Policy gällande rapportering av IT-säkerhetsbrister | Kvalificerad IT-Säkerhet

IT-säkerhetsbrister som Triop AB uppdagar genom dess anställda eller underleverantörer bör följa denna rådgivande policy gällande rapportering av identifierade IT-säkerhetsbrister.

Vår policy är work-in-progress och ändras löpande. Att upprätta en policy gällande rapportering är inte helt trivialt utan tar lång tid och omtanke.

§1 Vår uppdragsgivare bestämmer alltid över hur rapportering av identifierade brister går tillväga. Finns ingen uppdragsgivare så följer vi denna policy.

§2 Vi rapporterar IT-säkerhetsbrister på ett ansvarsfullt sätt, med detta menas följande:

Leverantören, produktutvecklaren eller driftorganisationen i fråga får god tid från dess att en IT-säkerhetsbrist uppagas att åtgärda denna. Praxis är 30 dagar vilket vi följer
Om vi ej kan får kontakt så försöker vi minst tre gånger med olika funktioner, konton etc inom organisationen.
Om vi ändå ej får kontakt så går vi via CERT-SE
Om vi ändå ej får någon kontakt så påminner vi CERT-SE igen samt organisationen.