Säker kravställning i IT-upphandlingar

Så bygger ni in dataskyddet från start

Att köpa in och implementera nya IT-system är ett av de mest kritiska momenten för dagens organisationer. Alltför ofta hanteras dock informationssäkerhet och dataskydd som en eftertanke – något man försöker lägga till när avtalet redan är signerat. För att lyckas och minimera riskerna krävs en säker kravställning där rätt aspekter integreras tidigt i upphandlingen. Här går vi igenom hur ni tar kontroll över hela livscykeln, från den första kravspecifikationen till systemets framtida avveckling.

Rätt krav i rätt tid

För att ett upphandlat system ska bli framgångsrikt måste kravställningens relevanta delar vara tydligt definierade redan innan ni går ut på marknaden. Det handlar om att veta exakt vad systemet ska hantera och vilka skyddsåtgärder som de facto krävs. Ett lyckat införande bygger på att säkerhet och dataskydd utgör en integrerad och naturlig del av själva upphandlingen, snarare än en fristående checklista.

Full insyn i hela leverantörskedjan

När ni upphandlar ett system köper ni ofta inte bara en teknisk lösning från en enskild aktör, utan ett helt ekosystem av tjänster. Dataskydd i upphandlade system innebär att ni måste ställa rätt krav på hela kedjan – från huvudleverantören och dennes underleverantörer, hela vägen till själva driftsättningen. Det är helt avgörande att i förväg fastställa vem som bär ansvaret för vad, och att alla underleverantörer bevisligen möter samma stränga säkerhetskrav som ni ställer på huvudleverantören.

Livscykelperspektivet: Från start till avveckling

En säker IT-upphandling stannar aldrig vid själva implementationen. Redan i kravställningsfasen måste det finnas en glasklar plan för systemets hela livscykel. Vad händer med er och era kunders data den dag systemet ska bytas ut? Att i avtalet fastställa säkra processer för framtida avveckling och dataradering är minst lika viktigt som en säker driftsättning.

Säker identifiering och kontinuerlig uppföljning

Ett annat centralt område som ofta underskattas i upphandlingar är säker identifiering och behörighetsstyrning. Att kravställa väl fungerande och säkra metoder för inloggning är en grundpelare i systemets arkitektur för att säkerställa att rätt person har rätt tillgång.

När systemet väl är på plats övergår sedan arbetet till den kanske viktigaste fasen: uppföljningen. Genom att löpande granska att leverantören faktiskt lever upp till de avtalade säkerhetskraven under avtalstiden, garanterar ni att systemet förblir tryggt och compliancet säkrat över tid.