Åpenhetsloven

Hensikt

I IST er vi forpliktet til å være en pålitelig og troverdig forretningspartner. Vi forventer at våre leverandører deler vår forpliktelse til å fremme ansvarlig og bærekraftig forretningspraksis i egen virksomhet og leverandørkjede. Se nærmere beskrivelse i Åpenhetsloven

Omfang

Denne policyen skisserer våre forventninger til alle leverandører av:

• varer, verktøy, utstyr og personer til internt bruk
• applikasjoner og tjenester som brukes i ISTs egne tilbud
• partnere og samarbeidspartnere

Adferdsregler

1. Prinsipper:
   Våre leverandører må overholde disse atferdsreglene og alle gjeldende lover og forskrifter. Leverandører må gi oss nøyaktig og fullstendig informasjon om deres produkter, tjenester og forsyningskjede. Leverandører skal også samarbeide med oss i eventuelle revisjoner eller vurderinger av deres etterlevelse av disse retningslinjene.
   
   
2. Menneskerettigheter:
   Våre leverandører må respektere og overholde internasjonalt proklamerte menneskerettigheter og opprettholde en arbeidsplass fri for enhver form for diskriminering, trakassering eller utnyttelse basert på rase, kjønnsidentitet, alder, religion, nasjonalitet, seksuell legning, funksjonshemming eller politisk tilhørighet.
   
   
3. Arbeidspraksis:
   Våre leverandører må respektere arbeidstakernes rettigheter, inkludert rettferdig kompensasjon og arbeidstid, trygge og sunne arbeidsforhold, organisasjonsfrihet og kollektive forhandlinger, og forby all bruk av barnearbeid og tvangsarbeid eller ufrivillig arbeid.
   
   
4. Miljømessig bærekraft:
   Våre leverandører bør kontinuerlig strebe etter å forbedre sin miljøpåvirkning og bidra til å forhindre og minimere globale klimagassutslipp, forurensning og sløsing med ressurser i deres forretningsdrift og forsyningskjede.
   
   
5. Anti-korrupsjon:
   Våre leverandører må unngå å delta i eller bevisst dra nytte av enhver form for korrupsjon, utpressing eller bestikkelser.
   
   
6. Informasjonssikkerhet:
   Våre leverandører må opprettholde et tilstrekkelig nivå av informasjonssikkerhet, som gjenspeiler arten og kritikaliteten til informasjonen som behandles på vegne av IST. De tekniske og organisatoriske sikkerhetstiltakene må være effektive og valgt for å beskytte konfidensialiteten, integriteten og tilgjengeligheten til informasjonen og være basert på relevante og oppdaterte risikovurderinger. Leverandører må ha et aktivt styringssystem for informasjonssikkerhet basert på offentlig anerkjent beste praksis (f.eks. ISO 27001/02 osv.) og kunne demonstrere og dokumentere samsvar med kravene til informasjonssikkerhet og databeskyttelse som definert i kontrakten og når det er aktuelt databehandlingsavtale. Leverandører bør overholde alle gjeldende regelverk i regionene som IST og leverandøren opererer innenfor (f.eks. EUs databeskyttelsesforordning (GDPR), lokal databeskyttelseslovgivning, NIS2-direktivet og annen cybersikkerhetsrelatert lovgivning der det er aktuelt). For å sikre kvaliteten på tjenestene som tilbys, og hvis det er aktuelt for leverandøren, bør programvaren oppfylle internasjonale standarder for utviklingsprosesser og kvalitetsstyring og inkludere reduksjon av defekter og sårbarheter (f.eks. OWASP top10, tredjepartsavhengigheter osv.).
   
   
7. Kvalitet:
   Leverandører bør alltid strebe etter å møte høyest mulig kvalitet i leveransen, som forventet av IST. Det skal være enkelt å måle at IST mottar varer og tjenester i avtalt kvalitet og tid f.eks. via rapportering om hvordan ISTs servicenivåavtaler (SLA) oppfylles. Ved problemer med levering av produkter eller tjenester, bør problemer rapporteres i god tid.
   
   
8. Immaterielle rettigheter:
   Våre leverandører må respektere andres immaterielle rettigheter, inkludert vårt selskap og våre kunder, og unngå enhver krenkelse eller misbruk av slike rettigheter.
   
   
9. Rapportering:
   Leverandørene våre bør rapportere alle mistenkte brudd eller bekymringer til oss via sin primære kontaktperson i IST. Hvis det ikke er mulig eller hensiktsmessig, vennligst kontakt oss via e-postadressen for generell informasjon som er tilgjengelig på nettsiden vår. Anonyme rapporter kan gjøres via vår varslingskanal som er tilgjengelig under vår varslingspolicy på nettsiden vår.