Anskaffning, utveckling och underhåll av system samt leverantörsrelationer

 

Kravställning, upphandling och kontroll av utomstående tjänsteleverantör

Då Stockholms universitet köper tjänster eller förlägger drift av IT-system utanför universitetet ska minst samma regler avseende informationssäkerhet gälla som när driften hanteras i egen regi. Regler för upphandling framgår av upphandlingshandboken. Utöver detta ska även följande regler gälla då drift sker utanför universitetet:

  • Kraven på informationssäkerhet ska definieras baserat på klassificering av informationen samt riskanalys och regleras i avtal parterna emellan. Objektä̈garen eller motsvarande ansvarar för kravställning avseende den specifika tjänsten.
  • Uppföljning av avtalade säkerhetskrav ska ske regelbundet. Detta ska möjliggöras genom att i avtalet specificera att universitetet har rättighet att genomföra revision och granskning av den tillhandahållna tjänsten och hur väl leverantören uppfyller gällande och relevanta informationssäkerhetskrav.

Om informationen i systemen innehåller personuppgifter ska parternas roller som personuppgiftsansvarig och personuppgiftsbiträde regleras i avtal. I avtalet ska det specificeras att personuppgiftsbiträdet endast får behandla personuppgifterna i enlighet med instruktioner från den personuppgiftsansvarige. Utöver detta måste personuppgiftsbiträdet även vidta lämpliga och tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Molntjänster

Drift av system som innehåller känslig information, alternativt behöver integreras med andra system, ska inte upphandlas som en molntjänst utan att en noggrann riskanalys först har genomförts och dokumenterats. Utifrån analysens resultat ska nödvändiga åtgärder vidtas och minst följande ska säkerställas:

  • Informationssäkerhet ska finnas med i leverantörens avtalsförslag. Nivån på informationssäkerheten ska motsvara verksamhetens krav.
  • Avtalet ska specificera vilken eller vilka organisationer som har tillgång till informationen och huruvida underleverantörer används. Om personuppgifter kommer att behandlas i tjänsten måste användningen av underleverantörer vid var tid anges samt geografisk plats för behandlingen.
  • Om informationen kommer att hanteras utanför Sverige ska rättsläget vara analyserat och det ska säkerställas att säkerhetskraven för till exempel personuppgifter kan garanteras. Mer information finns på juridiksidorna, se länk nedan.
  • Avtalet ska uttryckligen specificera att leverantören inte får använda sig av universitetets information för eget eller annan parts bruk utöver vad som specifikt är avtalat.
  • Exportfunktioner ska finnas i tjänsten så att universitetet vid avtalsslutet, eller i övrigt vid behov, lätt kan byta leverantör.

 

IT-säkerhet i utvecklings- och underhå̊llsprocesser

Att bygga in IT-säkerhet i system samtidigt som de utvecklas är mer kostnadseffektivt än att tillföra säkerheten efteråt. Det minskar även risken för framtida sårbarheter som kan leda till fler incidenter. I förberedelserna för utveckling eller upphandling av system är det viktigt att säkerställa att informationssäkerhetens olika aspekter konfidentialitet, riktighet, tillgänglighet och spårbarhet beaktas. Detta för att säkerheten ska bli en integrerad del av systemet vilket kräver ett strukturerat tillvägagångssätt och att kraven avseende informationssäkerhet är tydligt definierade. Därför ska en dokumenterad utvecklingsmetod eller ett dokumenterat anskaffningssätt som tar hänsyn till detta användas.
God kunskap om verksamhetens krav (inklusive krav för informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet) är väsentligt om systemet ska kunna uppfylla sitt syfte. Därför ska verksamhetens säkerhetskrav och legala krav formellt fastställas och behandlas som en del av utvecklings- och anskaffningsprocessen. All systemutveckling och anskaffning av system bör föregås av en riskanalys. Utvecklingen eller upphandlingen ska minst beakta följande:

  • Tvingande myndighetskrav
  • Interna regler avseende informationssäkerhet
  • Driftstabila och beprövade lösningar. En strikt och väldefinierad arbetsrutin krävs när nya system eller utvecklade system- komponenter implementeras från utvecklings- och testmiljön in i produktionsmiljön. Endast formellt accepterade och godkända system eller systemkomponenter får implementeras i produktionsmiljön.