Hoppa till huvudinnehåll

Utläggning av datordrift – ”outsourcing”

Mål 

Att bibehålla säkerheten när ansvaret för informationsbehandling har lagts ut på en utomstående organisation.

Säkerhetskraven för en organisation som lägger ut hantering och styrning av hela eller delar av sina informationssystem, nätverk och/eller andra datormiljöer behöver behandlas i ett avtal mellan parterna. Avtalet bör beakta risker, rutiner och åtgärder i fråga om säkerhet.

Exempel på viktiga punkter att inkludera i ett avtal:

  • Hur de rättsliga kraven ska uppfyllas, till exempel när det gäller lagstiftning om personuppgifter.
  • Vilka åtgärder som ska vidtas för att säkerställa att alla berörda parter, inklusive underleverantörer, är medvetna om sitt säkerhetsansvar.
  • Hur riktighet och sekretess rörande organisationens verksamhetstillgångar kan upprätthållas och testas.
  • Vilka fysiska och logiska åtgärder som kommer att vidtas för att begränsa åtkomsten till organisationens känsliga information till enbart behöriga användare.
  • Hur verksamheten kommer att kunna hållas igång vid en eventuell katastrofhändelse.
  • Vilken fysisk säkerhetsnivå som ska gälla för utrustning som läggs ut.
  • Hur revision kan genomföras för att granska hur kvalitets- och utvecklingsprocessen hos leverantör/entreprenör följs.
  • Kännbara viten (bötesbelopp) om inte överenskomna krav och löften upprätthålls.