Molntjänster är en vanligt förekommande driftform för tjänster i dagens digitala samhälle. Det kan finnas både fördelar och nackdelar med lokal kontra extern drift, inte minst vad gäller informationssäkerheten.
När kommunens information flyttas till en extern leverantör reduceras även vår kontroll över den. Eftersom kommunen fortfarande är ansvarig för informationen är det viktigt att känna till:
Vid bedömning om lämplighet att hantera information i molntjänst finns fler faktorer än säkerhet att ta hänsyn till. Kostnaden vid drift externt istället för internt kan vara en kostnadsdrivande avgörande faktor. Verksamhetens beroenden, alternativt andra verksamheter eller medborgares beroende av informationen i händelse av kris, kan vara en annan avgörande faktor. Denna rutin förutsätter att sådana bedömningar redan genomförts.
- Anställda
- Anställda vid kommunala bolag som har IT-tjänst från SML-IT
Rutinen ska användas vid upphandling av system eller vid förändring av driftform.
ID | Driftsleverantör | Support | Serverplacering |
1 | SML-IT | SML-IT | Inom SML |
2 | SML-IT | Extern | Inom SML |
3 | SML-IT | SML-IT | Inom SML |
4 | Extern | Extern | Moln (inom EU/EES) |
5 | Extern | SML-IT | Moln (inom EU/EES) |
Denna rutin gäller främst vid upphandling av tjänst med driftformerna 4 och 5. Rutinen gäller också för driftform 2 om det kan förekomma att leverantören tar databaskopior och/eller ansluter via fjärrhjälpsverktyg vid support och felsökning.
Vid upphandling av IT-system
Vid förändring av driftform
Utförandet innehåller följande 4 steg.
Steg 1: När
Inför upphandling, innan kravställning.
Innan införskaffning om upphandling ej behövs.
Steg 2: Förberedelse
Kontakta informationssäkerhetssamordnare och boka in sammanträde för klassning av information är föremål för flytt till extern driftleverantör.
Steg 3: Genomförande
Genomför klassning av information.
Jämför klassningsnivån med åtgärdstabellen i driftmodellen och identifiera de eventuella åtgärderna.
Klassningsnivåer | Åtgärder |
4 | Molntjänst är ej tillåten. |
3 | Verksamheten ska genomföra en riskanalys före upphandling/införskaffning. Analysobjekt/perspektiv är informationens flytt till leverantörens tjänst. |
2 | Leverantören ska beskriva hur deras återställningsförfarande fungerar i punkterna:
Leverantören ska kunna tillhandahålla certifiering av oberoende part inom en eller flera av följande certifieringar:
Om certifiering saknas ska leverantören redogöra för hur man uppfyller informationssäkerhetskrav från informationsklassningens upphandlingsunderlag. |
1 | Företaget som tillhandahåller tjänsten måste finnas med i listan nedan: https://www.dataprivacyframework.gov/s/participant-search Länk till annan webbplats. |
Steg 4: Effekt
Vid upphandling, uppdatera kravspecifikation med åtgärdsförslagen. Åtgärdsförslagen ska vara ska-krav.
Vid förändring av driftform, inhämta bekräftelse från leverantören gällande uppfyllande av åtgärderna.