Idag är det inte ovanligt att delar av en verksamhet och dess information hanteras av en leverantör. Att använda sig av leverantörer, som är specialiserade på just en specifik tjänst, kan medföra många fördelar. Det är idag få leverantörer som inte, på något sätt, tar del av affärskritisk information för att kunna tillhandahålla sina tjänster och dagens digitaliserade samhälle ställer allt högre krav på att informationen hanteras säkert. Som organisation behöver ni förstå vilka risker det medför att en extern aktör får åtkomst till och har kontroll över er information.

För att en leverantör ska hantera informationen på ett korrekt sätt behöver ni vara överens om lämpliga informationssäkerhetståtgärder som leverantören ska uppfylla. Informationssäkerhetsåtgärderna syftar till att leverantören säkerställer att:

  • Endast behöriga tar del av informationen (konfidentialiteten)
  • Informationen är korrekt och går att lita på (riktigheten)
  • Den finns åtkomlig när den behövs (tillgängligheten)

Det är inte allt för sällan som verksamheter brister i att ställa krav på sina leverantörer, inte minst på informationshanteringen. Ofta är verksamheten ivrig med att komma igång med tjänsten. Vi ser allt för ofta att leverantörers standardavtal accepteras utan vidare analys.  Krav, riskanalyser och uppföljning av leverans prioriteras eller glöms gärna bort. I vissa organisationer kan det till och med vara så bristande leverantörsstyrning att kontroll över vilka leverantörer som används eller vad de tillför för tjänst, saknas.

Detta vill vi gärna ändra på och denna vägledning syftar till att ge dig tips på hur informationssäkerheten kan hanteras i leverantörsrelationer.

Vägledning för leverantörshantering ur ett informationssäkerhetsperpektiv:

  1. Inventering och klassning

Det första ni behöver göra är att identifiera vilka leverantörer ni använder och viken information dessa behöver ta del av. När vi vet vilken information som leverantören ska ta del av är det en god idé att klassa informationen efter konfidentialitet, riktighet och tillgänglighet. Bra frågor att ställa sig är; Hur konfidentiell är informationen? Rör det sig om känslig information? Rör det sig om personuppgifter eller känsliga personuppgifter? Vad händer om vi inte har tillgång till informationen? Hur länge kan vi vara utan informationen? Vad händer om informationen är felaktig? Detta gör vi för att förstå värdet av informationen för att därefter identifiera lämpliga säkerhetsåtgärder. Högt informationsvärde kräver hög nivå av skydd, och vice versa.

  1. Genomför riskanalys

Det är viktigt att ni gör en riskanalys för att förstå de risker som är kopplade till informationshanteringen. Genom att analysera och hantera risker innan anlitande av leverantör, undviker vi att risker och krav uppkommer efter att avtal har skrivits, vilket kan bli både dyrt och tidskrävande.

Inför därför rutiner och ramverk för att utföra en riskanalys vid varje anlitande av leverantör. Analysera tjänsten utifrån vilka informationssäkerhetsrisker som finns och minimera risker om så behövs. Bra frågor att ställa sig kan vara; Vad kan hända? Vad blir konsekvensen om det händer? Hur sannolikt är det att det händer? Vad kan vi göra för att förhindra att det händer?

  1. Specificera krav

Identifiera interna krav, minst de informationssäkerhetskrav som ni har internt ska även föras över på era leverantörer. Det vill säga, kräver ni bakgrundskontroll för att medarbetare ska ta del av information tillhörande en viss klass eller att tillgång föregås av tvåstegsautentisering, ja då ska dessa krav också föras vidare till era leverantörer.

Ni behöver också identifiera externa krav, till exempel EU-förordningar och föreskrifter. Tar leverantören del av organisationens personuppgifter så ska ett personuppgiftsbiträdesavtal med tillhörande krav upprättas och tecknas.

Specificera även krav utifrån riskanalysen så att säkerhetsåtgärder för att minimera riskerna finns på plats.

Systematiskt informationssäkerhetsarbete och rapportering av informationssäkerhetsincidenter bör alltid vara ett krav. En god idé är att använda informationssäkerhetsstandarder som krav, t.ex. ISO/IEC 27001.

  1. Uppföljning av leverantörer

Det är vanligt att vi inte gör någon systematisk uppföljning på våra leverantörer, utan litar helt på att de levererar enligt avtalet. För att säkerställa att leveransen sker i enlighet med vad som är avtalat är det viktigt att följa upp leverantörens arbete. Alla leverantörer behöver inte omfattas av samma grad av uppföljning. En kritisk leverantör (konfidentiell information, höga krav på riktighet och tillgänglighet) bör följas upp grundligare än en icke kritisk leverantör. För kritiska leverantörer kan det vara en god idé att göra uppföljning på plats, medan för icke kritiska leverantörer kan det räcka med en självutvärdering.

Områden som bör följas upp är:

  • Efterlevnad av avtalade informationssäkerhetskrav
  • Uppdatering av det systematiska informationssäkerhetsarbetet
  • Anpassning efter eventuella lagändringar och andra yttre förändringar
  • Förekomst av incidenter och hantering utav dessa
  • Eventuella synpunkter som leverantören har på er informationssäkerhet

Uppföljning av leverantörens informationssäkerhet kan såklart göras i samband med övrig leverantörsuppföljning. Vid identifiering av brister hos leverantören bör leverantören åtgärda bristerna, vid stora brister kan det finnas skäl att byta leverantör.

  1. Avslut av leverantör

Något som kan vara lätt att missa är att även kontrollera och bevaka att avslut av leverantör sker enligt avtal. Ni behöver säkerställa att ni får tillbaka er information i det format ni önskar och att leverantören inte längre har tillgång till er information. Vissa leverantör ges möjlighet att ansluta externt till verksamheten, om denna behörighet ligger kvar efter avlutad affär kan det innebära ett stort säkerhetsproblem.

Förhoppningsvis har du nu insett att informationssäkerhet i leverantörshantering är viktigt och vi hoppas att vägledningen hjälper dig att komma igång med leverantörsstyrning avseende informationssäkerhet. Vi kan inte frångå att vi får mindre kontroll över vår information när vi kontrakterar ut en tjänst. Vi behöver förstå att detta medför risk och risken behöver hanteras. Genom att inventera leverantörer, klassa information, göra riskanalys, sätta krav, följa upp och bevaka avslut hanterar du risken.

Julia Karlsson
Latest posts by Julia Karlsson (see all)