Ved en tjenesteutsetting bør det, ifølge Nasjonal sikkerhetsmyndighet (NSM), som et minimum stilles et sett med krav til leverandøren for å sørge for best mulig sikkerhetsnivå ved IKT-anskaffelser. NSM har i den forbindelse lansert 10 slike minimumskrav. Der kravene ikke oppnås, vil virksomheten ha en risiko, og virksomheten må vurdere eventuelle kompenserende tiltak - eller hvorvidt tjenesten faktisk skal settes ut.
- Virksomheten må sørge for at sikkerhetsnivået opprettholdes eller forbedres i forbindelse med tjenesteutsetting, skriver NSM. Kravene til sikring av tjenester satt ut til tredjepart vil i prinsippet ikke være annerledes enn når de leveres av virksomheten selv. De samme kravene må innfris og må reguleres i kontrakter, følges opp og kontrolleres, slik at de ivaretas av tjenesteleverandøren. De tjenester som settes ut, må også inkluderes i den resterende porteføljen til virksomheten. Virksomheten må etablere en helhetlig arkitektur og må forstå hvilke funksjoner i det totale systemet som ivaretas hvor i arkitekturen og av hvem.
NSM peker på at i realiteten vil virksomheter møte kommersielt attraktive og til dels sterke, dominerende tjenesteleverandører som i liten grad er villige til å gi tilstrekkelig transparens til å verifisere samsvar med regelverk og anbefalinger. Der kravene ikke oppnås, vil virksomheten ha en risiko og virksomheten må vurdere eventuelle kompenserende tiltak, eller hvorvidt tjenesten faktisk skal settes ut.
Detaljert kravdokument
- Når en virksomhet velger å sette ut leveranser er det viktig å kartlegge hvilke lover, krav og regler som gjelder for egen virksomhet både nasjonalt og internasjonalt, heter det fra NSM. Virksomheten bør kartlegge hvilke verdier som eksponeres ved tjenesteutsetting, og vurdere dette opp mot behovet for konfidensialitet, integritet og tilgjengelighet. Virksomheter bør utarbeide et detaljert kravdokument som dekker tjenesteleveransen og alle faser av tjenesteutsettingen, det vil si anskaffelsen, forvaltning og driftsfasen samt ved terminering av kontrakten.
Det er viktig å være klar over at utsetting av IKT-tjenester ikke bare har en merkantil dimensjon. Alle i virksomheten som påvirkes av utsettingen, må inkluderes både under anskaffelse, i driftsperioden og ved terminering. Det avgjørende er likevel at grunnprinsippene bør følges, uavhengig av om tjenesten leveres internt eller av en tjenesteleverandør.
NSMs minimumskrav:
• Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017
• Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten.
• Utvikling av sikkerheten i tjenesteproduksjonen og hos leverandøren, i tråd med utvikling i teknologi og trusselbildet over tid.
• En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder.
• Tilgangsstyring som inkluderer kryptering, aktivitetslogging, fysisk og logisk sikkerhet.
• Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører.
• Rutiner for hendelseshåndtering, avviks- og sikkerhetsrapportering.
• Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
• At bruk av underleverandører og deres bruk av underleverandører skal godkjennes før iverksetting.
• Hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon.