I många små och medelstora företag utvecklas säkerheten först utifrån egna system, användare och processer. Ändå uppstår en stor del av riskerna utanför organisationen: i molntjänster, IT-partners, mjukvaruleverantörer, redovisningsfirmor och andra underleverantörer som hanterar data eller påverkar tjänstens kontinuitet. Om en länk brister syns effekten snabbt även i den egna verksamheten.
I denna artikel går vi igenom vad säkerhet i leveranskedjan innebär ur ISO 27001:s perspektiv, vad ni praktiskt bör kräva av leverantörer och hur ni bygger en kontrollerad steg-för-steg-modell utan tung byråkrati. Ni får också ett konkret sätt att prioritera leverantörer, definiera ansvar och följa upp att de överenskomna rutinerna fungerar i vardagen.
Varför är leveranskedjan så central i ISO 27001?
ISO 27001 är en standard som hjälper organisationer att bygga ett ledningssystem för informationssäkerhet, alltså en systematisk metod för att identifiera risker, fastställa spelregler och följa upp att säkerheten fungerar i praktiken. Ur leveranskedjans perspektiv är tanken enkel: om en extern aktör får åtkomst till er information, era system eller kritiska tjänster är dess risker även era risker.
I små och medelstora företag syns detta ofta mycket konkret. CRM kan vara en SaaS-tjänst, backuper outsourcade till en partner, lönehantering skötas av en redovisningsbyrå och utveckling av kundprojekt läggas på en underleverantör. Frågan är: vet ni vem som hanterar vilken information, under vilka villkor och hur snabbt avvikelser åtgärdas?
Säkerheten i leveranskedjan bör granskas utifrån minst dessa fyra frågor:
- Vilken information hanterar leverantören: exempelvis personuppgifter, kundavtal eller material för produktutveckling
- Vilken åtkomst har leverantören: filer, produktionsmiljö, integrationer eller administrativa konton
- Hur kritisk är leverantören för verksamheten: stannar tjänsten om leverantören inte agerar inom 24 timmar
- På vilket sätt övervakas leverantörens verksamhet: avtal, revisioner, rapporter eller regelbundna granskningar
Observera
ISO 27001 betyder inte att varje leverantör måste auditeras med samma noggrannhet. Kärnan i standarden är riskbasering: fokusera först på de partners som har störst påverkan på informationssäkerheten eller verksamhetens kontinuitet.
Vad omfattar säkerhet i leveranskedjan i praktiken?
Informationssäkerhet i leveranskedjan är inte bara ett tillägg till inköpsavtalet. Det omfattar hela leverantörens livscykel: urval, införande, löpande uppföljning och avslut av samarbetet. Om någon av dessa faser lämnas utan hantering blir risken lätt bestående.
I praktiken bör ni dela upp leverantörshanteringen i fem områden:
- Leverantörsklassificering: vilka är kritiska, vilka är vanliga
- Förhandskontroll: vad säkerställs före avtalet
- Avtalskrav: vad dokumenteras skriftligt
- Löpande uppföljning: vad mäts och hur ofta
- Avslut: hur hanteras åtkomster, data och ansvar vid samarbetsavslut
Ett bra exempel är en IT-partner med administratörskonton till företagets Microsoft 365-miljö. Det räcker inte att partnern är "pålitlig". Ni behöver minst dokumenterade rättighetspolicys, loggning av ändringar, avvikelseanmälningstid och rutiner för att ta bort konton när samarbetet upphör.
Nedan tabell hjälper att illustrera hur leverantörer kan klassificeras i praktiken.
| Leverantörsklass | Exempel | Hanterad information / åtkomst | Rekommenderad granskningsnivå | Granskningsintervall |
|---|---|---|---|---|
| Kritisk | IT-outsourcing, molninfrastrukturleverantör | Tillgång till produktion eller känslig information | Omfattande granskning, avtalskrav, årlig översyn | 12 mån |
| Betydande | CRM-, HR- eller ekonomiadministration SaaS | Personuppgifter eller affärsdata | Grundläggande bedömning, säkerhetstillägg, dokumentkontroll | 12–24 mån |
| Vanlig | Marknadsföringsverktyg, utbildningstjänst | Begränsat data, ingen kritisk åtkomst | Enkel bedömning och standardavtalsvillkor | 24 mån |
| Låg risk | Kontorsmaterialleverantör | Ingen databehandling | Ingen särskild säkerhetsbedömning | Vid behov |
Vad bör ni kräva av era leverantörer?
Många företag frågar bara en sak: "Har ni ISO 27001-certifikat?" Det är värdefull information, men alldeles för snävt. Certifikatet visar att leverantören har en ledningsmodell men säger inte automatiskt hur just er tjänst, era data och er användning skyddas.
Ett bättre sätt är att begära ett avgränsat men jämförbart informationspaket från leverantören. Målet är inte att samla en massa dokument, utan få svar som är relevanta för ert beslut.
Begär åtminstone följande från kritiska eller betydande leverantörer:
- Beskrivning av vilken information som hanteras och var den lagras
- Uppgifter om underleverantörer som deltar i tjänsteleveransen
- Beskrivning av rättighetshantering och hur konton tas bort t.ex. inom 24 timmar efter anställningens slut
- Procedur för anmälan av säkerhetsincidenter, t.ex. anmälan till kunden utan onödigt dröjsmål och senast inom 72 timmar efter upptäckt
- Information om backuper, återställningstester och kontinuitetsplanering
- Bevis på övervakning, såsom revisionsrapport, certifikat eller ifylld säkerhetsenkät
Om leverantören hanterar personuppgifter, kontrollera även:
- Är personuppgiftsbiträdesavtalet uppdaterat
- I vilka länder behandlas uppgifterna
- Används personuppgiftsbiträden utanför EU/EES
- Hur tillgodoses registrerades rättigheter och raderingsförfrågningar
Varning
En vanlig miss är att godta leverantörens standardvillkor utan säkerhetstillägg. Då blir ofta anmälningstider, revisionsrättigheter och ansvar oklara precis när de behövs som mest.
Hur mäter ni att säkerheten i leveranskedjan fungerar?
Leverantörskedjehantering misslyckas ofta därför att den endast hanteras vid inköpstillfället. Ur ISO 27001:s perspektiv är en löpande uppföljning avgörande: är leverantörsregistret uppdaterat, är kritiska leverantörer bedömda och agerar ni enligt överenskommelse vid avvikelser?
Den goda nyheten är att små och medelstora företag initialt klarar sig med några tydliga mätetal. Ni behöver inte tiotals KPI:er om tre eller fyra säger det ni behöver veta.
Följ till exempel dessa indikatorer månads- eller kvartalsvis:
| Mätetal | Målnivå | Varför är detta värdefullt |
|---|---|---|
| Andel kritiska leverantörer bedömda | 100 % | Ser direkt om de största riskerna är hanterade |
| Andel leverantörer med giltigt säkerhetstillägg | 90–100 % för kritiska och betydande | Håller avtalsstyrningen på plats |
| Tid för borttagning av åtkomster vid avslut | 24 h | Minskar onödiga åtkomster |
| Anmälningstid för avvikelser från leverantör | Enligt SLA, t.ex. 24–72 h | Visar om responsmodellen fungerar |
| Kritiska leverantörer granskade per år | 100 % | Säkerställer löpande uppföljning |
Ett konkret tips är att ha ett enda samlat leverantörsregister. Där registreras minst ägare, riskklass, hanterad information, avtalstatus, senaste bedömning och nästa översynsdatum. När all info finns samlat står ni inte och faller med en enda persons minne.
Så här går ni vidare praktiskt enligt ISO 27001
Lista leverantörer med säkerhetspåverkan
Samla under 1–2 veckor en lista på alla leverantörer som har åtkomst till er information, era system eller kritiska tjänster. Inkludera minst IT-partners, SaaS-tjänster, ekonomiadministration, HR-system och underleverantörer som hanterar kunddata.
Klassificera leverantörer baserat på risk
Bedöm tre saker för varje leverantör: sekretessnivån på hanterad information, omfattningen av åtkomst och verksamhetens påverkan vid störning. Använd en enkel skala 1–3 och välj ut de med sammanlagt 7–9 för noggrannare hantering.
Fastställ minimikrav i avtal
Ta fram ett standardiserat säkerhetstillägg för kritiska och betydande leverantörer. Inkludera minst anmälningstider vid avvikelser, hantering av åtkomsträttigheter, underleverantörer, återlämnande eller radering av data vid avtalets slut samt rätt att begära bevis på efterlevnad.
Inför en årsplan för uppföljning
Kom överens om vem som granskar kritiska leverantörer och när. En fungerande modell är att granska kritiska leverantörer var 12 månad och betydande var 12–24 månad samt alltid efter väsentliga förändringar.
Träna på hantering av leverantörsavvikelser
Välj en realistisk scenario, till exempel driftstörning i molntjänst eller missbruk av partnerkonto, och gå igenom rutinen som ett 30–60 minuters bordsövning. Så märker ni snabbt om kontaktuppgifter, ansvar eller beslutsvägar saknas.
Tips
Börja med 3–5 nyckelleverantörer med hög risk. När modellen fungerar med dem är det mycket lättare att sedan bredda till övriga leverantörer än att försöka bedöma hela leverantörsbasen på en gång.
Vanligaste misstagen i små och medelstora företag
De flesta problem beror inte på att inget görs, utan att ansvaret är splittrat. Inköp kontrollerar avtalet, IT bedömer tekniska risker och verksamheten använder tjänsten, men ingen har det övergripande ansvaret.
Känner ni igen något av detta i er organisation?
- Det finns inget samlat, uppdaterat leverantörsregister
- Kritiska leverantörer är inte separerade från låg risk-leverantörer
- Avtal saknar överenskomna anmälningstider för avvikelser
- Kontoavstängning vid slut av samarbete är beroende av manuella påminnelser
- Underleverantörskedjan är osynlig
- Leverantörsbedömning görs bara en gång utan löpande uppföljning
En rättelse är ofta förvånansvärt liten. Utse en ägare, ta i bruk ett gemensamt register och boka en kvartalsvis 30-minuters översyn där ni går igenom nya leverantörer, öppna risker och kommande kontroller.
Säkerhet i leveranskedjan som en del av ledningssystemet
När säkerheten i leveranskedjan blir en del av ledningssystemet är det inte bara en löst kopplad checklista. Den kopplas till riskbedömning, avvikelsehantering, ledningens genomgång och kontinuerlig förbättring. Det är just detta som gör ISO 27001 värdefull även för små och medelstora företag: det ger en struktur som håller leverantörsrisker under kontroll utan att allt vilar på enskilda personers erfarenhet.
Om er organisation också använder ISO 9001 gagnas ni ytterligare av att integrera leverantörshanteringen. Inom kvalitetsstyrning bedöms leverantörer ofta utifrån leveranssäkerhet och kvalitet, medan ISO 27001 tillför IT-säkerhet, kontinuitet och krav på datahantering. Tillsammans ger de en mer realistisk bild av leverantörens totala risk.
Tietoturvapankki, en produkt från Softapankki Oy, hjälper er att bygga denna helhet i praktiken. Om ni även använder Kvalitetsbanken, utvecklad av QMClouds Oy, kan leverantörshanteringsprocesserna förenas för kvalitet och säkerhet utan dubbelarbete.
Sammanfattning
- Säkerhet i leveranskedjan är en del av ISO 27001:s riskhantering, inte en fristående bilaga till inköpsavtal.
- Alla leverantörer behöver inte bedömas lika: prioritera först 3–5 mest kritiska partners.
- Minimikraven bör omfatta rättigheter, anmälningstider vid avvikelser, underleverantörer och rutiner vid avtalsslut.
- Följ några tydliga nyckeltal, t.ex. andel bedömda kritiska leverantörer och kontoborttagning inom 24 timmar.
- När leverantörshantering ingår i ledningssystemet hålls säkerheten under kontroll även vid förändringar.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.