Anbefaling om landvurdering ved tjenesteutsetting
Bakgrunn
Stadig flere IKT-tjenester leveres av store globale aktører. Aktørene har ofte en dominerende markedsposisjon med tjenester av høy kvalitet og til attraktive priser, slik at få alternativer finnes. Leveransene skjer enten direkte fra leverandøren selv eller formidlet av nasjonale IKT-selskaper, som har inkludert slike tjenesteleveranser i sin produkt-portefølje. I begge tilfeller vil tjenestene leveres fra de samme plattformene hovedsakelig lokalisert, forvaltet og driftet utenfor Norge.
I dette perspektivet må virksomheter som ønsker å sette ut en IKT-tjeneste, være oppmerksom på at tjenestene kan bli levert fra utlandet. Virksomheten bør derfor vurdere en rekke forhold relatert til vertsland og leverandør, da forholdene kan påvirke hvordan man til syvende og sist vurderer sikkerhet. Hvordan er den sikkerhetspolitiske situasjonen i vertslandet, nabolandene og i regionen? Hvordan er samfunnsforholdene og stabiliteten i vertslandet? Hvilken tilgang har vertslandets myndigheter til informasjon i private virksomhet?
Hensikten med temarapporten er å øke bevisstheten om hvordan tjenesteutsetting til utlandet kan påvirke en virksomhets risikobilde. Rapporten beskriver et sett med kriterier NSM anbefaler å vurdere ved en tjenesteutsetting til utlandet. Vurderingen må inngå som en del av den totale risikovurderingen ved tjenesteutsetting.
Anbefalingene er relevante for offentlige og private virksomheter som vurderer å tjenesteutsette sine IKT-tjenester til utlandet. Rapporten er en utdypning av kapittelet om å «beslutte leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet1 og må sees i sammenheng med temarapporten Sikkerhetsfaglige anbefalinger ved tjenesteutsetting.
Kontaktpunkt for kommentarer er [email protected]. Vennligst bruk rapportens navn som emne. Kommentarer og innspill mottas med takk.