Hva bør du tenke på hvis du skal tjenesteutsette?
- Vi i NSM er bekymret for at vurdering av sikkerhetsrisiko og etablering av sikringstiltak ikke får prioritet ved tjenesteutsetting. Sikkerhet må vurderes og planlegges fra starten av og i hele livsløpet til tjenesten. Ofte ser vi at det kun vurderes økonomisk risiko og gjennomføringsrisiko, sier avdelingsdirektør Bente Hoff i Nasjonal sikkerhetsmyndighet.
NSM har de siste månedene publisert to temarapporter som tar for seg utfordringer rundt tjenesteutsetting, "Sikkerhetsfaglige anbefalinger ved tjenesteutsetting” og "Anbefaling om landvurdering ved tjenesteutsetting”.
Hensikten med den første er å bistå offentlige og private virksomheter med overordnede sikkerhetsfaglige anbefalinger ved tjenesteutsetting av IKT-tjenester. Anbefalingene er relevante for offentlige og private virksomheter som vurderer å tjenesteutsette basisdrift, applikasjonsdrift eller applikasjonsforvaltning til ekstern tjenesteleverandør.
Hensikten med temarapporten “Anbefaling om landvurdering ved tjenesteutsetting” er å øke bevisstheten om hvordan tjenesteutsetting til utlandet kan påvirke en virksomhets risikobilde. Rapporten beskriver et sett med kriterier NSM anbefaler å vurdere ved en tjenesteutsetting til utlandet. Vurderingen må inngå som en del av den totale risikovurderingen ved tjenesteutsetting.
Begge rapportene bør også knyttes opp mot NSMs “Grunnprinsipper for IKT-sikkerhet”.