En kritisk suksessfaktor for en vellykket tjenesteutsetting er å stille riktige og gode krav. For å finne gode krav må du kjenne din egen virksomhet og vite hvilke behov du har. Kravene uttrykker et behov og må formuleres slik at de kan bli verifisert. Kravene beskriver hva virksomheten ber om, og spesifiserer hva tjenestetilbyderen skal levere. En tjenesteutsetting blir ikke bedre enn kravene, som ikke blir bedre enn din forståelse av behovet.. Sett fra et kontraktsperspektiv er kravene, og verifikasjon av disse, bindeleddet mellom virksomhetens behov og tjenesten som leveres fra tjenestetilbyderen. Flere store norske virksomheter har hatt vesentlige utfordringer med å rydde opp i uklare kontraktsforhold i etterkant av en tjenesteutsetting.

Virksomheten må utarbeide en detaljert kravspesifikasjon for IKT-tjenesten som skal tjenesteutsettes basert på virksomhetens behov og gjeldende lover og regler. Sikkerhetskravene en virksomhet stiller til konfidensialitet, integritet og tilgjengelighet til sine IKT-tjenester må gjelde uavhengig av geografisk lokasjon og om det er tjenesteutsatt eller ikke. Dersom det er forhold som kan ha innvirkning på risikoen, må disse identifiseres og vurderes, og kompenserende tiltak må iverksettes. NSM anbefaler at NSMs grunnprinsipper for IKT-sikkerhet brukes i utarbeidelse av kravene som stilles til IKT-tjenesten, uavhengig om leveransene utfører internt eller eksternt.

Hvis leverandøren ikke kan levere på kravene som stilles er det viktig at virksomheten tar en veloverveid beslutning basert på risikoen tjenesteutsettingen medfører, og vurderer kompenserende tiltak.

Virksomheten bør utarbeide et kravdokument for alle faser av tjenesteutsettingen, det vil si selve anskaffelsen, forvaltning og driftsfasen samt ved terminering av kontrakten. Ved en tjenesteutsetting bør det som minimum stilles krav til at leverandøren har:

  • Et etablert styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017. 
  • Innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten. 
  • Utviklingsplaner for sikkerhet i tjenesteproduksjonen i tråd med utvikling i teknologi og trusselbildet over tid. 
  • En oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregeringfra andre kunder. 
  • Tilgangsstyring som inkluderer kryptering, aktivitetslogging og fysisk og logisk sikkerhet. 
  • Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører. 
  • Rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering. 
  • Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
  • Godkjenningsprosedyrer for bruk av underleverandører og deres bruk av underleverandører. 
  • Spesifisert hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon.