Tjenesteutsetting og informasjonssikkerhet
Tjenesteutsetting er å kjøpe gjennomføring av en oppgave som en tjeneste fra en ekstern leverandør istedenfor å gjøre den selv.
Hvis du ønsker å kjøpe IT-tjenester, må du skaffe deg oversikt over hvilke sikkerhetsbehov disse tjenestene må oppfylle. Du må finne ut hva slags informasjon som vil bli behandlet i tjenesten, og vurdere behovet for informasjonssikkerhet knyttet til denne informasjonen. Vurderingen danner grunnlag for å finne ut om du må stille spesielle krav til leverandøren og/eller til måten informasjonen skal behandles på.
Hvordan får du oversikt over sikkerhetsbehovene?
Difi har laget en veiledning om styring og kontroll på informasjonssikkerhetsområdet.
Den omfatter kartlegging av
- arbeidsoppgaver (prosesser)
- informasjon som behandles i prosessene
- sikkerhetsbehov knyttet til informasjonen
Kartleggingen er en del av aktiviteten Risikovurdering i veiledningen og hjelper deg med å få oversikt over hvilke behov du har for informasjonssikkerhet.
Hvem har ansvaret og hvem kan hjelpe deg?
Virksomhetens øverste leder (direktøren) har det øverste ansvaret for informasjonssikkerheten i virksomheten.
Den som har ansvaret for tjenesten som skal settes ut kalles "behovshaver" og er den nærmeste til å identifisere og vurdere behovet for for informasjonssikkerhet knyttet til tjenesten.
Behovshaver har ansvaret for å formidle behovene for informasjonssikkerhet til deg som skal gjennomføre anskaffelsen, slik at de blir en del av konkurransegrunnlaget.
Den som er fagansvarlig for informasjonssikkerhet i virksomheten kan bistå i vurderingene av hvilke krav du bør stille til informasjonssikkerhet.
Statens standardavtaler inneholder også en del krav til informasjonssikkerhet som du bør vurdere opp mot behovet. Kanskje noen av kravene dine allerede er dekket av standardbestemmelser i avtalen du skal bruke?
Utsetting av IT-drift
Når du setter ut IT-drift overlater du dataene dine til leverandøren. Derfor må ha gjort en grundig risikovurdering og funnet ut hvor strenge sikkerhetskrav du må stille. Dersom systemene du vil sette ut driften av inneholder personopplysninger, må du inngå en databehandleravtale med leverandøren. Det er også krav i personverlovgivningen (GDPR) knyttet til hvor leverandøren kan være plassert geografisk. Dersom leverandøren er lokalisert utenfor EØS-området gjelder det spesielle krav.
Utsetting til en skyløsning
Når du setter ut dataene dine i en skyløsning vet du ikke nødvendigvis hvor dataene dine befinner seg. Dersom de inneholder personopplysninger må du forsikre deg om at de lagres innenfor EØS-området, eller i land som personregelverket tillater at personopplysnigene overføres til, men da må du ha inngått en egen avtale.
Fjerntilgang
Når du setter ut systemer og data til en leverandør er det ikke gitt at de som står for driften befinner seg på samme geografiske lokasjon som dataene og systemene. Særlig i forbindelse med skyløsninger er det vanlig å plassere brukerstøtte og vedlikehold på mange ulike steder, slik at systemene kn driftes hele døgnet uten at det er nødvendig å jobbe utenfor arbeidstiden. Det betyr at personer kan ha tilgang til data som er lagret innenfor EØS fra f.eks. Filipinene eller USA. Det at de har tilgang gjør at de per definisjon har mulighet for å lagre dataene i landet de har tilgang fra, og du må derfor ha avtale om overføring av opplysninger med disse landene.
Konsulenter som arbeider i dine lokaler
Dersom du leier inn konsulenter som sitter i dine lokaler og utvikler løsninger på dine systemer, er det viktig å holde oversikt over hva slags tilganger de får. De bør ikke ha tilgang til mer enn det de trenger for å utføre de oppgavene de er leiet inn for og det er viktig at brukeren deres blir slettet når de er ferdig med oppdraget. Dette er spesielt viktig hvis de har hatt mulighet for å jobbe via fjerntilgang.