Tredjeparts- och leverantörssäkerhetspolicy – SME

P26S – Tredjeparts- och leverantörssäkerhetspolicy är särskilt anpassad för SME:er och speglar en styrningsstruktur där dedikerade IT-roller som informationssäkerhetschef (CISO) eller säkerhetsoperationscenter (SOC) vanligtvis saknas. I stället centraliseras ansvaret under verkställande direktör (GM), vilket förenklar ansvarsskyldighet samtidigt som stark regelefterlevnad enligt ISO/IEC 27001:2022 och andra centrala regulatoriska ramverk upprätthålls. Denna utformning säkerställer robust säkerhetstillsyn även för mindre organisationer utan specialiserad personal. Policyns huvudsakliga syfte är att formalisera och genomdriva väsentliga säkerhetsåtgärder vid engagemang, hantering eller avslut av relationer med tredje part och leverantörer som interagerar med eller påverkar organisationens data, system eller tjänster. Leverantörer som omfattas sträcker sig från IT- och molntjänsteleverantörer till utvecklare samt HR- eller ekonomirådgivare. Genom att tydliggöra säkerhetsförväntningar, dokumentera leverantörsrisker innan åtkomst beviljas och kräva verkställbara avtalsmässiga skyddsåtgärder minimerar policyn riskerna för dataläckor, otillåtna eller oplanerade ändringar, regulatoriska överträdelser och verksamhetsstörningar. Policyn definierar uttryckligen sin ISMS-omfattning till att omfatta både alla tredje parter med potentiell åtkomst till organisationens tillgångar och intern personal som deltar i leverantörsurval, tillsyn, introduktion, avtalstecknande eller granskning. Centraliserade roller inkluderar verkställande direktör, IT-leverantör eller intern säkerhetskontakt samt upphandlings- eller administrativa kontakter, vilket säkerställer tydligt ansvar genom hela leverantörens livscykel. Leverantören ska skriftligen godkänna att följa säkerhetsskyldigheter och rapportera incidenter. Centrala styrningskrav omfattar leverantörsriskgranskningar före engagemang, obligatoriska säkerhetsklausuler i alla avtal, upprätthållande av ett detaljerat leverantörsregister samt förfaranden för att övervaka förändringar i ägande, tjänsteomfattning eller underleverantörer. Implementeringssteg kräver att ingen leverantör någonsin beviljas åtkomst före leverantörsgranskning och utan uttryckligt godkännande, att endast minsta system-/dataåtkomst ges och att all dataöverföring är korrekt krypterad. Löpande krav inkluderar periodisk revision och granskning, minst årligen för högriskleverantörer, samt strikta förfaranden för att avsluta avtal och genomföra behörighetsindragning. Policyn integrerar en strukturerad process för riskbehandling och undantag, vilket säkerställer att eventuella brister hanteras med kompenserande kontroller och att inget undantag kan bryta mot rättsliga eller regulatoriska skyldigheter (t.ex. krav enligt GDPR eller DORA). Tillsyn och efterlevnad beskrivs tydligt, med angivna sanktioner upp till och inklusive avtalsuppsägning och rättsliga åtgärder. Revisionsberedskap är inbyggd och kräver dokumentation som är tillräcklig för att klara revisioner enligt ISO 27001, GDPR och relaterade standarder. Slutligen säkerställer den årliga översynscykeln och kopplingen till närliggande informationssäkerhetspolicyer att policyn förblir aktuell, effektiv och integrerad i det bredare säkerhetsramverket.