Politik for leverandørforhold (A.15)

Informationssikkerhedskravene til at minimere risiciene forbundet med leverandørers adgang til organisationens aktiver skal aftales med leverandøren og dokumenteres. (A.15.1.1) 

Alle adgangsberettigede kontrahenter med adgang til Aarhus Universitets systemer, informationer og bygninger skal gøres bevidste om de relevante dele af Aarhus Universitets Informationssikkerhedspolitik og underliggende politikker forud for etablering af den fornødne adgang. 

Leverandører må ikke have unødig fysisk adgang til universitets sikre områder og passende adgangskontroller skal altid anvendes. 

Hvor den tilhørende risikovurdering giver anledning til skærpede forholdsregler mod utilsigtet adgang og offentliggørelse skal fortrolighedserklæringer fra relevante kontrahenter indgå i aftalegrundlaget. 

Alle relevante informationssikkerhedskrav skal fastlægges og aftales med hver enkelt leverandør, som kan få adgang til, behandle, lagre, kommunikere eller levere IT-infrastrukturkomponenter til organisationens information. (A.15.1.2) 

Sikkerhedsniveauet hos alle leverandører herunder outsourcingpartnere skal være acceptabelt jævnfør risikovurdering. 

Informationssikkerheden på Aarhus Universitet må samlet set ikke forringes ved outsourcing af en opgaveløsning. I dette henseende har den ansvarlige enhed ansvar for at gennemgå outsourcing partners sikkerhedspolitik og generelle sikkerhedsniveau inden indgåelse af kontrakt. Aftalegrundlaget for outsourcing skal indeholde de for tilhørende risikovurdering passende forordninger vedrørende sanktioner ved misligholdelse samt give den fornødne understøttelse af exit-strategien for leverandørforholdet. 

Når informationsaktiver med karakter af personoplysninger berøres af outsourcing, skal opmærksomheden på krav i Persondataloven og retningslinjer udstukket af Datatilsynet skærpes. 

Aftaler med leverandører skal indeholde krav til håndtering af informationssikkerhedsrisici forbundet med forsyningskæden for IKT-tjenester og -produkter. (A.15.1.3) 

Aftalegrundlag med leverandører herunder outsourcingpartnere skal indeholde krav om opdateret dokumentation af leverancens forsyningskæde. Endvidere skal leverandør pålægges ansvar for overholdelse af de relevante sikkerhedskrav hos alle sine kontrahenter i den involverede forsyningskæde. 

Ved etablering af aftaler om outsourcing og hvor risikovurderingen i øvrigt tilsiger det, skal leverandør afkræves revisionserklæring eller certificering efter ISO 27001 eller anden standard, der kan godtgøres som tilsvarende. 

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad. A.15.1.1 Informationssikkerhedspolitik for leverandørforhold: såfremt risikovurdering giver anledning til skærpede forholdsregler mod utilsigtet adgang og offentliggørelse skal fortrolighedserklæringer fra relevante kontrahenter indgå i aftalegrundlaget ad. A.15.1.2 Håndtering af sikkerhed i leverandøraftaler: i forhold til informationsaktiver med karakter af personoplysninger, jævnfør Persondataloven og retningslinjer udstukket af Datatilsynet, henvises til informationer under Databeskyttelsesenheden etableret på Aarhus Universitet Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.  Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt. Lokalt: råd og vejledning kan søges via leverandørstyring spiller en vigtig rolle i håndtering af informationssikkerhed (sikkerdigital)

Organisationer skal regelmæssigt overvåge, gennemgå og auditere leverandørydelser. (A.15.2.1) 

Den aftaleansvarlige enhed skal etablere leverandørstyring, der indbefatter processer for regelmæssig kontrol med leverandør eller outsourcingpartner. Aftalegrundlaget med disse skal befordre adgang til et niveau af monitoreringen af serviceydelser. Hvor gældende risikovurdering fordrer det, skal kontrol udføres gennem direkte måling og inspektion af leverandørs ydelser og sikkerhedsniveau. I øvrige tilfælde udøves indirekte kontrol afstemt med risikovurderingen på baggrund af aftalt rapportering og dokumenterede revisions- og samarbejdsprocesser om eksempelvis drift- og kontraktforhold. 

Ændringer til leverandørydelser, herunder vedligeholdelse og forbedring af eksisterende informationssikkerhedspolitikker, -procedurer og – kontroller skal styres under hensyntagen til, hvor kritiske de involverede forretningsinformationer, -systemer og -processer er, og til en revurdering af risici. (A.15.2.2) 

Revision af gældende risikostyring kræves ved ændring af betydelige leverandørforhold som eksempelvis udskiftning af hoved- eller underleverandør. Hertil særligt ved udvidelser af serviceydelser, ibrugtagelse af nye teknologier, produkter eller versioner samt ændring af ydelsens fysiske lokationer og faciliteter.  

Fra centralt hold er der tilrettelagt og etableret en række tiltag for at dække ovenstående krav: ad A.15.2.1 Overvågning og gennemgang af leverandørydelser: på AU sikres leverandørstyring gennem systemforvaltning  ad. A.15.2.2 Styring af ændringer af leverandørydelser: ved SaaS løsninger henvises til (LINK til DBE om Cloud)  Det betyder, hvis I kan holde jeres kritiske, fortrolige eller følsomme informationer indenfor disse centrale udbudte løsninger, er dette sikret af Aarhus Universitet.   Såfremt I har andre behov baseret på jeres risikovurdering, skal dette sikres lokalt.