Styringssystem for informasjonssikkerhet

^{Formål med kravene: Sikre at leverandøren har et eget styringssystem}

1.1

Leverandør skal ha et egnet styringssystem for informasjonssikkerhet. Styringssystemet skal dekke alle enheter og prosesser som inngår i leveransen.

Kravet skal sikre at leverandør har et helhetlig og aktivt forhold til informasjonssikkerhet. Styringssystemet vil diktere at leverandør involverer ledelsen, gjennomfører risikovurderinger og implementerer sikkerhetstiltak.

ISO 27001

DBA bilag C.2.2

Ja

Quality Management

For spesifisering av krav (C.2.2) se besvarelse i 1.2

100

1.2

Leverandør skal etablere og forvalte tilstrekkelige sikkerhetstiltak for å ivareta informasjonssikkerheten for behandlingen av informasjonen i tjenesten.

Sikkerhetstiltak skal redusere risikoen knyttet til informasjonsbehandlingen i kommunen. Eksempler på veiledende sikkerhetstiltak finnes i ISO 27002.

ISO 27001, ISO 27002

DBA 7.1 

• Tjenesten er designet og implementert med bransjens allment aksepterte beste sikkerhetspraksis og "privacy-by-design" -prinsippet.

• Minimum informasjon om brukerne av tjenesten

• Tilgang til brukerinformasjon er begrenset av brukerrettigheter.

• Tilgang til systemet er begrenset til spesifiserte personer som administreres av kunden

• Alle systemforespørsler er autentisert

• All trafikk mellom tjenesten og brukeren er kryptert

• Alle systemforespørsler lagres i logger

• I tilfelle brukerendringer er kunden ansvarlig for å opprettholde riktige brukerdata

Sikkerhetsadministrasjon:

• I samsvar med nasjonale lover for databehandling.

• Styres av sikkerhetsorganisasjonen og de ulike produkt teamene. Kontrolleres av avtaler om databehandling, policy for datasikkerhet og interne rutiner

• Håndteringsprosesser for hendelser

• Årlige sikkerhetstester som utføres av 3.part

 Infrastruktur sikkerhet:

• 2 sone infrastruktur med sikkerhetsbarrierer mellom hver sone.

• Sikre tilgjengelighet gjennom lastbalansering

Øvrige sikkerhetsfunksjoner er listet i DBA’en Bilag C.2.2.

101

1.3

Leverandør skal løpende gjennomføre risikovurderinger. Risikovurderingene skal fremvises på forespørsel.

Risikovurderinger er nødvendig for å kunne vurdere risikobildet og iverksette nødvendige sikkerhetstiltak.

ISO 27001

DBA 7.2 

Ja

Risk Assessment

102

Organisering av informasjonssikkerhet

^{Formål med kravene: sikre at leverandøren har en sikkerhetsorganisasjon med tydelige roller og ansvar.}

2.1

Leverandør skal dokumentere sin sikkerhetsorganisasjon. Dokumentasjonen skal inkludere oversikt over personell med tilhørende rollebeskrivelser og ansvar.

Kravet skal sikre at leverandør har tildelt ansvar for informasjonssikkerhet til spesifikke ansatte. Disse ansatte vil typisk utgjøre kontaktpunktene mot kommunen.

ISO 27002 6.1

Ja

ISMS - Roles and responsibilities

111

Personellsikkerhet

_{Formål med kravene: sikre at leverandørens ansatte har tilstrekkelig informasjonssikkerhetskompetanse til å forvalte kommunens informasjon.}

3.1

Leverandør skal ha en dokumentert prosess for opplæring/kompetanseheving i informasjonssikkerhet og personvern for sine ansatte.

Kravet skal sikre at leverandøren har et regime for å styrke kompetansen for egne ansatte.

ISO 27002 7.2

Ja

ISMS - Roles and responsibilities Se ansvarsområder til CISO og ISM.

Se også Training for gjennomførte aktiviteter

112

3.2

Leverandør skal dokumentere at de ansatte som er involvert i leveranse av tjenesten har tilstrekkelig kompetanse i informasjonssikkerhet og personvern.

Kravet skal sikre at ansatte som er involvert i leveransen har tilstrekkelig kompetanse.

ISO 27002 7.2

Ja

Sikkerhets org. er involvert i utviklingen og leveransene. Opplæringsprotokollen utleveres på forespørsel.

112

Informasjonsforvaltning

_{Formål med kravene: sikre at leverandøren tar eierskap til informasjon og informasjonssystemene, herunder kommunens informasjon}

4.1

Leverandøren skal ha oversikt over utstyr og systemer som er involvert i leveransen til kommunen.

Kravet skal sikre at leverandør har oversikt og kontroll på sitt utstyr, så for eksempel en bærbar maskin med kommunens opplysninger ikke kommer på avveie.

ISO 27002 8.1

Ja

Ingen av kommunens opplysninger ligger på de ansatte sitt utstyr, men hos våre underleverandører. Vi har en prosedyre mht. behandling av kunden data.

Se også Quality Management | Description of the quality system (quality policy)

113

4.2

Leverandøren skal ha en dokumentert policy for akseptabel bruk av utstyr og informasjonssystemer.

Kravet skal bidra til å regulere hva de ansatte kan bruke sitt utstyr til.

ISO 27002 8.1

Ja

ISMS - IT Guidelines

114

4.3

Avhending/sletting av medier, herunder backupmedier, skal skje på en tilstrekkelig sikker måte.

Kravet skal sikre at flyttbare medier og backupmedier slettes før de avhendiges.

ISO 27002 8.3

Ja

Backup medier gjenbrukes/overskrives. Backup medier flyttes ikke eller avhendiges.

115

Tilgangskontroll

_{Formål med kravene: begrense tilgang til informasjon og informasjonssystemer.}

5.1

Leverandør skal ha en dokumentert prosess for tilgangsstyring, herunder oppretting, endring og sletting av brukere. Bruk av privilegerte kontoer skal begrenses.

Kravet skal sikre at leverandør har god kontroll på tilgangsstyringen sin.

ISO 27002 9.1

Ja

116

5.2

Løsningen skal ha rollebasert tilgangsstyring.

Kravet går ut på at tjenesten skal skille mellom forskjellige roller. Noen kan for eksempel være administratorer, mens andre vanlige brukere. Roller bidrar til å redusere risiko ved å begrense hva de ulike rollene kan gjøre i tjenesten.

ISO 27002 9.2

Ja

Tilgang til kundenes systemer er rollebasert og ansatte skal ha de tilganger de trenger for å utføre sine oppgavene. Bruken av privilegerte kontoer er begrenset.

116

5.3

Alle registrerte brukere i tjenesten skal være unike og personlige.

I de fleste løsninger er det viktig at vi vet hvem som har gjort hva. Fellesbrukere bør derfor unngås. Dersom tjenesten inneholder personopplysninger, så er det også et krav om at den registrerte skal kunne få vite hvem som har sett på vedkommendes opplysninger.

ISO 27002 9.2

Ja

116

5.4

Dersom tjenesten tilbyr autentisering over usikrede nett, så skal sterk autentisering støttes og aktiveres.

Kravet er spesielt viktig dersom tjenesten skal gjøres tilgjengelig over Internett. Datatilsynet er for eksempel tydelig på at dersom et skolesystem med mange elever er tilgjengelig over Internett, så skal systemet sikres med sterk autentisering. Tofaktorautentisering er eksempel på sterk autentisering.

ISO 27002 9.4

• Feide (kommunen kan selv slå på 2-faktor)

• Native (2-faktor må aktiveres av den enkelte bruker)

• BankID (Stafettloggen) og Conexus Elevate

117

Kryptografi

_{Formål med kravene: sikre at leverandøren bruker kryptografi for å beskytte informasjon}

6.1

Leverandør skal ha en dokumentert prosess for bruk av kryptografiske kontroller, og håndtering av kryptografiske nøkler.

Kryptering er et viktig teknisk sikringstiltak. Kravet sikrer at leverandøren har et godt regime rundt sine krypteringsløsninger.

ISO 27002 10.1

Ja

Personvern i den pålitelige skyen | Microsoft Azure

“For inaktive data blir alle data som skrives til Azure-lagringsplattformen, kryptert med 256-biters AES-kryptering, og de samsvarer med FIPS 140-2.”

“Azure Key Vault bidrar til at krypteringsnøklene er riktig sikret.”

118

6.2

Leverandør skal kunne implementere kryptografiske tiltak (for eksempel kryptering av databasen) der risikovurderinger konkluderer med at det er nødvendig.

Leverandør skal kunne til å implementere kryptering der kommunen anser det som aktuelt.

Stafettloggen er kryptert

118

Fysisk og miljømessig sikkerhet

_{Formål med kravene: begrense fysisk tilgang til lokaler, servermiljø og informasjonssystemer.}

7.1

Leverandør skal ha tilstrekkelig fysisk sikring knyttet til sine datarom, som adgangskontroll, brannsikring, ventilasjon og redundant strømforsyning. Dokumentasjon skal legges frem på forespørsel.

Kravet skal ivareta sikring av lokaler hvor kommunens data befinner seg. Tilgang til datarom skal kun gis de som har et tjenstlig behov. Kravet dekker også andre elementer, som brannslukkingsapparat, alarm og nødstrøm.

ISO 27002 11.1

Ja

119

Driftssikkerhet

_{Formål med kravene: sikre at leverandøren har korrekt og sikker drift av sine informasjonssystemer.}

8.1

Leverandør skal ha en dokumentert prosess for endringshåndtering, som sikrer at kommunen blir varslet ved eventuelle endringer og/eller vedlikehold av løsning som krever nedetid.

Kravet skal sikre at leverandør har en god endringsprosess som sikrer at endringer i tjenesten ikke medfører nedetid, bortfall av data eller endring av data. I tillegg stilles det krav om at kommunen skal varsles ved endringer, slik at brukerne ved når endringer skjer og dermed kan planlegge for at tjenesten er utilgjengelig.

ISO 27002 12.1

Ja

120

8.2

Leverandør skal en dokumentert prosess for testing av endringer i tjenesten, samt overføring av endringer fra testmiljø til produksjonsmiljø.

Kravet skal sikre at leverandør kvalitetssikrer endringer i tjenesten, og at det skal gjøres ved å bruke testmiljø og produksjonsmiljø.

ISO 27002 12.1

Ja

121

8.3

Leverandørens testmiljø skal være atskilt fra produksjonsmiljøet. Testmiljøet skal ikke benytte kommunens produksjonsdata.

Eget testmiljø er viktig for å sikre et godt testregime hos leverandøren, og at endringer i test ikke påvirker produksjon.

ISO 27002 12.1

Ja

121

8.4

Leverandør skal separere kommunens data fra andre kunders data, fysisk eller logisk.

Kravet skal sikre at kommunens data skal være tilstrekkelig atskilt fra annen data, og dermed at kommunens data ikke «lekker» over til andre kunder, eller omvendt.

ISO 27002 12.1

Dataene er logisk adskilt. Tilgang til data styres via tilgangsgrupper og plassering i hierarkiet.

Stafettloggen: I tillegg er hver kommune adskilt via egen krypteringsnøkkel

122

8.5

Leverandør skal ha en dokumentert prosess for kapasitetsstyring, som sikrer tilgjengelighet på tjenesten ved varierende behov.

Kravet skal sikre at leverandør har tilstrekkelig kapasitet i sin tjeneste til å håndtere perioder med høy belastning. Dette ble aktualisert ifbm koronasituasjonen, hvor tjenester ble tilnærmet utilgjengelig på grunn av økt bruk (for eksempel VPN-løsninger). God kapasitetsstyring er derfor viktig for å kunne garantere tilstrekkelig kapasitet, selv i perioder med høy belastning.

ISO 27002 12.1

Ja

Gjennomfører jevnlige stresstester, kontinuerlig overvåkning av løsningen. Innebygde regler for lastbalansering.

123

8.6

Tjenesten skal være hensiktsmessig sikret mot ondsinnet kode og datainnbrudd.

Kravet er et generelt krav om at leverandør skal ha gode sikkerhetstiltak på plass.

ISO 27002 12.2

Ja

Se punkt 1.2 og sikkerhetsinnstillinger spesifisert i DBA’en.

124

8.7

Leverandør skal ha en dokumentert prosess for sikkerhetskopiering.

Kravet skal sikre at leverandør tar sikkerhetskopier av kommunens data. Kommunen bør definere hvor mye tid som kan gå tapt dersom behov for gjenoppretting må gjennomføres, da det er viktig for å sette opp riktige tidsintervaller for sikkerhetskopiering.

ISO 27002 12.3

Ja

125

8.8

Leverandør skal jevnlig verifisere innhold i sikkerhetskopier og teste gjenoppretting av data for å verifisere kvaliteten på sikkerhetskopiene.

Kravet skal sikre at leverandøren klarer å gjenopprette sikkerhetskopier dersom nødvendig.

ISO 27002 12.3

Ja

126

8.9

Leverandør skal oppbevare sikkerhetskopier fysisk eller logisk atskilt fra produksjonsmiljøet.

Det har vært flere tilfeller hvor angrep på kommunens servermiljø også har omfattet sikkerhetskopier, for eksempel i Østre Toten i 2020. Ved å definere sperrer mellom produksjonsmiljø og sikkerhetskopiene øker sannsynligheten for gjenoppretting.

ISO 27002 ??.?

Ja

127

8.10

Leverandør skal etablere og ha ansvaret for overvåking av tjenesten, dataoverføringer og grensesnitt. Avvik skal rapporteres til kommunen.

Kravet skal sikre at leverandør har et overvåkningsregime på plass.

ISO 27002 12.4

Ja

Crayon for overvåkning.

Conexus sitt produkt team for integrasjoner.

Leverandøren har en prosess for hendelseshåndtering.

128

8.11

Leverandør skal sikre en forsvarlig og systematisk overvåking av hele leveranseprosessen av tjenesten.

Kravet skal sikre at leverandør overvåker alle elementer som inngår i leveransen av tjenesten.

ISO 27002 12.4

Crayon, Microsoft Azure

129

8.12

Leverandør skal logge alle forsøk på autorisert og uautorisert tilgang til tjenesten, samt relevante sikkerhetshendelser som er tilknyttet løsningen.

Kravet skal sikre at leverandør oppdater forsøk på ulovlig bruk av tjenesten (for eksempel passordgjetting), samt gi god sporbarhet hvis leverandøren får en sikkerhetshendelse. Gode logger er viktig i forbindelse med styring av informasjonssikkerhetsbrudd.

ISO 27002 12.4

Tjenesten er satt opp med bla:

• Innebygde beskyttelsesmekanismer for kjente angrep mot parametermanipulering

• Innebygd beskyttelse mot automatiske maskinangrep (f.eks. Captcha)

• Hendelseslogg for identifisering av unormal atferd. (f.eks. angrep)

Se også Security Incident and Problem Management

130

8.13

Leverandør skal sikre følgende logging ved aksess av data i tjenesten: 1) hvem som aksesserte, 2) når data ble aksessert, 3) hvilke data som ble aksessert, og 4) ved endring skal alle data/felter som ble endret logges.

Kravet er spesielt viktig ved behandling av personopplysninger. Formålet er å ha god sporbarhet på hvem som har gjort hva, og når det har skjedd. Kravet henger sammen med kravet om personlige brukerkontoer.

ISO 27002 12.4

Ja

131

8.14

Leverandør skal sikre at logger beskyttes mot uautorisert innsyn, endring og sletting.

Logger kan være viktig bevismateriale som må sikres.

ISO 27002 12.4

Ja

132

8.15

Leverandør skal ha en dokumentert prosess for sikkerhetsoppdateringer som dekker alle komponenter i tjenesten.

Kravet skal sikre at leverandør gjennomfører kontinuerlige sikkerhetsoppdateringer (patcher) av sine systemer og tjenester.

ISO 27002 12.5

Ja

133

8.16

Leverandør skal sørge for jevnlig sikkerhetstesting av tjenesten. Dokumentasjon av test med tiltak skal kunne fremlegges på forespørsel.   

Kravet skal sikre at leverandør gjennomfører sikkerhetstester eller penetrasjonstester av sitt miljø og sine tjenester. Slik testing er viktig for å avdekke om det finnes sårbarheter som må tettes.

ISO 27002 ??.?

Ja

134

8.17

Datautstyr som er i kontakt med kommunens informasjon skal være tilstrekkelig sikret.

Manglende sikkerhet på utstyret til leverandørens ansatte kan resultere i at trusselaktører får innpass i utstyret og dermed kommunens data.

ISO 27002 ??.?

• Crayon og Microsoft (Azure) er bla. ISO sertifisert.

• Alle har personlig bruker.

• IP begrensinger (kontoret i Drammen)og VPN for tilgang til kundens løsninger.

135

Kommunikasjonssikkerhet

_{Formål med kravene: sikre at leverandøren har god kommunikasjonssikkerhet.}

9.1

Leverandør skal ha utarbeidet konfigurasjonskart som viser sikkerhetskontroller og teknisk beskrivelse av informasjonssystemene, inkludert dataflyt.

Kravet skal sørge for at kommunen får oversikt over hvordan kommunens data flyter i tjenesten. Kommunen er blant annet pålagt å gjøre en egen risikovurdering og i mange tilfeller også en personvernkonsekvensvurdering (DPIA). Et slikt konfigurasjonskart vil være nødvendig for å forstå hvordan tjenesten er designet/bygget opp, og vil dermed være et nyttig underlag for risikovurderingene.

ISO 27002 13.1

Ja

136

9.2

Alle grensesnitt for nettjenester (web, APIer, endepunkter) skal være sikret mot uautorisert tilgang.

Kravet skal sikre at leverandør implementerer sikkerhetstiltak for alle grensesnitt som eksponerer kommunens data. APIene har for eksempel ved flere tilfeller vært dårlige sikret enn selve websiden.

ISO 27002 13.1

Ja

137

9.3

All datakommunikasjon over usikre nettverk (for eksempel Internett) skal være kryptert i henhold til beste praksis. Trafikk i klartekst skal ikke forekomme.

Kravet skal sikre at overføring av kommunens data alltid skjer gjennom krypterte nettverk. Det reduserer risikoen for at en trusselaktør klarer å fange opp trafikk og dermed få tilgang til for eksempel personopplysninger. Det kan for eksempel gjøres gjennom falske trådløse nettverk.

ISO 27002 13.2

Ja, se også punkt 6.1.

Det er opp til kunden å sikre sine nettverk.

138

9.4

Alle som behandler kommunens produksjonsdata, skal ha signert taushetserklæring.

Kravet skal sikre den juridiske forpliktelsen som følger av at leverandørens ansatte behandler kommunens data.

ISO 27002 13.2

Ja

Dette er en del av ansettelse og on-boarding prosess.

139

Anskaffelse, utvikling og vedlikehold av systemer

_{Formål med kravene: sikre at leverandør ivaretar informasjonssikkerhet i systemenes livsløp}

10.1

Tjenesten skal være utviklet etter sikker utviklingsmetodikk.

Kravet skal sikre at leverandør har hatt fokus på informasjonssikkerhet gjennom hele utviklingsløpet.

ISO 27002 14.2

Ja

140

Leverandørforhold

_{Formål med kravene: sikre at underleverandører har kontroll på informasjonssikkerheten}

11.1

Leverandør skal beskrive hvilke underleverandører som brukes, og hvilke roller og oppgaver de har i forbindelse med leveranse av tjenesten.

Kravet skal sikre at kommunen har kontroll på hvem som er involvert i behandlingen av kommunens data. Det er også viktig i forbindelse med behandling av personopplysninger, da kommunen må sikre et gyldig overføringsgrunnlag til land utenfor EØS-området.

ISO 27002 15.1

Se DBA Bilag B.2 Godkjente Underdatabehandlere.

141

Styring av informasjonssikkerhetsbrudd

_{Formål med kravene: sikre at leverandøren håndterer eventuelle informasjonssikkerhetsbrudd.}

12.1

Leverandør skal ha en dokumentert prosess for hendelseshåndtering, inklusive registrering, kategorisering og rapportering av hendelser. Prosessen skal ha en klar beskrivelse av hva som skal utløse rapportering til kommunen.

Kravet skal sikre at leverandør er i stand til å håndtere eventuelle sikkerhetsbrudd, og at kommunen blir informert.

ISO 27002 16.1

Ja

Security Incident and Problem Management

142

12.2

Leverandør skal ha et fungerende avvikssystem. Systemet skal fange opp og håndtere informasjonssikkerhetsavvik.

Kravet skal sikre at leverandøren har et regime for innmelding og håndtering av avvik. Avvik kan resultere i sikkerhetsbrudd.

ISO 27002 ??.?

Ja

143

Virksomhetskontinuitet

_{Formål med kravene: sikre at leverandøren har robuste og redundante tjenester.}

13.1

Leverandør skal ha tilstrekkelig beredskaps- og kontinuitetsplaner for å sikre tilgjengelig på tjenesten i henhold til SLA.

Kravet skal sikre at leverandør er i stand til å levere tjenesten ved uforutsette hendelser som strømbrudd, flom eller andre hendelser. Beredskaps- og kontinuitetsplaner er viktige for at leverandøren skal kunne oppfylle sine forpliktelser i SLA-avtalen.

ISO 27002 17.1

Ja

Contingency (beredskap)

Strømbrudd etc sikres gjennom Microsoft Azure

144

13.2

Tjenesten skal være beskyttet mot tjenestenektangrep.

Kravet er aktuelt dersom leverandør tilbyr tjenesten i sitt miljø (skytjeneste). Kravet skal sikre tilgang dersom trusselaktører gjennomfører tjenestenektingsangrep (ddos) mot leverandørens nettverk. Det er imidlertid sjelden mulig å gi fullverdig beskyttelse mot slike angrep.

ISO 27002 17.2

Ja

145

Samsvar

_{Formål med kravene: sikre at leverandøren leverer innenfor lovverket og sine kontraktsforpliktelser.}

14.1

Leverandør skal sikre at alle leveranser til kommunen skjer i henhold til norske lover og regler.

Kravet er et generelt krav om at leverandør skal følge norske lover og regler.

ISO 27002 18.1

Ja

146

14.2

Leverandør skal minimum en gang i året foreta en uavhengig gjennomgang av informasjonssikkerheten. Gjennomgangen skal sikre samsvar med policyer og standarder, samt teknisk samsvar.

Kravet skal sikre at leverandør får en tredjepart til å «se seg i kortene». En tredjepart kan være en innleid konsulent.

ISO 27002 18.2

Ja

Leverandøren har prosedyre for egenvurdering. Disse kjøres minst en gang i året eller ved større endringer i tjenesten.

Tredjepart kjører årlige penetrasjonstester for å verifisere sikkerheten i infrastrukturen.

147

14.3

Kommunen skal kunne gjennomføre revisjon av leverandøren eller dens underleverandør, enten selv eller gjennom tredjepart.

Kravet skal åpne for at kommunen kan iverksette revisjon av leverandøren.

ISO 27002 18.2

DBA 1.5 og Bilag C.5

Ja

148

Skytjenester

_{Formål med kravene: sikre regulering av leverandør som tilbyr tjenester i skyen (SaaS).}

1

Leverandør skal ha en etablert prosess for å identifisere, vurdere og prioritere trusselbildet. Det bør også arbeides aktivt for å begrense sårbarheter.

Kravet skal sikre at leverandør skal gjennomføre trussel- og sårbarhetsvurderinger.

R1

ISO 27001

Ja

Risk Assessment

2

Leverandør skal yte bistand dersom kommunen ønsker å avslutte avtalen. Leverandør skal legge til rette for at kommunens data blir overført til kommunen eller til tredjepart utpekt av kommunen.

Kravet skal sikre at kommunen ikke havner i en lock-in situasjon, ved at de ikke får ut informasjonen som er lagt inn i tjenesten i et hensiktsmessig format.

R2

Kundens data kan etter avtale eksporteres til CSV format.

3

Data som overføres over nettverk skal sikres. Dette gjelder både data som overføres til og fra tjenesten, internt i tjenesten og data som utveksles med andre tjenester.

Kravet skal sikre mot endring og avlytting av data under overføring.

R3

ISO 27002 13

Ja

4

Leverandør skal forhindre uautorisert tilgang til sitt datasenter, samt beskytte mot tyveri, skade, tap og at utstyr svikter for å sikre kontinuerlig drift.

Kravet skal sikre den fysiske adgangen i leverandørens datasenter.

R4

ISO 27002 11

Ja

Kundens data ligger på Microsoft sitt datasenter. Ingen ansatte hos Leverandøren har fysisk tilgang her.

5

Det skal defineres, velges, dimensjoneres og implementeres passende kryptografiske mekanismer av en tilstrekkelig nøkkeladministrasjonsinfrastruktur for å sikre sikker drift av tjenestene. Dette gjelder data i ro så vel som datastrømmer.

Kravet skal sikre lagret informasjon ved hjelp av kryptografi.

R5

ISO 27002 10

Ja

6

Leverandør skal skille kommunens tjenester og data fra andre kunder.

Kravet skal sikre separasjon mellom kundene.

R6

ISO 27002 12

Ja

7

Leverandør skal dokumentere hvordan data slettes, og hvordan slettede data ikke kommer på avveie eller kan gjenskapes.

Kravet skal sikre at leverandør sletter kommunes data, for eksempel i forbindelse med opphør av avtalen.

R7

ISO 27002 8

Ja

Kundens data slettes via tekniske sletterutiner.

8

Tjenesten skal være tilgjengelig for kommunen når kommunen har behov for det. Leverandør skal garantere oppetid og dokumentere historisk oppetid/tilgjengelighet.

Kravet skal sikre at tjenesten er tilgjengelig ved behov.

R8

ISO 27002 17

Se kjøpskontrakt SSA-L Bilag 4 om SLA

“Forventet brukstid: Alle dager kl. 0 – 24, med unntak av vedlikeholdsvindu. 

Garantert bruks- / driftstid: Mandag - fredag kl. 7 – 17”

9

Leverandør skal ha en prosess for å håndtere endringer for å sikre at endringer som kan påvirke sikkerheten identifiseres og håndteres, og at uautoriserte endringer kan oppdages.

Kravet skal sikre at leverandør har en prosess for endringshåndtering.

R9

ISO 27002 12

Ja

10

Alle handlinger som utføres av leverandøren skal logges. Loggen skal ikke kunne manipuleres. Kommunen skal ha tilgang til loggene etter behov.

Kommunen har rett til å revidere leverandørens virksomhet knyttet til behandling av kundens data, eller å få innsyn i revisjonsrapporter fra en uavhengig tredjepart med revisjonsrett.

Kravet skal sikre sporbarhet i tjenesten.

R10

ISO 27002 12

Ja

11

Løsningen å ha tilstrekkelig isolasjonsstyrke og robusthet i tilgangskontroll.

Kravet skal sikre god tilgangskontroll og autentisering.

R11

ISO 27002 9

Ja

12

Leverandør skal ha en tilstrekkelig sikkerhetsovervåking av tjenesten og rutiner for varsling av hendelser. Leverandør skal på forespørsel gi kunden tilgang til revisjonsrapporter for vurdering av sikkerhetsovervåkingen, vurdering av tilgangsstyringen til systemer og komponenter for leverandørens egne administratorer og hvilke prosedyrer og rutiner de har for varsling.

Sikkerhetslogger skal overføres til kommunen på forespørsel.

Kravet skal sikre at leverandør har en god prosess for håndtering av eventuelle sikkerhetsbrudd, herunder varsling til kommunen.

R12

ISO 27002 12

ISO 27002 16

Vi kan ikke gi sikkerhetslogger til kommunen, men gi innsyn sammen med Leverandøren i forbindelse med konkete forespørsler.