FOA — Forum for offentlige anskaffelser

Til kapitteloversikt

NSM-veileder

2.1.9 Ta ansvar for virksomhetens sikkerhet også ved tjenesteutsetting

NSM: Grunnprinsipper for IKT-sikkerhet · 2024-06-05

FOA-vurdering

Virksomheten beholder sikkerhetsansvaret ved tjenesteutsetting

Kilden understreker at tjenesteutsetting ikke flytter bort ansvaret for sikkerheten. Virksomheten må derfor styre, følge opp og kontrollere sikkerheten gjennom hele livsløpet til tjenesten som settes ut. Teksten peker særlig på behovet for bestillerkompetanse, risikovurderinger, kravdokumenter og behandlingsregler for avtaler og endringer. Det er altså ikke nok å inngå en avtale; sikkerhetskravene må kunne følges opp og verifiseres i praksis. For anskaffelser betyr dette at sikkerhet må inn i planlegging, kravstilling, avtaleinngåelse og endringshåndtering. Ansvaret ligger hos virksomheten uavhengig av hvem som utfører oppgavene.

Betydning for anskaffelser

Brukes ved vurdering av tjenesteutsetting, skytjenester og andre IKT-leveranser der virksomheten må dokumentere kontroll, kompetanse, risiko og kontraktsoppfølging. Relevant i spørsmål om hvem som har ansvar, hvordan krav skal stilles, hvordan endringer skal håndteres, og om avtalen er behandlet etter virksomhetens fullmaktsstruktur.

Sentrale kildepunkter

  • Virksomheten skal ha oversikt og kontroll over hele livsløpet til de utsatte tjenestene.
  • Bestillerkompetanse skal ivaretas gjennom hele tjenesteutsettingen.
  • Risikovurderinger skal omfatte IKT og hele livsløpet.
  • Det skal utarbeides et kravdokument for alle faser, med krav som kan verifiseres.
  • Avtaler om tjenesteutsetting av IKT-tjenester og endringer i slike avtaler skal behandles etter virksomhetens fullmaktsstruktur.
  • Virksomhetens ansvar for sikkerheten faller ikke bort ved tjenesteutsetting.
  • Ansvar gjelder uavhengig av hvem som utfører de ulike oppgavene.
Fulltekst

b) ivareta behovet for bestillerkompetanse (f.eks. forvaltning-, administrasjon- og IT- arkitekturkompetanse) gjennom hele livsløpet til tjenesteutsettingen c) gjennomføre gode risikovurderinger som inkluderer IKT og hensyntar hele livsløpet, d) utarbeide et kravdokument for alle faser av tjenesteutsettingen hvor krav kan verifiseres, e) avtaler om tjenesteutsetting av IKT-tjenester og endringer i slike avtaler skal behandles i henhold til virksomhetens fullmaktsstruktur. Se også kapitlet Bruk av tjenesteutsetting og skytjenester og [1]. Det understrekes at virksomhetens ansvar for sikkerheten ikke forsvinner selv om man tjenesteutsetter. Virksomheten har et ansvar uavhengig av hvem som utfører de forskjellige oppgavene.