Anbefaler større grad av felles sikkerhetskrav til tjenesteleverandørene

Anbud365: Anbefaler større grad av felles sikkerhetskrav til tjenesteleverandøreneKjetil Korslien er leveranseområdeansvarlig informasjonssikkerhet i Digitaliseringsdirektoratet (Digdir), som nå har publisert et notat om hva som bør gjøres de neste årene i arbeidet for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i offentlig forvaltning (foto: Khan Le/Digdir).

Skriv ut artikkelen

Virksomhetene i det offentlige må sørge for at informasjonssikkerhet er ivaretatt hos tjenesteleverandører, og at krav til dette må inngå i avtaler om tjenesteleveranser. Det fremgår av et nylig utarbeidet notat om sikkerhet i forvaltningen, der praksis ved det offentliges anskaffelser vies bred plass – spesielt ved anskaffelser av skytjenester. Flere forslag til krav til leverandørene lanseres, likeledes anbefales det å vurdere større grad av felles kravstilling til leverandørmarkedet

Digitaliseringsdirektoratet (Digdir) er ute med et notat: «Felles sikkerhet i forvaltningen – Et nasjonalt løft for informasjonssikkerhet i offentlig forvaltning». Hensikten med notatet er å se på hva som bør gjøres de neste årene i arbeidet for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i offentlig forvaltning.

Det er foreslått endringer i dagens anskaffelsesregelverk, slik at oppdragsgivere blir pliktige til å stille krav om digital sikkerhet. Men denne plikten, fremgår det av notatet, er allerede implisitt i overordnede krav om tilstrekkelig styring av risiko for virksomhetens oppgaver og tjenester.

I notatet slås det fast at virksomhetene selv har ansvar for å vurdere behov for informasjonssikkerhet, inkludert spesifikke sikkerhetstiltak som er nødvendige for å bidra til å håndtere risiko. Virksomhetene må sørge for at informasjonssikkerhet er ivaretatt hos tjenesteleverandører, og at krav til dette må inngå i avtaler om tjenesteleveranser.

Krav til leverandører

Det kan f.eks. stilles krav til:

• Styringsaktiviteter hos leverandør
• Samhandling i styringsaktiviteter mellom kunde og leverandør
• Innsyn i dokumentasjon som produseres av styringsaktivitetene hos leverandør
• Overordnede krav til sikkerhetsnivå
• Krav om spesifikke sikkerhetstiltak
• Krav om tillitsinformasjon (sertifiseringer, rapporter attestert av tredjeparter)

Leverandører av skytjenester innenfor EU kan i fremtiden komme til å sertifisere tjenestene sine i henhold til «assurance levels», slås det fast i notatet. Kravene som skal oppfylles for et «assurance level» inneholder flere ulike ting, både kvalifikasjonskrav for leverandøren og spesifikke sikkerhetstiltak som skal være på plass i tjenesteleveransen.

Felles krav til leverandørmarkedet

Det vil være fordeler med større grad av felles kravstilling til leverandørmarkedet. Flere problemstillinger er aktuelle:

• Nytten av større grad av samkjørt kravstilling fra offentlige virksomheter til leverandørmarkedet – inkludert effektiviseringsgevinst for begge parter.
• Nytten av leverandører av konsulenttjenester innen styring av informasjonssikkerhet tar utgangspunkt i felles referanseramme og tydelige anbefalinger om hva virksomhetene bør ha på plass
• Nytten av basisnivåer og felles tiltaksbank for offentlig forvaltning i forbindelse med anskaffelser, spesielt kjøp av skytjenester.
• Hvilke muligheter Norge har for nasjonale særkrav i et internasjonalt marked, hvor leverandørene allerede har tilpasset tjenestene til andre kravsett og sertifiseringsordninger.
• Hvilken nytte Norge har av å samordne nasjonale krav mot internasjonale krav og tiltaksbanker.

Løsrevet IKT-sikkerhet

Det hender at IKT-sikkerhet i anskaffelser håndteres adskilt og separat – delvis løsrevet fra vurdering av behovet for informasjonssikkerhet i oppgavene og tjenestene som anskaffelsene er innsatsfaktorer til. Det kan føre til usammenhengende risikostyring, og manglende forståelse for, og håndtering av, risiko hos lederne som har ansvaret for oppgavene og tjenestene, konstateres det i notatet.

Bli den første til å kommentere på "Anbefaler større grad av felles sikkerhetskrav til tjenesteleverandørene"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.