UTKAST. Riktlinjer vid val av molntjänst

Transkript

1 UTKAST Riktlinjer vid val av molntjänst

2 Innehållsförteckning Dokumentinformation... 2 Riktlinjer vid val av molntjänst... 3 Inledning... 3 Definition av begreppet molntjänst... 3 Aktiviteter innan val av molntjänst... 4 Informationssäkerhetsklassning... 4 Påbörja framtagande av en informationsförvaltningsplan... 4 Kravställ på leverantör utifrån informationssäkerhetsklassning... 4 Upprätta avtal med leverantör... 5 Färdigställ informationsförvaltningsplan... 5 Påbörja flytt av information/driftsättning av IT-stöd... 5 Aktiviteter efter driftsättning... 5 Revision av leverantör... 5 Risker... 5

3 Dokumentinformation Titel Dokumenttyp Skapat av Riktlinjer vid val av molntjänst Riktlinje Jari Koponen/Petronella Enström, Koncernstaben Datum Senast ändrad Godkänt av Linda Gustafsson, Koncernstaben (TF IT-direktör) Version 1.1 Versionshantering Version Datum Ändrad av Kommentar Jari Koponen Första version beslutad efter godkännande på IT-samråd. 1.1a Petronella Enström Reviderad utifrån HIT-projektet Jari Koponen Korrigerat instruktionerna rörande informationssäkerhet och kravställning något.

4 Riktlinjer vid val av molntjänst Dessa riktlinjer ska stötta dig som systemägare av ett IT-stöd och/eller verksamhetsansvarig vid valet att använda en molntjänst. Inledning Molntjänst är en allt mer vanlig driftform av IT-stöd och den marknadsförs ofta som ett enklare och billigare alternativ till intern drift. Molntjänster är också ofta mycket kostnadseffektiva, det är ofta leverantörer som specialiserar sig på att tillhandahålla ett system till många kunder och kan då göra detta mer effektivt. Men att lägga ut sin IT-drift till en extern leverantör i form av en molntjänst innebär också att du väljer att flytta din verksamhets information till en extern part, information som ofta är kärnan i din verksamhet och kan innehålla känsliga uppgifter. Därför behöver du vara en mycket mer aktiv kravställare och beställare om du väljer att använda en molntjänst. Du behöver vara väl medveten om riskerna det innebär att lägga ut er information till en extern part och du måste ha säkrat att informationen hanteras på ett säkert och korrekt sätt samt följa upp hanteringen över tid. Definition av begreppet molntjänst I dessa riktlinjer definierar vi samtliga driftformer som sker utanför kommunkoncernens nätverk som molntjänster.

5 Aktiviteter innan val av molntjänst Innan en molntjänst överhuvudtaget kan användas är du ansvarig för att genomföra en del aktiviteter som syftar till att säkra den information som ska hanteras. Följande aktiviteter skall genomföras innan användning av en molntjänst. Informationssäkerhetsklassning Det första steget som alltid måste genomföras är en informationssäkerhetsklassning av informationen som hanteras inom IT-stödet. Detta innebär att ni som verksamhet bedömer informationen som hanteras inom IT-stödet utefter fyra parametrar: Riktighet vikten av tillförlitlig, korrekt, fullständig information Konfidentialitet vikten av åtkomstbegränsning Spårbarhet vikten av att kunna spåra olika händelser Tillgänglighet vikten av tillgång till informationen inom önskad tid Utifrån denna klassning får ni reda på vilken typ av information som hanteras inom IT-stödet och därmed vilka krav ni skall ställa på den leverantör som ska tillhandahålla drift av ITstödet. Se riktlinjer för informationssäkerhetsklassning. Sundsvalls kommunkoncern använder verktyget KLASSA från SKL som stöd för detta steg. I verktyget KLASSA genomför verksamheten tillsammans med en informationssäkerhetskunnig person en informationssäkerhetsklassning av er information som samtidigt dokumenteras. Verktyget kan nås på adressen Påbörja framtagande av en informationsförvaltningsplan I koncernen finns en modell för informationsförvaltning som skall följas, inom modellen ska man ta fram en informationsförvaltningsplan för den informationsmängd som hanteras inom tjänsten. En informationsförvaltningsplan bör alltid påbörjas tidigt i processen och fyllas på löpande. Mallen för informationsförvaltningsplan finns att hämta på Kravställ på leverantör utifrån informationssäkerhetsklassning Utifrån genomförd klassning av information skall ni kravställa gentemot leverantör av ITstöd. Kravställningen ska vara på rätt nivå utifrån vilken information som hanteras och lagras i lösningen. Dessa krav rör allt från vilka personer som har åtkomst till er information, den fysiska säkerheten runt informationen till tekniska krav på molntjänsten.

6 Denna kravställning skall ske oavsett om det är inom en upphandling eller om det är ändring av driftform inom ett befintligt avtal. En bruttolista över tekniska- och informationssäkerhetskrav är framtagen tillsammans med en instruktion för hur den ska användas. Denna används för att ta fram relevanta krav vid upphandling/kravställning av funktion eller tjänst som kräver ett IT-stöd eller vid upphandling av ett rent IT-stöd. Upprätta avtal med leverantör Först när leverantör bekräftat att de lever upp till samtliga krav som ställs kan ett avtal knytas, avtalet ska innehålla alla ställda krav samt ett specifikt avtal för hur personuppgifter skall hanteras (personuppgiftsbiträdesavtal). Om det är inom en upphandling är detta en relativt given process, men om ändring av driftform sker under ett befintligt avtal skall även detta avtal uppdateras utefter de nya förutsättningarna och den nya kravställningen. Färdigställ informationsförvaltningsplan Färdigställ den påbörjade informationsförvaltningsplanen med all relevant information utifrån slutlig lösning för hantering av information. Påbörja flytt av information/driftsättning av IT-stöd Ingen information får flyttas till eller skapas inom ett IT-stöd som levereras som molntjänst förrän ovanstående aktiviteter är slutförda. Är inte aktiviteterna slutförda finns det en risk att ni bryter mot lagar och regler för hur information och personuppgifter får hanteras inom er verksamhet. Aktiviteter efter driftsättning Genom ovanstående aktiviteter bedömer ni och säkrar att leverantör uppfyller era krav innan driftsättning sker, men det är lika viktigt att över tid även säkerställa att leverantören uppfyller era krav enligt avtal. Revision av leverantör Det är starkt rekommenderat att genomföra eller beställa en revision av leverantörens hantering av information enligt gällande avtal. Detta innebär ofta att en extern part besöker leverantören fysiskt och granskar om de lever upp till de krav som de åtagit sig att uppfylla. Denna revision är din verksamhets sätt att säkerställa att er information hanteras på ett korrekt sätt. Risker

7 Vad är vanliga risker som uppstår om man inte sköter valet av en molntjänst på rätt sätt? Nedan kan du ta del av dessa vanliga risker och vad som krävs för att förebygga det. Åtkomsten till IT-stödet blir helt beroende av internetanslutning Som stor organisation blir vi ibland utsatta för olika typer av attacker som kan innebära att koncernens internetanslutning går ned eller blir väldigt seg. Detta är naturligtvis något som koncernen jobbar med att förebygga men det är helt omöjligt att skydda sig 100%. Samtliga molntjänster kommer under denna typ av fel vara onåbara eller mycket sega att använda medan interna tjänster är fortsatt tillgängliga. Åtgärd: Gör en aktiv bedömning hur viktigt det är för din verksamhet att informationen finns tillgänglig. Detta sker under arbetet med informationsklassning. Verksamhetsinformation och personuppgifter hamnar i fel händer När man rent praktiskt väljer att lägga ut all sin information till en extern part innebär det att den externa parten hanterar din verksamhets information åt dig. Risken ökar för att information hamnar i fel händer när din verksamhet inte längre har direkt koll på allt från fysisk säkerhet kring lagringen av information och andra typer av skydd som finns kring din information. Åtgärd: Det är av stor vikt att du klassar den information som lagras i aktuellt IT-stöd för att avgöra vilken typ av information som finns. Utifrån nivån på information ska korrekta krav ställas på leverantören och ett avtal för hantering av personuppgifter måste knytas. Inlåsning av information Om verksamheten inte ställer tydliga krav rörande ägarskap och nyttjanderätt av informationen finns risk för inlåsning då informationen hanteras av annan part. Om denna part inte delger informationen vid t ex avslutat avtal uppstår en inlåsning där verksamheten inte har tillgång till sin information. Åtgärd: Var tydlig med kravställning kring ägarskap och nyttjanderätt av all information som hanteras inom molntjänsten. Ställ även tydliga krav på att din verksamhet ska kunna ta del av all information från IT-stödet i ett öppet format.