Introduktion
IT Minds arbejder med eksterne leverandører og tjenesteudbydere for at levere trygge og professionelle løsninger. Denne politik sikrer, at vi håndterer tredjepartsrisiko systematisk og gennemskueligt.
Anvendelsesområde
Politikken gælder for alle leverandører, konsulenter og eksterne partnere, der leverer tjenester, hoster data, udvikler software eller får adgang til IT Minds’ systemer. Den omfatter både direkte leverandører og underleverandører.
Formål
Formålet er at sikre, at leverandører vurderes og overvåges efter sikkerheds-, databeskyttelses- og compliancekrav. Vi vil minimere risiko for datatab, serviceafbrydelser og andre tredjepartsrelaterede hændelser.
Leverandørvurdering
Alle leverandører gennemgår en dokumenteret vurdering, før samarbejde igangsættes. Vurderingen omfatter:
- virksomhedens sikkerhedspraksis og governance
- compliance med GDPR, ISO 27001 og relevante branchekrav
- incident response-evne og tidligere sikkerhedshistorik
- dataresidens og datasuverænitet
- databehandlingsaftaler og adgangsbegrænsning.
Kontrakt- og sikkerhedskrav
Samarbejde med leverandører kræver skriftlige aftaler, herunder databehandleraftaler når relevant. Aftaler skal fastlægge:
- ansvarsfordeling ved databrud
- adgangsbegrænsning og logging
- krav til sikkerhedsstandarder og revision
- håndtering af underleverandører
- varighed og offboarding.
Onboarding og overvågning
Onboarding af leverandører sker først, når risici er dokumenteret og godkendt. Kritiske leverandører overvåges løbende, herunder gennem sikkerhedsvurderinger, audit og statusmøder. Leverandørens performance og compliance evalueres regelmæssigt.
Adgang og datatilgang
Leverandøreadgang gives kun efter princippet om mindst privilege. Ekstern adgang skal være tidsbegrænset, dokumenteret og kontrolleret. Tilgange fjernes straks ved samarbejdets ophør eller ved skift i rollebehov.
Offboarding
Ved afslutning af leverandørsamarbejde sikres, at data returneres eller slettes i henhold til aftalen. Adgangsrettigheder og systemkonti deaktiveres straks. Der gennemføres en afsluttende sikkerhedsgennemgang og dokumentation af offboarding-processen.
Revision
Denne politik revideres mindst én gang årligt og ved større ændringer i samarbejdets omfang, leverandørportefølje eller relevante krav.