Offentlige og private virksomheter ser på IKT og bruken av IKT som en viktig del av virksomheten og realisering av sin strategi. Samtidig øker kostnader, ressursbruk og den generelle avhengigheten til leveranse av IKT-tjenester. Det er derfor et økende fokus på hvordan IKT-området utvikles og hvordan IKT-tjenestene kan leveres. For mange er konklusjonen å tjenesteutsette hele eller deler av tjenesteporteføljen til en eller flere leverandører. Med tjenesteutsetting menes her at virksomheten velger å anskaffe «varer eller tjenester» fra en ekstern leverandør i stedet for å levere dem selv. Et eksempel på tjenesteutsetting er anskaffelse av skybaserte tjenester. Sikkerhetstiltak er nødvendig, uavhengig av hvem som forvalter tjenestene. NSMs grunnprinsipper for IKT-sikkerhet er like relevante for IKT-tjenester som er tjenesteutsatt som for IKT-tjenester som forvaltes av virksomheten selv. Forskjellen er om man stiller krav til interne eller eksterne tjenesteleverandører.

Før det foretas en strategisk beslutning om bruk av tjenesteutsetting, bør virksomheten vurdere om den er «rigget» for å håndtere alle faser i en tjenesteutsettingsprosess. For å ivareta IKT-sikkerheten ved tjenesteutsetting anbefales:

  1. Oversikt og kontroll på hele livsløpet
  2. God bestillerkompetanse
  3. Gode risikovurderinger for å kunne ta riktig beslutning
  4. Riktige og gode krav til IKT-tjenesten og til leverandør
  5. Riktig beslutning på riktig nivå

Det man ikke får gjort i forkant av tjenesteutsettingen kan bli utfordrende å få gjennomført senere i kontraktens varighet.

Se prinsipp 2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser og les NSMs rapporter om tjenesteutsetting for mer informasjon om tjenesteutsetting og «sky».