Vendor & Third-Party Risk Management Policy

Fastlægger kravene til vurdering, onboarding, overvågning og offboarding af leverandører og tredjepartsserviceudbydere.

Share

Introduktion

IT Minds arbejder med eksterne leverandører og tjenesteudbydere for at levere trygge og professionelle løsninger.
Denne politik sikrer, at vi håndterer tredjepartsrisiko systematisk og gennemskueligt.

Anvendelsesområde

Politikken gælder for alle leverandører, konsulenter og eksterne partnere, der leverer tjenester, hoster data, udvikler software eller får adgang til IT Minds' systemer.
Den omfatter både direkte leverandører og underleverandører.

Formål

Formålet er at sikre, at leverandører vurderes og overvåges efter sikkerheds-, databeskyttelses- og compliancekrav.
Vi vil minimere risiko for datatab, serviceafbrydelser og andre tredjepartsrelaterede hændelser.

Leverandørvurdering

Alle leverandører gennemgår en dokumenteret vurdering, før samarbejde igangsættes.
Vurderingen omfatter:

  • virksomhedens sikkerhedspraksis og governance
  • compliance med GDPR, ISO 27001 og relevante branchekrav
  • incident response-evne og tidligere sikkerhedshistorik
  • dataresidens og datasuverænitet
  • databehandlingsaftaler og adgangsbegrænsning.

Kontrakt- og sikkerhedskrav

Samarbejde med leverandører kræver skriftlige aftaler, herunder databehandleraftaler når relevant.
Aftaler skal fastlægge:

  • ansvarsfordeling ved databrud
  • adgangsbegrænsning og logging
  • krav til sikkerhedsstandarder og revision
  • håndtering af underleverandører
  • varighed og offboarding.

Onboarding og overvågning

Onboarding af leverandører sker først, når risici er dokumenteret og godkendt.
Kritiske leverandører overvåges løbende, herunder gennem sikkerhedsvurderinger, audit og statusmøder.
Leverandørens performance og compliance evalueres regelmæssigt.

Adgang og datatilgang

Leverandøreadgang gives kun efter princippet om mindst privilege.
Ekstern adgang skal være tidsbegrænset, dokumenteret og kontrolleret.
Tilgange fjernes straks ved samarbejdets ophør eller ved skift i rollebehov.

Offboarding

Ved afslutning af leverandørsamarbejde sikres, at data returneres eller slettes i henhold til aftalen.
Adgangsrettigheder og systemkonti deaktiveres straks.
Der gennemføres en afsluttende sikkerhedsgennemgang og dokumentation af offboarding-processen.

Revision

Denne politik revideres mindst én gang årligt og ved større ændringer i samarbejdets omfang, leverandørportefølje eller relevante krav.