Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Oversikt og kontroll på hele livsløpet
Når en virksomhet har besluttet å ta i bruk tjenesteutsetting som en del av sin IKT-strategi, må man sørge for å etablere oversikt og kontroll på hele livsløpet ved tjenesteutsettingen. Livsløpet kan inndeles i fire hovedfaser (forberedende, anskaffelse, forvaltning og opphør), hvor hver fase inkluderer et sett med behov og krav som må følges opp. NSM anbefaler at kontrakten for tjenesteutsettingen må omhandle alle fasene.
Figur 1: Tjenesteutsettingens livsløp kan deles i fire hovedfaser. I hver fase er det et sett med aktiviteter som virksomheten må ha oversikt og kontroll over.
Forberedende: I denne fasen utarbeides detaljerte forutsetninger for tjenesteutsettingen, samt at det gjøres nødvendige vurderinger av om tjenesteutsettingen kan gjennomføres og eventuelt hvordan. En viktig vurdering her er hvordan tjenesten som settes ut skal integreres med virksomhetens øvrige IKT-systemer, slik at nødvendig sikkerhetsnivå ivaretas.
Anskaffelse: Med basis i forutsetningene og vurderingene i den forberedende fasen, starter arbeidet med valg av leverandør og inngåelse av kontrakt. Innholdet i kontrakten er svært viktig fordi kontrakten regulerer forholdet mellom virksomhet og leverandør, herunder leveransekvalitet, rapportering, endringsprosesser, revisjon og møtearenaer. Utvetydige prosedyrer for verifisering og oppfølging av kontraktens leveransekrav bør være på plass før kontraktsinngåelse og iverksetting av tjenesteutsettingen.
Forvaltning: Fasen innebærer etablering, integrering og eventuell transisjon av tjenesten som settes ut. Den må videre regulere hvordan virksomheten skal følge opp leverandøren og leveransene, slik at kontraktsforpliktelsene samt virksomhetens endringsbehov ivaretas i kontraktsperioden. Forvaltning innebærer at avvik fra leveransekravene vurderes med hensyn til iverksetting av tiltak.
Opphør: Dette er perioden når virksomheten skal avslutte tjenesteutsettingen. Det kan være tilsiktede og utilsiktede grunner til at en virksomhet avslutter kontrakten. Det kan eksempelvis være kontraktsbrudd eller endrede uakseptable forhold ved vertslandet og/eller leverandør. Ved opphør må virksomheten være særlig forberedt på to aktiviteter:
-
Tilbakeføring og/eller overføring: Iverksette plan for å tilbakeføre tjenesten til virksomheten, eller overføre tjenesten til en annen leverandør.
-
Sletting: Iverksette plan for at data tilhørende virksomheten blir forsvarlig slettet av leverandøren.