Leverantörsrelationer

Dokumenterade rutiner avseende hur övervakning och styrning av outsourcad systemutveckling ska finnas enligt Riktlinjer för informationssäkerhet vid Stockholms universitet (Dnr SU FV-2.11.2-1923-16) i Regelbok 3

Ansvar:

Prefekt ansvarar för att rutin uppfylles

Datasystemansvarig ansvarar för att rutiner hålls uppdaterade enligt Stockholms universitets riktlinjer.

Rutin för leverantörsrelationer

Införande av ny leverantör

Prefekt, administrativ chef och datasystemansvarig ska meddelas i god tid innan upphandling av avtal om ny leverantör inleds.
Institutionen bör identifiera vilken information som en leverantör får tillgång till vid ingått avtal.
Institutionen bör styra vilken typ av åtkomst och information leverantör kan bli godkänd att ha tillgång till.
IT-avdelningen i samarbete med prefekt, datasystemansvarige och informationens ägare bör identifiera vilka skyldigheter som gäller för leverantörer i syfte att skydda institutionens information.
En överenskommelse om de skyldigheter som gäller för leverantör för att skydda institutionens information ska finnas.
En rutin hos leverantör måste finnas för att säkra återhämtning av institutionens data vid incident.

Säkerhet inom leverantörsavtal

Informationssäkerhetskrav bör upprättas och avtalas med varje leverantör som behandlar, lagrar, kommunicerar institutionens information.

Detta bör ingå i avtalen:

Rättsliga krav, inklusive skydd av personuppgifter, immateriell äganderätt och upphovsrätt. Detta bör genomföras i samarbete med juristfunktionen vid Stockholms universitet.
Institutionens och leverantörens avtalsenliga skyldighet att införa säkerhetsuppgärder så som åtkomstkontroll, övervakning och rapportering.
Bägge parters regler för tillåten användning av information och otillåten användning av information.
Krav och rutiner för incidenthantering.
En kontaktperson för informationssäkerhetsfrågor från bägge parter. För institutionens räkning bör det vara datasäkerhetsansvarige.

Kommunikation mellan leverantör och institution

Ifall incident inträffar hos leverantör ska rutin finnas för att hantera detta och detta måste kommuniceras till kontaktperson för tjänsten vid institutionen omgående.
Vid planerat underhåll eller tillfällig driftstörning måste kontaktperson vid institutionen meddelas omgående.

Hantering av leverantörers tjänsteleverans

Institutionen ska upprätthålla att överenskommen informationssäkerhet och tjänsteleverans lever upp till avtalet.
Leverantör bör tillhandahålla rapporter med relevant information för att institutionen ska kunna säkerställa att avtalen följs. Detta bör ske med en frekvens som är inskrivet i avtal
Information om säkerhetsincident behöver tillhandahållas institutionen och ifall relevant behöver denna vidarebefordras till säkerhetsfunktionen vid universitetet.
Institutionen ska kunna få tillgång till loggar över informationssäkerhetshändelser, driftsproblem, misslyckanden, spårning av fel och störningar relaterade till tjänsteleveransen.

Ändring i leverantörens tjänster

Ifall leverantören genomför större ändringar i sina tjänster bör institutionen få utvärdera detta innan ändring sker. Detta är speciellt relevant om kritiska processer får påverkan eller om säkerhetspolicy ändras.

Senast uppdaterad: 26 februari 2018
Webbredaktör: Tomas Persson
Sidansvarig: Datasystemansvarig

Tipsa

Kontakt

Marcus Rostamkhani
IT-koordinator
e-post: marcus.rostamkhani@mnd.su.se
ankn: 6276

Rutinerna är baserade på:

Informationsäkerhet