Sist oppdatert: 4. juni 2026
1. Omfang
2. Viktige lover og forskrifter
Informasjonssikkerhet angående Leverandørens tjeneste er regulert av en rekke lover og regler. Dette er noen av de viktigste:
Personopplysningsloven / GDPR
Sikkerhetsloven
Forskrift om sikkerhetsloven
3. Sikkerhetsmål
Leverandørens informasjonsbehandling vil være i samsvar med regulatoriske, interne og kontraktsrettslige krav for informasjonssikkerhet. Personlig og annen beskyttet informasjon vil bli sikret gjennom fysiske, tekniske og organisatoriske tiltak.
3.1 Konfidensialitet
Personlig informasjon og annen sensitiv informasjon behandlet av Leverandøren vil bli beskyttet mot uautorisert tilgang. Personopplysninger holdes konfidensielle og kan bare deles med Leverandørens andre ansatte i den grad det er nødvendig i forhold til tjenesten som tilbys.
Alle Leverandørens medarbeidere har signert en konfidensialitetsavtale og vil overholde denne konfidensialitetsavtalen i samsvar med relevante handlinger, ansettelsesavtale og lignende.
Når et ansettelsesforhold opphører, skal all maskinvare som leveres av Leverandøren til den ansatte i samsvar med ansettelsen, leveres tilbake til Leverandøren. Leverandøren vil da fjerne all informasjon fra nevnte maskinvare.
3.2 Integritet
Informasjon som Leverandøren er ansvarlig for, blir bare tilgjengelig, håndtert og modifisert av ansatte, eller av eksterne myndigheter som er autorisert til å gjøre det.
Leverandøren skal fatte rimelige tiltak med sikte på å forhindre utilsiktet endring av sensitiv informasjon.
3.3 Tilgjengelighet
Informasjonssystemet er tilgjengelig for autoriserte brukere når det er nødvendig.
3.4 Robusthet
Når uønskede fysiske eller tekniske hendelser oppstår, iverksettes beredskapstiltak for å bidra til å begrense skaden og hjelpe leverandøren med å komme raskt tilbake til normal drift. Dette inkluderer å gjenopprette tilgjengeligheten og gi tilgang til personopplysninger i rett tid.
4 Generelle krav – prosedyre
Leverandøren har sine egne dokumenterte prosedyrer for viktige sikkerhetsrelaterte prosesser. Prosedyrene nevnt i dette punktet skal være gjenstand for årlig gjennomgang og oppdatering.
4.1 Regulatoriske krav
Leverandøren må til enhver tid dokumentere og overholde gjeldende regulatoriske krav i samsvar med punkt 2 i dette vedlegget.
4.2 Risikovurdering og styring
Leverandørens krav til informasjonssikkerhet vedrørende IKT-systemer og prosessene for linjestyring og prosjekter er basert på en risikovurdering. Risikovurderingen inkluderer vurdering av risiko knyttet til egne ansatte og personer som er berørt av selskapets aktiviteter.
Tjenesteyter klassifiserer – eller kvantifiserer – uønskede hendelser basert på to elementer gitt en numerisk verdi: sannsynlighet og konsekvens. Produktet av disse to elementene definerer risikoen for hendelsen.
Både sannsynligheten og konsekvensen av en hendelse er gitt et tall i området 1 til 5 basert på definisjoner relatert til hendelsen. Høyere antall representerer mer sannsynlige og alvorlige hendelser.
Identifiserte uønskede hendelser skal vurderes og kvantifiseres av et panel bestående av minst to personer med tilstrekkelig kunnskap om sannsynligheten og konsekvensen av hendelsen. Årsaker til valg av sannsynlighet og konsekvensnivå må dokumenteres. Risiko som er vanskelig å evaluere kan indikere at hendelsen ikke er spesifikk nok og bør deles i flere separate hendelser eller omskrives.
Målet er ikke å eliminere all risiko – da dette er umulig – men heller holde Leverandørens nåværende profil på et akseptabelt nivå. Forhandleren og sluttkunder aksepterer herved risikoprofilen og det faktum at Leverandøren kun er ansvarlig for risiko direkte som følge av Leverandørens egne tjenester.
4.3 Klassifisering av systemer og informasjon
Avhengig av det aktuelle systemet og informasjonen som behandles, vil de forskjellige aspektene ved sikkerhet (konfidensialitet, integritet, tilgjengelighet og robusthet) ha forskjellige betydninger. Følgende kategorisering brukes til beskyttelsesbehov:
Høy – bare gitt system og informasjon med oppdragskritiske beskyttelsesbehov
Moderat – system og informasjon med beskyttelsesbehov
Lav (lave sikkerhetskrav) – kan gjelde alle systemer og informasjon med lite eller ingen beskyttelsesbehov.
Ulike delsystemer kan ha forskjellige beskyttelsesbehov.
4.4 Adgangskontroll
Access to the Supplier's services and systems is based on roles and privileges. Access control – at minimum quarterly review of users' and employees' rights in system lists, and rights that are no longer needed are revoked. The Supplier has implemented operational access to application data restricted to a monitored subset of the Supplier's employees, with multi-factor authentication enabled.
4.5 Tekniske sikkerhetstiltak
Leverandøren har implementert følgende tekniske sikkerhetstiltak:
Tiltak som hindrer ansatte i å uaktsomt eller forsettlig skade informasjonssystemet eller informasjonen som er lagret.
Tiltak for å forhindre at skadelig programvare kommer inn i bedriftsinformasjonssystemet.
Operasjonell tilgang til applikasjonsdata begrenset til et overvåket delsett av Leverandørens ansatte, med flerfaktorautentisering.
All kommunikasjon med applikasjoner gjennom eksterne endepunkter logges.
Minimum daglig backup av alle applikasjonsdata, med rutiner på plass for gjenoppretting.
4.6 Organisatoriske tiltak
Leverandøren har implementert følgende organisatoriske tiltak:
Prosedyrer for håndtering av tilgang til Leverandørens informasjonssystem. Dette inkluderer kontroll av passord, rettigheter og applikasjoner.
Prosedyrer med hensyn til ansattes håndtering av bærbare lagringsmedier, som bærbare datamaskiner, for å forhindre at informasjon kommer på avveie.
Rutiner for låsing av lokalene, håndtering av gjester og bruk av alarmer utenfor arbeidstid.
Prosedyrer for plassering og sikring av komponenter, lagringsenheter, dokumenter eller andre komponenter som er viktige for Leverandørens tjeneste.
4.7 Fysiske tiltak
Leverandørens lokaler er beskyttet mot blant annet innbrudd, brann, vannskader osv. Videre vil Leverandøren forhindre at uvedkommende får tilgang til lokaler der informasjon som er verneverdig er lagret. Maskiner, lagringsmedier og sentrale nettverkskomponenter er fysisk sikret slik at uvedkommende ikke kan bringe disse ut av Leverandørens lokaler. Bærbare enheter som skal bringes utenfor Leverandørens lokaler, må sikres med kryptering.
4.8 Risikohåndtering
For både betydelige og uakseptable risikoer, må risikoreduserende oppgaver identifiseres og legges til i backloggen. For uakseptable risikoer må risikoreduserende oppgaver ha en tidsfrist.
Risikoreduserende oppgaver får en poengsum basert på hvor mange risikopoeng de reduserer de berørte risikoene med, og oppgavene blir prioritert slik at oppgavene som fjerner flest risikopoeng blir utført først. For risikoreduserende oppgaver som påvirker flere risikoer, blir de reduserte risikopoengene summert.
Når de risikoreduserende oppgavene er fullført, skal de berørte risikoene oppdateres for å gjenspeile deres nye sannsynlighet og konsekvensskår, og ytterligere risikoreduserende tiltak må evalueres.
4.9 Leverandørens rolle som databehandler og bruk av underleverandører
Access to the Supplier's services and systems is based on roles and privileges. Access control – at minimum quarterly review of users' and employees' rights in system lists, and rights that are no longer needed are revoked. The Supplier has implemented operational access to application data restricted to a monitored subset of the Supplier's employees, with multi-factor authentication enabled.
5 Leverandørens tjeneste som en del av en større IKT-drift
Ansvaret for informasjonssikkerhet ligger hos eieren av IKT-operasjonen.
Leverandøren er kun ansvarlig for den delen av informasjonssikkerhet som følger av tjenesten som tilbys av Leverandøren. Leverandøren er ikke ansvarlig for risiko i forbindelse med informasjonssikkerhet som overskrider Leverandørens tjeneste og disse sikkerhetsretningslinjene eller annen avtale mellom avtalepartene, så langt gjeldende lover tillater dette.