Rutin för informationssäkerhetsbedömning av molntjänst

Bakgrund och Syfte

Molntjänster är en vanligt förekommande driftform för tjänster i dagens digitala samhälle. Det kan finnas både fördelar och nackdelar med lokal kontra extern drift, inte minst vad gäller informationssäkerheten.

När kommunens information flyttas till en extern leverantör reduceras även vår kontroll över den. Eftersom kommunen fortfarande är ansvarig för informationen är det viktigt att känna till:

  • när extern drift ska undvikas,
  • när extern drift kan övervägas, samt
  • hur vi verifierar att leverantören är lämplig som driftansvarig.

Vid bedömning om lämplighet att hantera information i molntjänst finns fler faktorer än säkerhet att ta hänsyn till. Kostnaden vid drift externt istället för internt kan vara en kostnadsdrivande avgörande faktor. Verksamhetens beroenden, alternativt andra verksamheter eller medborgares beroende av informationen i händelse av kris, kan vara en annan avgörande faktor. Denna rutin förutsätter att sådana bedömningar redan genomförts.


Frekvens

Rutinen ska användas vid upphandling av system eller vid förändring av driftform.

ID

Driftsleverantör

Support

Serverplacering

1

SML-IT

SML-IT

Inom SML

2

SML-IT

Extern

Inom SML

3

SML-IT

SML-IT

Inom SML

4

Extern

Extern

Moln (inom EU/EES)

5

Extern

SML-IT

Moln (inom EU/EES)

Denna rutin gäller främst vid upphandling av tjänst med driftformerna 4 och 5. Rutinen gäller också för driftform 2 om det kan förekomma att leverantören tar databaskopior och/eller ansluter via fjärrhjälpsverktyg vid support och felsökning.


Ansvar

Vid upphandling av IT-system

  • Upphandlare ansvarar för att initiera rutinen.
  • Upphandlare ansvarar för att inkludera åtgärdsförslagen i kravspecifikationen
  • Upphandlande verksamhet ansvar för att utföra rutinen.
  • Informationssäkerhetssamordnare ska vara stödresurs vid utförande av rutinen.

Vid förändring av driftform

  • Verksamheten ansvar för att initiera och utföra rutinen.
  • Informationssäkerhetssamordnare ska vara stödresurs vid utförande av rutinen.


Utförande

Utförandet innehåller följande 4 steg.

Steg 1: När

Inför upphandling, innan kravställning.

Innan införskaffning om upphandling ej behövs.


Steg 2: Förberedelse

Kontakta informationssäkerhetssamordnare och boka in sammanträde för klassning av information är föremål för flytt till extern driftleverantör.


Steg 3: Genomförande

Genomför klassning av information.

Jämför klassningsnivån med åtgärdstabellen i driftmodellen och identifiera de eventuella åtgärderna.

Klassningsnivåer

 

 

Åtgärder

 

 

4


Molntjänst är ej tillåten.


3


 

 

 

Leverantören ska redogöra för hur man uppfyller informationssäkerhetskrav från informationsklassningens upphandlingsunderlag.


&


Genomför riskanalys inför upphandling

2

 

 

 

 

 

 

 

 

Leverantören ska kunna tillhandahålla certifiering av oberoende part inom en eller flera av följande certifieringar:

· ISO27001

· ISO27017

· ISO27018

· SSAE 18 SOC 2

· CSA STAR

 

 

 

1


Molntjänsten ska lagra informationen inom EU/EES-området.



Steg 4: Effekt

Vid upphandling, uppdatera kravspecifikation med åtgärdsförslagen. Åtgärdsförslagen ska vara ska-krav.

Vid förändring av driftform, inhämta bekräftelse från leverantören gällande uppfyllande av åtgärderna.