5.7.3: Tjenesteutsetting

Ved tjenesteutsetting (utkontraktering) av IKT-funksjoner eller andre funksjoner av betydning for informasjonssikkerhet eller personvern skal avtalen som minimum omfatte følgende punkter knyttet til informasjonssikkerhet og personvern:

• dokumentert risikovurdering som viser at den tjenesteutsettende virksomhetens akseptkriterier samt Normens sikkerhetsnivå er etablert. Ved tjenesteutsetting av IKT-tjenester til andre land bør forhold ved vertslandet vurderes fordi de kan påvirke risikovurderingen.
• hvilke oppgaver av sikkerhetsmessig betydning som er omfattet, og ansvarsforholdene for disse
• beskrivelse av leverandørens løsning og grensesnitt mot virksomheten i form av konfigurasjonskart

Avtalen skal sikre at virksomheten også gis rett til å revidere leverandørens aktiviteter som er knyttet til avtalen. Revisjonene kan gjennomføres av en avtalt tredjepart.

Virksomheten skal sørge for å ha en god plan for ivaretakelse av informasjonssikkerhet og personvern ved avslutning av tjenesteleveransen. Ved terminering av kontrakten skal det foreligge en signert erklæring fra leverandøren om at alle data tilhørende virksomheten er tilbakelevert eller slettet til avtalt tid.