Utläggning av datordrift – ”outsourcing”

Säkerhetskraven för en organisation som lägger ut hantering och styrning av hela eller delar av sina informationssystem, nätverk och/eller andra datormiljöer behöver behandlas i ett avtal mellan parterna. Avtalet bör beakta risker, rutiner och åtgärder i fråga om säkerhet.

Exempel på viktiga punkter att inkludera i ett avtal:

• Hur de rättsliga kraven ska uppfyllas, till exempel när det gäller lagstiftning om personuppgifter.
• Vilka åtgärder som ska vidtas för att säkerställa att alla berörda parter, inklusive underleverantörer, är medvetna om sitt säkerhetsansvar.
• Hur riktighet och sekretess rörande organisationens verksamhetstillgångar kan upprätthållas och testas.
• Vilka fysiska och logiska åtgärder som kommer att vidtas för att begränsa åtkomsten till organisationens känsliga information till enbart behöriga användare.
• Hur verksamheten kommer att kunna hållas igång vid en eventuell katastrofhändelse.
• Vilken fysisk säkerhetsnivå som ska gälla för utrustning som läggs ut.
• Hur revision kan genomföras för att granska hur kvalitets- och utvecklingsprocessen hos leverantör/entreprenör följs.
• Kännbara viten (bötesbelopp) om inte överenskomna krav och löften upprätthålls.