Rutin för informationssäkerhetsbedömning av molntjänst

Bakgrund och Syfte

Molntjänster är en vanligt förekommande driftform för tjänster i dagens digitala samhälle. Det kan finnas både fördelar och nackdelar med lokal kontra extern drift, inte minst vad gäller informationssäkerheten.

När kommunens information flyttas till en extern leverantör reduceras även vår kontroll över den. Eftersom kommunen fortfarande är ansvarig för informationen är det viktigt att känna till:

  • när extern drift ska undvikas,
  • när extern drift kan övervägas, samt
  • hur vi verifierar att leverantören är lämplig som driftansvarig.

Vid bedömning om lämplighet att hantera information i molntjänst finns fler faktorer än säkerhet att ta hänsyn till. Kostnaden vid drift externt istället för internt kan vara en kostnadsdrivande avgörande faktor. Verksamhetens beroenden, alternativt andra verksamheter eller medborgares beroende av informationen i händelse av kris, kan vara en annan avgörande faktor. Denna rutin förutsätter att sådana bedömningar redan genomförts.

Målgrupper

- Anställda
- Anställda vid kommunala bolag som har IT-tjänst från SML-IT

Frekvens

Rutinen ska användas vid upphandling av system eller vid förändring av driftform.

ID

Driftsleverantör

Support

Serverplacering

1

SML-IT

SML-IT

Inom SML

2

SML-IT

Extern

Inom SML

3

SML-IT

SML-IT

Inom SML

4

Extern

Extern

Moln (inom EU/EES)

5

Extern

SML-IT

Moln (inom EU/EES)

Denna rutin gäller främst vid upphandling av tjänst med driftformerna 4 och 5. Rutinen gäller också för driftform 2 om det kan förekomma att leverantören tar databaskopior och/eller ansluter via fjärrhjälpsverktyg vid support och felsökning.

Ansvar

Vid upphandling av IT-system

  • Upphandlare ansvarar för att initiera rutinen.
  • Upphandlare ansvarar för att inkludera åtgärdsförslagen i kravspecifikationen
  • Upphandlande verksamhet ansvar för att utföra rutinen.
  • Informationssäkerhetssamordnare ska vara stödresurs vid utförande av rutinen.

Vid förändring av driftform

  • Verksamheten ansvar för att initiera och utföra rutinen.
  • Informationssäkerhetssamordnare ska vara stödresurs vid utförande av rutinen.


Utförande

Utförandet innehåller följande 4 steg.

Steg 1: När

Inför upphandling, innan kravställning.

Innan införskaffning om upphandling ej behövs.


Steg 2: Förberedelse

Kontakta informationssäkerhetssamordnare och boka in sammanträde för klassning av information är föremål för flytt till extern driftleverantör.


Steg 3: Genomförande

Genomför klassning av information.

Jämför klassningsnivån med åtgärdstabellen i driftmodellen och identifiera de eventuella åtgärderna.

Klassningsnivåer



Åtgärder



4


Molntjänst är ej tillåten.


3






Verksamheten ska genomföra en riskanalys före upphandling/införskaffning. Analysobjekt/perspektiv är informationens flytt till leverantörens tjänst.





2













Leverantören ska beskriva hur deras återställningsförfarande fungerar i punkterna:

  • Återställningstid
  • Placering av backup (land/jurisdiktion)
  • Versionshantering
  • Kvarhållandeprincip



Leverantören ska kunna tillhandahålla certifiering av oberoende part inom en eller flera av följande certifieringar:

  • ISO27001
  • ISO27017
  • ISO27018
  • SSAE 18 SOC 2
  • CSA STAR

Om certifiering saknas ska leverantören redogöra för hur man uppfyller informationssäkerhetskrav från informationsklassningens upphandlingsunderlag.






1


Företaget som tillhandahåller tjänsten måste finnas med i listan nedan:

https://www.dataprivacyframework.gov/s/participant-search Länk till annan webbplats.


Steg 4: Effekt

Vid upphandling, uppdatera kravspecifikation med åtgärdsförslagen. Åtgärdsförslagen ska vara ska-krav.

Vid förändring av driftform, inhämta bekräftelse från leverantören gällande uppfyllande av åtgärderna.