Riskerna från tredje part är i många små och medelstora företag större än de interna riskerna. När ni använder molntjänster, outsourcad IT-support, redovisningsbyrå, mjukvarupartners eller underleverantörer, är delar av era data, system och processer i praktiken under andras kontroll. Om leverantörens behörigheter ligger kvar för länge, om backupen inte fungerar eller om säkerhetskraven saknas i avtalet, kommer konsekvenserna till sist att påverka er verksamhet.
I den här artikeln går vi igenom hur risker från tredje part hanteras praktiskt med hjälp av ISO 27001-ramverket. Ni får en tydlig steg-för-steg-modell, exempel på bedömningskriterier, lämpliga mätetal och konkreta åtgärder för att bygga leverantörshantering utan tung byråkrati.
Vad betyder risker från tredje part i praktiken?
Tredje part avser en extern aktör som påverkar era data, system eller tjänstens kontinuitet. Det kan vara molntjänstleverantör, IT-partner, mjukvaruleverantör, konsult, logistikpartner eller bemanningsföretag.
Riskerna uppstår inte bara för att leverantören gör ett misstag, utan ofta för att företaget inte vet vad leverantören hanterar, under vilka villkor och med vilken skyddsnivå. Fråga er själva: vet ni just nu säkert vem som hanterar kunddata, var den lagras och vem som tar bort åtkomst när samarbetet upphör?
Typiska risker från tredje part är:
- leverantören har tillgång till konfidentiell information utan tydligt behov
- avtal saknar säkerhets- och kontinuitetskrav
- underleverantörskedjan är helt okänd
- leverantörens driftstopp stör den egna verksamheten
- personalens åtkomsträttigheter tas inte bort inom 24 timmar efter samarbetsavslut
- rapportering av säkerhetsincidenter försenas mer än avtalad tid, t.ex. över 12–24 timmar
ISO 27001 hjälper eftersom det ger struktur åt leverantörshanteringen. I stället för att bedöma leverantörer på känn, bygger ni ett styrningssystem där risker identifieras, krav definieras, ansvar utses och uppföljning sker regelbundet.
Observera
ISO 27001 betyder inte att varje leverantör ska granskas tungt. Tanken är att anpassa kraven efter risk: en kritisk molntjänst granskas mer än en leverantör av kontorsmaterial.
Varför fungerar ISO 27001 för leverantörsriskhantering?
ISO 27001 är en standard för informationssäkerhetens ledningssystem. Praktiskt hjälper den er att bygga en återupprepbar modell för hur informationssäkerheten styrs, mäts och förbättras. Från tredje parts perspektiv är den största fördelen att leverantörshanteringen inte är beroende av enstaka avtal eller personers minne.
När leverantörsrisker integreras i ledningssystemet får ni minst tre fördelar:
- snabbare beslut eftersom bedömningskriterier finns klara
- risker synliggörs för ledningen liksom andra affärsrisker
- vid revisioner och kundförfrågningar kan ni visa hur leverantörer hanteras i praktiken
Många små och medelstora företag upptäcker här att samma leverantör är involverad i flera kritiska processer. Till exempel kan en SaaS-tjänst innehålla kunddata, användarhantering och rapportering. Om tjänsten ligger nere i 4 timmar är påverkan både teknisk och kommersiell.
Nedan följer ett enkelt sätt att klassificera leverantörer efter risknivå.
| Risknivå | Exempel på leverantör | Data som hanteras | Nödvändig bedömning | Granskningstakt |
|---|---|---|---|---|
| Låg | Leverantör av kontorsmaterial | Ingen konfidentiell data | Grundläggande info och avtalgranskning | 24 mån |
| Medel | Redovisningsbyrå eller HR-partner | Personuppgifter, ekonomidata | Frågeformulär, avtalskrav, ansvarig person | 12 mån |
| Hög | Molntjänst, IT-outsourcing, datacenter | Kunddata, behörigheter, produktionssystem | Riskanalys, säkerhetsdokumentation, kontinuitetskrav | 6–12 mån |
| Kritisk | Leverantör av kärnsystem | Affärskritisk och konfidentiell data | Omfattande bedömning, ledningsgodkännande, avvikelseuppföljning | 3–6 mån |
Vad ska ni kräva av era leverantörer?
Ett av de vanligaste misstagen är att anta att en känd leverantör automatiskt är säker. Ett känt varumärke ersätter aldrig er egen bedömning. Ni måste definiera vilka minimikrav leverantören ska uppfylla före samarbetets start och under dess gång.
En bra grund är att bygga leverantörskrav i fyra områden:
- informationssäkerhet: behörigheter, loggning, kryptering, sårbarhetshantering
- kontinuitet: säkerhetskopior, återställningstider, störningskommunikation, servicenivåer
- avtal: databehandling, ansvar, revisionsrätt, underleverantörer
- uppföljning: granskningar, rapportering av avvikelser, mätetal, korrigerande åtgärder
I praktiken kan ni begära följande från leverantören:
- beskrivning av var data lagras
- information om eventuella underleverantörer
- process för rapportering av säkerhetsincidenter, t.ex. anmälan inom 12 timmar efter upptäckt
- beskrivning av hur behörigheter tas bort, t.ex. inom 24 timmar efter anställningens eller uppdragets slut
- information om backup och återställningstester, t.ex. test minst en gång per år
- eventuell certifiering såsom ISO 27001 eller annan dokumentation av säkerhetshantering
Varning
Ett vanligt misstag är att kopiera samma kravlista till alla leverantörer. Det leder till onödigt arbete och att kritiska leverantörer inte sticker ut. En riskbaserad modell fungerar bättre.
Hur bör ansvar fördelas i organisationen?
Leverantörsriskhantering misslyckas ofta för att alla antar att någon annan ansvarar. Inköp tittar på pris, IT på teknik, verksamheten på användbarhet och ledningen förutsätter att helheten är under kontroll. Ur ISO 27001:s synvinkel måste ansvar tydligt utses.
I en liten organisation räcker en enkel modell så länge varje leverantör har en ägare. Ägaren gör inte allt själv men ansvarar för att bedömning, godkännande och uppföljning sker.
| Uppgift | Ansvarig | Praktisk uppgift | Måltid |
|---|---|---|---|
| Klassificera leverantör | Tjänsteägare | Bestämmer risknivå och kritikalitet | 2 arbetsdagar efter inköpsförfrågan |
| Informationssäkerhetsbedömning | IT / säkerhetsansvarig | Kontrollerar kontroller och dokumentation | 5 arbetsdagar |
| Avtalsgranskning | Ledning / inköp / juristpartner | Säkerställer säkerhets- och kontinuitetskrav | Före signering |
| Godkännande | Utnämnd beslutsfattare | Godkänner leverantörer med hög risk | Före idrifttagning |
| Uppföljning | Leverantörsägare | Granskar avvikelser och förändringar | Var 6–12:e månad |
Har ni Tietoturvapankki blir det lättare att hålla ansvar och granskningar samlade på ett ställe. Det är särskilt värdefullt när samma leverantör omfattas av både tekniska och avtalsmässiga krav.
Praktisk steg-för-steg-modell med ISO 27001
Teori räcker inte, här är en konkret modell. Om ni börjar nu kan den första fungerande versionen ofta byggas på 2–6 veckor beroende på antalet leverantörer och nuläget.
Lista alla leverantörer som påverkar data eller tjänster
Samla minst 10–20 viktigaste leverantörerna eller alla med åtkomst till data, system eller affärskritiska processer. Lägg till tjänstens namn, ägare, hanterad data, eventuell produktionsmiljötillgång och avtalets giltighet.
Klassificera leverantörer efter risknivå
Bedöm varje leverantör utifrån minst fyra kriterier: datakonfidentialitet, tjänstens kritikalitet, mängden personuppgifter och beroende av underleverantörer. Använd en enkel skala 1–3 per kriterium och ta fram leverantörer med totalsumma t.ex. 8–12 för närmare hantering.
Definiera minimikrav och kontrollera avtal
Sätt kravlistan efter risknivå. För hög risk krävs exempelvis anmälan av säkerhetsincidenter inom 12–24 timmar, borttag av åtkomsträttigheter inom 24 timmar, årligt återställningstest och insyn i underleverantörer före avtal.
Utför godkännandeprocess före idrifttagning
Implementera inte nya leverantörer innan riskklassificering, säkerhetsbedömning och avtal är godkända. I praktiken kan det vara ett godkännandeförfarande där tjänsteägare, IT och beslutsfattare bekräftar beslutet före produktionsstart.
Följ upp leverantörerna regelbundet och reagera på förändringar
Bestäm granskningsfrekvens efter risknivå och följ minst upp avvikelser, betydande förändringar, revisionsfynd och avtalsslut. Kritiska leverantörer bör granskas var 3–6 månad och övriga minst var 12:e månad.
Tips
Om ni har många leverantörer, börja med de 3–5 leverantörer vars störning skulle stoppa försäljning, kundservice eller produktion. Då får ni snabbt märkbara förbättringar utan att projektet blir för stort.
Exempel på enkel poängsättningsmodell
För små företag räcker ofta en enkel poängsättning om den används konsekvent. Syftet är inte att skapa ett perfekt matematiskt system, utan att skilja riktigt kritiska leverantörer från övriga.
| Kriterium | 1 poäng | 2 poäng | 3 poäng |
|---|---|---|---|
| Datakonfidentialitet | Offentlig eller låg | Intern | Konfidentiell / personuppgift |
| Tjänstens kritikalitet | Lätt att ersätta | Påverkar arbetet | Stoppar verksamheten |
| Behörigheter | Ingen systemåtkomst | Begränsad åtkomst | Underhålls- eller adminåtkomst |
| Underleverantörskedja | Inga underleverantörer | Begränsad användning | Flera underleverantörer |
En möjlig tolkning kan vara:
- 4–5 poäng: lätt bedömning
- 6–8 poäng: normal bedömning och avtalskontroll
- 9–12 poäng: omfattande bedömning, ledningsgodkännande och tät uppföljning
Det viktigaste är att poängsättningen leder till åtgärder. Om en leverantör med hög risk får höga poäng men inga extra krav ställs blir bedömningen bara en pappersövning.
Vanliga misstag att undvika
Många organisationer arbetar med leverantörshantering idag men spretigt. Då är problemet inte frånvaro utan att helheten inte styrs enhetligt.
Undvik särskilt följande:
- leverantörslistan uppdateras inte, så kritiska partners saknas helt
- bedömning görs endast vid inköp, men inte under avtalsperioden
- säkerhetskrav syns inte i avtal eller servicenivåbeskrivningar
- hög-risk-leverantörer har ingen utsedd ägare
- avvikelser följs inte upp och inga deadline sätts för korrigerande åtgärder, t.ex. 30 dagar
En bra praktisk kontrollista för månadsuppföljning är kort:
- finns nya leverantörer som tagits i bruk utan bedömning?
- finns avtal som löper ut inom 90 dagar?
- har leverantören rapporterat avvikelser eller störningar?
- tas behörigheter bort i tid?
- har avtalade granskningar hållits för kritiska leverantörer?
Hur kopplas detta till det bredare ledningssystemet?
Riskhanteringen för tredje part är inte en isolerad process. Den är direkt kopplad till riskhantering, behörighetsstyrning, kontinuitetsplanering, hantering av avvikelser och ledningsgranskningar. Därför fungerar ISO 27001 bra: det integrerar dessa till en sammanhållen styrning.
Om ni har erfarenhet av exempelvis ISO 9001-ledningssystem är tankesättet bekant. Definiera process, ansvar, mätetal och förbättringsrytm. Samma logik gäller för informationssäkerhet. Softapankki Oy och QMClouds Oy har utvecklat lösningar som stöd för ledningssystem, där även Kvalitetsbanken — Koncernens varumärke för kvalitetsstyrning — ger en välkänd struktur för utveckling.
Tietoturvapankki underlättar särskilt genom att dokumentation, risker, ansvar och granskningar av leverantörer samlas på ett ställe i stället för i separata Excel-filer. När helheten finns på ett ställe blir revisionsberedskap enklare och vardagsarbetet mindre tungt.
Sammanfattning
- Risker från tredje part bör hanteras riskbaserat, inte med samma modell för alla leverantörer.
- Börja med att lista leverantörer och klassificera dem t.ex. på en skala 1–3 efter fyra viktiga kriterier.
- För hög-risk-leverantörer fastställ tydliga krav som rapportering av avvikelser inom 12–24 timmar och borttag av behörigheter inom 24 timmar.
- Utse en ägare för varje kritisk leverantör och följ upp regelbundet, t.ex. var 3–12:e månad beroende på risknivå.
- ISO 27001 ger struktur åt leverantörshanteringen, så att risker, avtal, ansvar och uppföljning hålls under kontroll.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.