explicita säkerhetsåtgärder i teknisk miljö, ex. gällande hantering av sårbarheter, nivå av spårbarhet, redundans i infrastruktur etc.
  • Er rätt att under avtalets giltighet tillåtas utföra revisioner/granskningar av leverantörens tjänsteleverans, även på plats hos leverantören.

Vissa av dessa kravdelar kan man med fördel definiera generiskt, så de blir tillämpbara för alla tjänster oavsett typ. Vissa kravdelar behöver sannolikt arbetas fram per avtal/tjänst, beroende på tjänstens typ.

Personuppgifter

I de fall leverantören i någon form hanterar er organisations personuppgiftsbehandlingar ska ett Personuppgiftsbiträdesavtal tecknas. Kontakta universitetets dataskyddsombud om du behöver stöd.

Informationssäkerhetsregler för leverantörsrelationer

Detta gäller i de fall leverantör på något sätt har tillgång till någon/några av era informationstillgångar. Det kan bestå i att ni lagrar er information i leverantörens tjänstemiljö, att leverantören har access till er infrastruktur, att leverantören har åtkomst till era lokaler etc.

I dessa fall behöver ni reducera riskerna som är förknippade med att leverantören har denna tillgång.

Det mest centrala i detta är:

  • Teckna sekretessavtal med leverantörens organisation samt i vissa fall även med enskilda individer.
  • Utforma rutin för hur leverantörens åtkomst godkänns, vem/roll som ska godkänna etc.
  • Utforma och kommunicera ansvarsförpliktelser som gäller leverantören. 

Övervakning och granskning av leverantörstjänster

Detta handlar om att ni som kund i leverantörsrelationen ska kunna följa upp så levererad tjänst uppfyller det ni avtalat. Som ni förstår beror det åter igen mycket på vilken typ av tjänst det gäller, genom vilka metoder och tillvägagångssätt detta kan göras.

  • Ansvaret för denna uppföljning bör med fördel ligga på den som äger avtalet.
  • Genom egen övervakning eller leverantörens rapportering verifiera att tjänstenivån är i paritet med kravställningen.