Sikkerhetsfaglige anbefalinger ved tjenesteutsetting
Riktige og gode krav til IKT-tjenesten og til leverandør
En kritisk suksessfaktor for en vellykket tjenesteutsetting er å stille riktige og gode krav. Kravene uttrykker et behov og må formuleres slik at de kan bli verifisert. Kravene beskriver hva virksomheten ber om, og spesifiserer hva tjenestetilbyderen skal levere. En tjenesteutsetting blir ikke bedre enn kravene. Sett fra et kontraktsperspektiv er kravene, og verifikasjon av disse, bindeleddet mellom virksomhetens behov og tjenesten som leveres fra tjenestetilbyderen.
Virksomheten må utarbeide en detaljert kravspesifikasjon for IKT-tjenesten som skal tjenesteutsettes. Sikkerhetskravene en virksomhet stiller til konfidensialitet, integritet og tilgjengelighet til sine IKT-tjenester må gjelde uavhengig av geografisk lokasjon og om det er tjenesteutsatt eller ikke. Dersom det er forhold som kan ha innvirkning på risikoen, må disse identifiseres og vurderes, og kompenserende tiltak må iverksettes.
NSM anbefaler at NSMs grunnprinsipper for IKT-sikkerhet brukes i utarbeidelse av kravene som stilles til IKT-tjenesten.
Hvis leverandøren ikke kan levere på kravene som stilles er det viktig at virksomheten tar en veloverveid beslutning basert på risikoen tjenesteutsettingen medfører, og vurderer kompenserende tiltak.
Virksomheten bør utarbeide et kravdokument for alle faser av tjenesteutsettingen, det vil si selve anskaffelsen, forvaltning og driftsfasen samt ved terminering av kontrakten. Ved en tjenesteutsetting bør det som minimum stilles krav til at leverandøren har:
-
Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017.
-
Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten.
-
Utviklingsplaner for sikkerhet i tjenesteproduksjonen i tråd med utvikling i teknologi og trusselbildet over tid.
-
En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder.
-
Tilgangsstyring som inkluderer kryptering, aktivitetslogging og fysisk og logisk sikkerhet.
-
Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører.
-
Rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering.
-
Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
-
Godkjenningsprosedyrer for bruk av underleverandører og deres bruk av underleverandører.
-
Spesifisert hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon.