DFØ ved Markedsplassen for skytjenester (MPS) har utarbeidet krav til informasjonssikkerhet i skyavtaler i form av en referansearkitektur med grunnleggende krav til sikkerhet (publiseres her som et utkast i versjon 0.9). Kravene er ment å være en støtte innen krav til sikkerhet i arbeidet med anskaffelser av skytjenester for offentlige virksomheter og er basert på MPS anskaffelser/skyavtaler. Virksomhetene må selv vurdere hvilke krav som er relevante og eventuelt stille egne tilleggskrav ut over sikkerhetskravene i rammeverket. MPS jobber fortløpende med å videreutvikle referansearkitekturen basert på innspill fra offentlig sektor og leverandører, og versjon 1.0 vil publiseres i løpet av 2024.
Dette er en norsk veiledning til MPS "Cloud Security Reference Architecture - information security requirements v0.9". Referansearkitekturen i original (PDF, engelsk) kan lastes ned her:
Forord
Etter hvert som offentlig sektor tar i bruk skytjenester som en nøkkelkomponent i digital transformasjon representerer informasjonssikkerhet og personvern kritiske risikoområder. Cybersikkerhet blir fremhevet som en strategisk risiko av nasjonale sikkerhetsmyndigheter, med fokus på statlige trusselaktører og avanserte cyberkriminelle organisasjoner som retter seg mot sårbarheter i digitale tjenester og infrastruktur.
Dette dokumentet presenterer informasjonssikkerhetskravene som er utviklet av Markedsplassen for skytjenester (MPS) «Cloud Security Reference Architecture» og er utdypet med norske kommentarer som veiledning til kravene, heretter beskrevet som «veiledningen». Hovedformålet er å styrke informasjonssikkerhet og personvern i norsk offentlig sektor, ved å tilgjengeliggjøre en samling av standardiserte sikkerhetskrav som gir offentlig sektor en mulighet til å verifisere sikkerheten til skytjenester ("sikkerhet av skyen/security of the cloud"), og legge til rette for sikker bruk av skytjenester ("sikkerhet i skyen/security in the cloud").
Vi benytter terminologien «Cloud Security Reference Architecture", eller "referansearkitektur” konseptuelt for å beskrive overordnede prinsipper, metoder og krav til informasjonssikkerhet og databeskyttelse som er utviklet av MPS til anskaffelse og forvaltning av skytjenester. Dokumentet representerer et nøkkelkomponent av referansearkitekturen – krav til informasjonssikkerhet.
Informasjonssikkerhetskravene i dokumentet er basert på internasjonale og nasjonale lover, standarder og rammeverk, samt eksempler på skyavtaler. Det er utviklet i samarbeid med offentlige virksomheter, skyleverandører og relevante myndigheter, og det er testet i anskaffelsesprosesser for rammeavtaler av MPS.
Dokumentet er videre ment å brukes for anskaffelser og forvaltning av skytjenester i offentlig sektor, både av offentlig sektor (”kunder”) og skytjenesteleverandører (”leverandører”). Det er viktig å merke seg at kravene som er beskrevet er ment som en referanse, og at ikke alle krav gjelder i alle tilfeller. Brukerne bør gjennomgå og velge de relevante delene av dokumentet, samt legge til ytterligere krav ved behov.
Dokumentet vil kontinuerlig oppdateres basert på tilbakemeldinger fra brukerne, med nye tillegg. Den første nye revisjonen v1.0 er planlagt i løpet av 2024, med tilførselen av relevante krav til personvern. I tillegg vil dokumentet oppdateres med elementer som mapping til lovverk, standarder og rammeverk (for eksempel CSA-CCM og ISO 27001) samt svarskjema for leverandører.
Vi håper dette vil være til nytte!
Introduksjon
Formål og målgruppe
Dette dokumentet inneholder den første versjonen av "MPS's Cloud Security Reference Architecture Information Security Requirements for Cloud Contracts", utviklet og publisert av Markedsplass for skytjenester (MPS) ved Direktoratet for forvaltning og IKT (DFØ).
Formålet med dette dokumentet er å styrke informasjonssikkerhet og databeskyttelse i den norske offentlige sektroen gjennom å gjøre tilgjengelig en sett med standardiserte sikkerhetskrav. Dette skal gjøre det mulig for den offentlige sektoren å sette krav og verifisere sikkerheten til skytjenester («sikkerhet av skyen»), men også lykkes med å håndtere risikoer ved adopsjon av skyen («sikkerhet i skyen»).
Vi bruker som nevnt begrepet "Cloud Security Reference Architecture" som et konsept for å beskrive de overordnede prinsippene, metodene og kravene for informasjonssikkerhet og databeskyttelse utviklet for skytjenester av MPS. "Cloud Security Reference Architecture" vil bli utviklet over tid, og er ment å inkludere krav til informasjonssikkerhet og databeskyttelse (dette dokumentet), kartlegging til juridiske/regulatoriske krav og sikkerhetsstandarder/rammeverk (som vil bli publisert som en del av versjon 1.0), leverandørinnspill og evalueringsskjemaer (som vil bli publisert som en del av versjon 1.0), samt leverandørens svar på kravene, inkludert leverandørens sikkerhetsarkitektur.
Denne versjonen av dokumentet omhandler kun informasjonssikkerhet. Personvern vil dekkes i en oppdatert versjon av veiledningen og er planlagt publisert i løpet av 2024.
Målgruppen for veiledningen er norsk offentlig sektor, inkludert virksomhetsledelse, IT- og sikkerhetsledere, personvernombud, innkjøpere, kontraktforvaltere og operativt personell, samt leverandører av skytjenester.
Denne veiledningen er skrevet på norsk, men det gjøres oppmerksom på at kravene og vedlagte støttedokumenter er utformet på engelsk. Grunnen til dette er at det globale leverandørmarkedet innen skytjenester benytter engelsk som språk i sin kommunikasjon, og i sine kontrakter. Det er avgjørende i en anskaffelse å sikre at kommunikasjon og dokumentasjon er presis og bidrar til felles forståelse uten for stort rom for feil og mistolkning.
Bruk av MPS referansearkitektur
Referanserammeverket er tenkt benyttet som grunnleggende krav til sikkerhet ved anskaffelse av skytjenester. Virksomheten selv må vurdere andre tilleggskrav basert på den faktiske anskaffelsen og risikoforståelse for eget beskyttelsesbehov.
Leverandører innen markeder for skytjenester opererer oftest med et standardisert nivå for sikkerhet. Referansrammeverket åpner muligheter for bedre sikkerhet gjennom prinsipielle sikkerhetskrav og basiskrav til sikkerhet. Det viktigste formålet med MPS referanserammeverk er å oppnå bedre sikkerhet «i skyen» der skytjenesteleverandøren tar et større ansvar for sikker bruk av skytjenesten.
Det behøver ikke bare dreie seg om endringer i tekniske spesifikasjoner, sikkerhetsnivåer og risiko/ansvar, men omhandler for eksempel også behov for kunnskapsoverføring fra leverandøren om riktig bruk av tjenesten, og muligheter for dialog med tjenesteleverandøren på strategisk og operativt nivå.
Av disse grunnene vil det være nyttig for virksomheten å sørge for at interne ressurser som bidrar i anskaffelsen representerer både strategiske og operasjonelle behov.
Det er viktig å understreke at virksomhetene må gjøre en grundig vurdering av lovmessigheten av hvert enkelt krav i lys av den konkrete anskaffelsen som gjennomføres og en risikobasert tilnærming. Det vil i utgangspunktet ikke være anledning til å stille krav som begrenser konkurransen med mindre dette er saklig begrunnet i virksomhetens behov, f eks oppfyllelse av lovbestemte krav.
Struktur og metodikk
Veiledningen og medfølgende krav er utarbeidet av MPS i perioden 2022 – 24 i dialog med brukere innen statsforvaltning og kommuner, leverandører og fagmyndigheter.
Referansearkitekturen er strukturert i tre nivåer som følger:
A. Prinsipielle krav: Overordnede krav til informasjonssikkerhet og databeskyttelse som skal inkluderes i hovedkontrakten for avtaler om skytjenester.
B. Basiskrav: Et omfattende sett med krav til informasjonssikkerhet som skal inkluderes som et sikkerhetsvedlegg i avtaler om skytjenester.
C. Tilleggskrav: Et sett med valgfrie krav til informasjonssikkerhet som er ment å støtte norsk offentlig sektor med «sikkerhet i skyen», støttet av leverandørens referansearkitektur, spesifikke nasjonale krav og andre sikkerhetsrelaterte tjenester.
Det bør bemerkes at kravene er ment som en referanse, og at ikke alle krav gjelder i alle tilfeller. Brukere av MPS referanserammeverk bør gjennomgå og velge de relevante kravene, samt legge til ytterligere krav etter behov. Denne evalueringen bør inkludere om kravene er obligatoriske krav, evalueringskrav, valgfrie krav eller dokumentasjonskrav. Det er anbefalt følge en risikobasert tilnærming basert på ovennevnte standarder og rammeverk for å avgjøre hvilke krav som er relevante i en gitt anskaffelse.
Følgende nøkkelbegreper brukes i kravene i dokumentet:
- Contract (kontrakt): Avtalen om skytjenester mellom Kunde og Leverandør
- Service (tjeneste): De aktuelle skytjenestene (dvs. IaaS, PaaS og/eller SaaS)
- Customer (kunde): Enheten som kjøper eller bruker skytjenester
- Supplier (leverandør): Skytjenesteleverandøren
Formålet med MPS referansearkitektur
Å styrke arbeidet med informasjonssikkerhet i norsk offentlig forvaltning ved anskaffelser og forvaltning av skytjenester
Prinsipielle krav
De prinsipielle kravene er overordnede krav knyttet til kontrakten der eksempelvis dialogen mellom kunde og leverandør kontraktsfestes, rapportering ved endringer i trusselbildet, overordnet håndtering av sårbarheter, samt krav til å følge best praksis innen datasikkerhet og personvern som beskrevet under basiskravene til sikkerhet. Under de prinsipielle kravene beskrives også kundens rett til å gjennomføre revisjoner for evaluering av leverandøren og den leverte tjenesten, samt overholdelse av regulatoriske krav. Disse kravene er skilt ut som overordnede og prinsipielle og bør i kontrakten holdes adskilt fra funksjonelle og tekniske krav til sikkerhet og personvern.
Basiskrav
Basiskravene er grunnleggende og mer detaljerte krav til informasjonssikkerhet. Disse omhandler blant annet leverandørens systematikk for sikkerhetsstyring, kundens rett til revisjon av tjenesten og spesifikasjoner for hvordan tjenesten kvalitetssikres og testes før nye revisjoner tilgjengeliggjøres.
I basiskravene er det også krav til dokumentasjon for sikkerhetsrelaterte instrukser og rutiner og hvordan leverandøren sikrer at sine underleverandører etterlever de samme høye kravene. Samarbeid og god dialog med leverandøren er ansett som svært viktig og inkluderer i basiskravene også krav til ansvarlig kontaktpunkt på ledernivå.
Andre områder som er tatt inn i basiskravene er hendelses- og sårbarhetsstyring, tilgangskontroll og håndtering av kundedata, endringsstyring og sikkerhet ved design, virksomhetens kontinuitetsplaner ved alvorlige hendelser, samt fysisk og personell sikkerhet. Basiskravene er gjerne et eget bilag i kontrakten.
Tilleggskrav
For å sikre at kundens sikkerhet ivaretas på best mulig måte og i samarbeid med leverandøren, bes leverandøren gjennom tilleggskravene å foreslå en ende til ende sikkerhetsarkitektur basert på egen tjeneste, anerkjente modeller for sikkerhetsarkitektur (som “zero trust” og “defendable architecture”) og NIST Cyber Security Framework v2.0 som bidrar til bedre sikkerhet i kundens bruk av tjenesten. Globale skyleverandører refererer ofte til NIST rammeverket som også danner grunnlaget for MPS sine tilleggskrav innen sikker bruk – eksempelvis konfigurasjon, implementering og vedlikehold. Tilleggskravene inneholder også sikkerhetskrav som kan være relevante ved særskilte anskaffelser i Norge.
Prinsipielle krav
Dette kapitlet inneholder overordnede krav til informasjonssikkerhet og personvern. Kravene er ment å inkluderes i kontrakter for bruk av skytjenester.
| # | Krav (engelsk) | Norsk kommentar |
| A.1 | The Supplier acknowledges that information security is of critical importance to the Norwegian government and Customers under this Agreement. | Ved avtaler som gjøres for norsk offentlig forvaltning er det nødvendig å sikre at leverandøren har grunnleggende forståelse for trusselbildet og de høye krav til sikkerhet som gjelder for offentlig sektor. Dette er viktig for å etablere god tillit til leverandøren. |
| A.2 | The Supplier shall ensure that all security risks are managed in a vigilant manner and take all necessary measures to protect the offered Services from all levels of threats, including, but not limited to, nation state targeted network and intelligence operations. | Det er viktig at leverandøren håndterer sikkerhetsrisikoer raskt og effektivt for å beskytte tjenestene mot ulike trusler. Dette sikrer kontinuerlig drift, beskytter sensitiv informasjon, og reduserer risikoen for angrep som kan kompromittere tjenestene. |
| A.3 | The Supplier (and any person or entity acting on its behalf, including Subcontractors, and any Affiliate) shall; A) comply with all Laws applicable to the Supplier in general, including those concerning security, bribery, corruption, and fraud; B) offer Services that are in accordance with applicable Laws and that will enable the Customers to comply with applicable Laws relevant for the Services, including the Regulation (EU) 2016/679 (GDPR) (where applicable) and the Norwegian Act no 38 of 15 June 2018 relating to the Processing of Personal Data (Personal Data Act); and C) comply with the highest standards of business ethics, i.e., establish and maintain robust processes and controls to ensure ethical compliance for itself and throughout its supply chain. | Leverandøren er ansvarlig for å følge alle relevante lover, inkludert de som omhandler sikkerhet, bestikkelser, korrupsjon og svindel. Videre må leverandøren opprettholde høye etiske standarder, noe som inkluderer å etablere sterke prosesser for å sikre etisk overholdelse både internt og i hele leverandørkjeden. Dette er viktig for å beskytte omdømme, unngå lovbrudd, og sikre tillit fra kundene. |
| A.4 | The Supplier shall comply with international standards and frameworks for information security, such as ISO/IEC 27001:2022, NIST Cyber Security Framework v2.0, or equivalent. The Supplier shall achieve and maintain information security and data protection compliance in accordance with international standards and frameworks, such as ISO/IEC 27001:2022, NIST Cybersecurity Framework, or other substantially equivalent standard(s) for information security management and any updates to such standards. | Det er avgjørende at leverandører overholder internasjonale standarder og rammeverk for informasjonssikkerhet, som ISO/IEC 27001:2022 og NIST Cybersecurity Framework, fordi disse standardene sikrer en systematisk tilnærming til å beskytte sensitiv informasjon. Ved å følge disse standardene kan leverandøren redusere risikoen for sikkerhetsbrudd, opprettholde tilliten hos kunder og partnere, og sikre at virksomheten er i samsvar med gjeldende lover og forskrifter. Videre sikrer dette at leverandøren kontinuerlig forbedrer sine sikkerhetsprosesser for å møte nye trusler og utfordringer. |
| A.5 | The Supplier shall, within 30 (thirty) days after a written request from the Customer, provide reasonable documentation to verify compliance of any security or data protection provisions in the Contract | Det er viktig for kunden å kunne etterspørre skriftlig dokumentasjon uten unødig forsinkelse for å følge opp og verifisere tjenestens samsvar med kravene i avtalen. |
| A.6 | In the event of a serious security incident or significantly increased threat to the information security relating to the Services, the Supplier shall provide an initial notification in writing or by phone directly to the Customer within 24 hours and a report of the incident within 72 hours. The same applies to breaches of personal information. | Det er avgjørende med umiddelbar informasjon til kunden ved alvorlige sikkerhetshendelser eller økt trusselnivå for å kunne reagere raskt og minimere skade. Hurtig rapportering gir mulighet for tidlige tiltak, beskytter sensitive data og opprettholder tillit. Kravet er formulert for å samsvare med NIS2 direktivet. |
| A.7 | The Customer shall, by itself or by use of a third party, have the right to carry out audits of the Supplier in order to: verify that the Supplier is complying with this Agreement; carry out general IT security risk reviews; carry out data security and data protection reviews; or accommodate requests from Norwegian security authorities and for compliance with Laws, hereunder the Norwegian Act no 24 of 1 June 2018 relating to national security (the Security Act). | Kunden må ha mulighet til å gjennomføre revisjoner av leverandøren for å sikre at avtalen følges og at IT-sikkerheten er tilstrekkelig. Revisjoner gjør det mulig å identifisere risikoer, sikre etterlevelse av nasjonale sikkerhetskrav, og svare på forespørsler fra norske myndigheter. Dette er essensielt for å beskytte sensitiv informasjon og sikre at lovpålagte krav oppfylles. |
| A.8 | The Supplier shall appoint a security responsible at an executive level as a counterpart to the Customer, who is responsible for strategic security meeting places, reporting, and follow-up of material risks, incidents, and vulnerabilities. | Det er viktig at leverandøren utpeker en sikkerhetsansvarlig på høyt nok nivå som motpart til kunden, fordi dette sikrer at strategiske sikkerhetsspørsmål får nødvendig oppmerksomhet og håndtering på høyeste nivå i organisasjonen. En slik rolle er avgjørende for effektiv kommunikasjon og samarbeid om sikkerhetsstrategi, rapportering, og oppfølging av vesentlige risikoer, hendelser og sårbarheter. Dette bidrar til en helhetlig og proaktiv tilnærming til sikkerhet, som igjen styrker tilliten mellom leverandøren og kunden, og sikrer bedre håndtering av potensielle trusler. |
Basiskrav
Denne seksjonen inneholder et omfattende sett av krav til informasjonssikkerhet som er ment å inkluderes som et sikkerhetsvedlegg i avtaler om skytjenester.
Det anbefales at kravene gjennomgås i forhold til det aktuelle behovet og justeres deretter, inkludert å legge til nye eller fjerne unødvendige krav.
Merk at det er en tilsiktet redundans mellom noen av hovedkravene (nivå A) og de grunnleggende sikkerhetskravene (nivå B). Dette er for å støtte mer komplekse kontraktsstrukturer, som rammeavtaler, og dette er indikert gjennom kryssreferanser (fotnoter). Ved behov kan dette forenkles ved å fjerne overflødige krav på henholdsvis nivå A eller B.
Security Governance
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.1 | The Supplier shall achieve and maintain information security and data protection compliance in accordance with: a) ISO 27001:2022, NIST Cybersecurity Framework or other substantially equivalent standard(s) for information security management and any updates to such standards; b) cloud specific frameworks, such as ISO 27017, ISO 27018, CCM-CSA, C5 and FedRAMP. | Samsvar med etablerte standarder og rammeverk er viktig for å minimere risiko, bygge tillit, overholde juridiske krav, sikre kontinuerlig forbedring og beskytte økonomiske interesser. Ved å oppfylle disse kravene kan leverandøren sikre robust beskyttelse av konfidensialitet, integritet og tilgjengelighet for virksomhetens data. Leverandøren bør beskrive om, og hvilke, nasjonale og internasjonale standarder de opererer under. Er disse å oppfatte som interne retningslinjer/policy, eller er virksomheten sertifisert og kan fremvise sertifikater og/eller bevis på etterlevelse. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.2 | The Supplier shall establish and maintain an effective information security management system that addresses all information security risks, including both external threats and insider risks. The Services shall comply with requirements set forth in ISO/IEC 27001:2022 or equivalent standards. | Leverandøren bør kunne vise til at man har implementert et helhetlig styringssystem for informasjonssikkerhet (ISMS - Information Security Management System) som kan bekrefte systematisk aktivitet med kontinuerlig forbedring og tiltak for håndtering av informasjonssikkerhet og reduksjon av intern og ekstern risiko i virksomheten. Krav til ISMS er beskrevet i ISO/IEC 27001:2022 eller tilsvarende og omtales ofte som ledelsens styringssystem for informasjonssikkerhet. Ved å håndtere både eksterne og interne trusler systematisk, reduserer leverandøren sannsynligheten for sikkerhetsbrudd som kan ha alvorlige konsekvenser for virksomheten og bidrar samtidig til bedre omdømme og tillit. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.3 | Upon request by the Customer, the Supplier shall provide documentation that verifies independent assurance of the Supplier’s information security management system through ISO/IEC 27001:2022 certifications, SOC2 Type 2 reports, C5, FedRAMP or equivalent evidence. The Supplier shall maintain the assurance at an equivalent or higher level throughout the duration of the Contract. | Uavhengig, dokumentert bekreftelse gir kunden sikkerhet for at leverandøren faktisk oppfyller høye sikkerhetsstandarder, noe som bygger tillit og sikrer at informasjonssikkerhet er ivaretatt på en helhetlig og forsvarlig måte. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.4 | The Supplier shall ensure the security of the Service(s) through regular external and internal security audits and security testing. Upon request by the Customer, the Supplier shall provide specifications of the type of testing performed, including which business processes are in scope for the testing requirements, e.g., change management and release management, and the frequency of such testing. | For å forstå hvordan leverandøren gjennomfører interne og eksterne revisjoner av egen drift og tjeneste, må leverandøren kunne frembringe beskrivelse og spesifikasjoner for hvilke typer tester som utføres, hvordan sikkerhetstesting utføres, involverte forretningsprosesser og hyppighet for slike revisjoner og tester. Med slike tester menes eksempelvis: · Penetrasjonstesting · Sårbarhetsscanning · Konfigurasjonsrevisjoner · CodeReview · Applikasjonssikkerhetstesting · Endringshåndtering · Prosedyrer for utrulling av nye revisjoner · Phishing-simulering · Gjennomgang av sikkerhetsprosedyrer |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.5 | The Supplier shall address any issues identified in a security audit or security testing that are relevant to the Service(s) without undue delay and provide the Customer with a copy of the security audit or testing report upon request. | Som kunde er det viktig å, snarest mulig, få tilgang til relevante funn fra sikkerhetsrevisjoner og tester. Risiko i leverandørkjeden kan påvirke sikkerhet og produksjon i egen virksomhet. Rask identifikasjon og håndtering av leverandørens risiko og sårbarheter er kritisk for å minimere risiko, opprettholde tjenestekvalitet, bygge tillit, sikre juridisk overholdelse og demonstrere proaktiv sikkerhetsstyring. Dette bidrar til en robust og pålitelig sikkerhetspraksis som beskytter både leverandørens og kundens interesser. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.6 | The Supplier shall upon request make available to the Customer security policies and related security documents necessary to demonstrate compliance with the obligations laid down in the Contract. | Som kunde må man ha tilgang til leverandørens policy og andre dokumenter for strategisk og operativ håndtering av sikkerhet for kunder og som kan verifisere samsvar med forpliktelser i avtalen. Å gjøre sikkerhetspolicyer og relaterte dokumenter tilgjengelige for kunden ved forespørsel er avgjørende for å sikre etterlevelse, bygge tillit og tilrettelegge for kundens egne risikovurdering. Dette styrker forholdet mellom leverandør og kunde og understøtter at sikkerheten håndteres på en robust og effektiv måte. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.7 | The Supplier shall ensure that third parties (e.g., vendors, services, subcontractors, and software providers) used in providing the Services to the Customer under this Contract meet the security requirements set out in the Contract. | Med komplekse leverandørkjeder der tjenesten involverer mange forskjellige underleverandører er det svært viktig å sikre at tjenesteleverandøren sikrer at også dens underleverandører overholder de samme strenge sikkerhetskravene som er kontraktsfestet i leveransen. Å sikre at tredjeparter oppfyller sikkerhetskravene i avtalen og kontrakten er avgjørende for å opprettholde helhetlig sikkerhet, redusere risiko, bygge kundens tillit, overholde juridiske krav og fremme kontinuerlig sikkerhetsforbedring. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.8 | The Supplier shall notify the Customer in advance of any planned changes to the ownership or operation of the data centres or infrastructure used to deliver the Services. Such notice shall include the identity of the new third-party owner or operator, if applicable, and any potential impact on the provision of the Services. | Hvis det planlegges endringer i eierstruktur/drift knyttet til datasentre og infrastruktur, for eksempel overføring av virksomheten eller sammenslåing med andre virksomheter, må kunden bli gjort oppmerksom på dette i forkant da dette kan påvirke kundens risiko knyttet til informasjonssikkerhet og/eller personvern. Kunden skal på grunnlag av dette vurdere vesentlige faktorer som for eksempel landrisiko, sanksjoner, sikkerhetsnivå, sikkerhetskultur osv. |
Cooperation regarding information security
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.9 | The Supplier shall appoint an information security responsible under the Contract as a counterpart to the Customer, who is responsible for strategic security meetings, reporting, and management of material risks, incidents, and vulnerabilities. The Customer shall be entitled to escalate any issues to the responsible at executive level. | Som kunde er det viktig å sikre god dialog med leverandøren på flere plan da det vil være behov for strategiske diskusjoner og operativ oppfølging av leveransen. I dette er det svært viktig at risiko, sårbarheter relatert til informasjonssikkerhet blir håndtert på riktig nivå i organisasjonen og at kunden har tilgang til et eskaleringspunkt på et ledernivå i organisasjonen. Å utpeke en ansvarlig for informasjonssikkerhet sikrer klare ansvarsforhold, effektiv håndtering av risiko og hendelser, strategisk styring, rapportering og transparens, samt muligheter for eskalering. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.10 | Both Parties can summon a meeting with 7 (seven) days' written notice. | Kunden vil ha et behov for dialog med leverandøren knyttet til for eksempel vesentlige sikkerhetsrisiko, sikkerhetshendelser og sårbarheter i leverandørkjeden. |
Incident, asset and vulnerability management
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.11 | The Supplier shall establish and maintain processes for security incident management and threat intelligence. This includes to actively detect, identify and respond to threats and security incidents, including those arising from third parties or third-party components in the Service(s). | Når det oppstår uønskede sikkerhets-hendelser skal leverandøren ha på plass prosesser for å aktivt oppdage, identifisere og respondere til trusler og sikkerhetshendelser. Dette kan også være relatert til underleverandører eller til komponenter som benyttes i tjenesten. Etablering og vedlikehold av prosesser for sikkerhetshendelseshåndtering og trusselinformasjon er kritisk for å sikre rask respons på trusler, beskytte mot tredjepartsrisikoer, kontinuerlig forbedre sikkerheten, opprettholde tjenestekvalitet og sikre regulatorisk overholdelse. Dette beskytter både leverandørens og kundens interesser og bidrar til en robust sikkerhetspraksis. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.12 | In the event of a serious security incident or significantly increased threat to the information security relating to the Services, the Supplier shall provide an initial notification in writing or by phone directly to the Customer within 24 hours and a report of the incident within 72 hours. The same applies to breaches of personal information. The report shall include information about the systems, services and information affected, along with an assessment of the impact on the Customer and a remediation plan. | Umiddelbar rapportering fra leverandør ved alvorlige sikkerhetshendelser eller økt trusselnivå er avgjørende for å sikre rask respons og skadebegrensning, opprettholde tillit, støtte informert beslutningstaking, effektivt håndtere og gjenopprette fra hendelser, og sikre regulatorisk overholdelse. Tidskravene i dette kravet er ment å understøtte samsvar med NIS2 direktivet. Rapporter bør være detaljert med informasjon om, og i hvilken grad ulike systemer og data er påvirket, eventuelle konsekvenser for kunden og leverandørens plan for hendelseshåndtering og stabilisering av drift. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.13 | In the event of a serious security incident, the Supplier shall cooperate with relevant vendors of the Customer, such as ICT outsourcing partners, cloud vendors and managed security services providers appointed by the Customer, to ensure the operational information security of the Customer's systems. | Leverandørens samarbeid med kundens relevante leverandører ved en alvorlig sikkerhetshendelse er kritisk for å sikre en helhetlig og effektiv sikkerhetsrespons, rask gjenoppretting, deling av ekspertise, bedre risiko- og trusselforståelse, og for å holde kundens interesser i fokus. Dette bidrar til å beskytte kundens systemer og data på en robust og pålitelig måte. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.14 | The Supplier shall maintain and on request from the Customer provide access to a security log of all incidents concerning Customer Data, including log data and relevant indicators of compromise, for Customer incident analysis and digital forensic purposes. | Å opprettholde og gi tilgang til sikkerhetslogger over hendelser som angår kundedata er kritisk for hendelsesanalyse, dataetterforskning, transparens og tillit, regulatorisk overholdelse, og kontinuerlig forbedring. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.15 | The Supplier shall perform threat intelligence and continuously, or at least daily, update indicators of compromise (IoCs) and malware definitions. | Leverandøren må av flere grunner kunne forsikre virksomheten om at man har kontinuitet i arbeid med trusseletterretning og oppdaterer indikatorer for skadelig programvare: · Proaktiv trusselhåndtering · Reduksjon av sårbarheter · Opprettholdelse av sikkerhetsnivå · Rask respons på angrep · Forbedret beskyttelse av kundedata |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.16 | The Supplier shall, while performing under the Contract, ensure that all software and storage media used in the performance of the Service(s) is free of any malicious software. | Å sikre at all programvare og lagringsmedier brukt i tjenesteleveransen er fri for skadelig programvare er avgjørende for å beskytte kundens data, opprettholde systemintegritet, forebygge sikkerhetsbrudd, bygge kundens tillit og overholde juridiske og regulatoriske krav. Virksomheten må forsikre seg om at leverandøren kan bekrefte at alle media eks. disklagring er sjekket og renset for skadelig programvare. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.17 | The Supplier shall establish and maintain processes for management and control of enterprise and software assets in the Services. This includes keeping updated asset inventories with asset ownership, detecting and managing unauthorized assets, and managing relevant controls. | Leverandøren må ha prosesser for forvaltning og kontroll av virksomhetens eiendeler, inkludert maskinvare og programvare for å sikre at skytjenestene er trygge og pålitelige. Uten disse prosessene kan uautoriserte enheter/programvare skape sikkerhetsrisikoer og svekke tjenestekvaliteten. Ved å holde oversikt over eiendeler og implementere nødvendige kontroller, reduseres risikoen for sikkerhetsbrudd og uautorisert tilgang. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.18 | The Supplier shall establish and maintain processes for managing vulnerabilities in the Services. This includes performing security patching and implementing other compensating measures. | Prosesser og tiltak som leverandøren iverksetter for håndtering av sårbarheter i tjenesten vil være en av de mest kritiske viktige prosessene for sikkerhetshygienen hos leverandøren. Virksomheten må derfor forsikre seg om at sikkerhetspatcher (oppdateringer) installeres samt at andre kompenserende tiltak iverksettes for å redusere risiko, opprettholde systemintegritet, overholde SLA og forebygge angrep. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.19 | The Supplier shall monitor third-party vulnerability notifications and other relevant security vulnerability advisories. | Overvåking av tredjeparts sårbarhetsvarsler er viktig for å identifisere nye trusler tidlig, slik at leverandøren kan iverksette nødvendige tiltak for å beskytte kundens data og sikre tjenestenes integritet. Dette bidrar også til å oppfylle juridiske krav og opprettholde kundens tillit, samtidig som det reduserer risikoen for skade ved potensielle sikkerhetsbrudd. Ved å være proaktiv i håndteringen av sårbarheter, kan leverandøren sikre en høy standard for sikkerhet og pålitelighet i tjenestene sine. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.20 | Each vulnerability identified in the Service(s) shall be assigned a unique Common Vulnerability and Exposures (“CVE”) identifier and a Common Vulnerability Scoring System (“CVSS”) score. The Supplier shall maintain a record of all identified vulnerabilities. | Det er viktig å tildele identifiserte sårbarhet i tjenestene en unik CVE-identifikator og en CVSS-score fordi det gir en standardisert metode for å klassifisere og vurdere alvorlighetsgraden av sårbarheter. Dette gjør det mulig for leverandøren å prioritere tiltak basert på risiko, samt å effektivt kommunisere med kunder og andre interessenter om sikkerhetstrusler. Ved å opprettholde en oversikt over alle identifiserte sårbarheter, sikrer leverandøren en systematisk håndtering av sikkerhetsrisikoer, noe som er avgjørende for å opprettholde sikkerheten og tilliten til tjenestene. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.21 | The Supplier shall notify the Customer without undue delay of any vulnerabilities identified in the Services with a CVSS score of 9.0 to 10.0 (Critical) or 7.0 to 8.9 (High). The notification shall include information about the systems and information affected, along with an assessment of the impact on the Customer, and a remediation plan. The Supplier shall provide necessary support and information to the Customer and take appropriate actions to manage and mitigate risks associated with such vulnerabilities. | Det er viktig at leverandøren varsler kunden uten unødig forsinkelse om sårbarheter i tjenestene med en CVSS-score på 9.0 til 10.0 (Kritisk) eller 7.0 til 8.9 (Høy) fordi disse representerer betydelige sikkerhetsrisikoer som kan ha alvorlige konsekvenser for kundens systemer og data. Rask varsling gjør det mulig for kunden å forstå omfanget av trusselen og iverksette nødvendige egne tiltak. Ved å inkludere informasjon om berørte systemer, en vurdering av påvirkningen, samt en plan for utbedring, gir leverandøren kunden en klar forståelse av situasjonen og hvordan den skal håndteres. Leverandørens støtte er avgjørende for å redusere risikoen og sikre at sårbarheten håndteres effektivt, noe som bidrar til å opprettholde tjenestens sikkerhet og kundens tillit. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.22 | In the event of a serious security incident or vulnerability in the Services, the Supplier shall offer to suspend the Services until the situation has been resolved or the Supplier has remedied the issue to the Customer's satisfaction. The Supplier shall assist the Customer with suspending the Services upon request. | Når en alvorlig sikkerhetshendelse eller sårbarhet oppstår i tjenestene, kan det være avgjørende at leverandøren tilbyr å suspendere tjenestene inntil problemet er løst. Dette tiltaket beskytter kundens data og systemer mot ytterligere risiko og gir en nødvendig pause for å adressere sårbarheten uten at kunden utsettes for unødig fare. Ved å samarbeide med kunden om å suspendere tjenestene, sikrer leverandøren at situasjonen håndteres på en rask og kontrollert måte, noe som bidrar til å minimere skade og opprettholde tillit i en kritisk situasjon. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.23 | The Customer, shall, by itself or by use of a third party, have the right to perform penetration testing of the Services according to agreed routines, to identify and analyse any potential security vulnerabilities and risks. | At kunden, enten selv eller ved bruk av en tredjepart, har rett til å utføre penetrasjonstesting av tjenestene i henhold til avtalte rutiner, er viktig for å sikre at tjenestene oppfyller nødvendige sikkerhetsstandarder.. Penetrasjonstesting gir muligheten til å identifisere og analysere potensielle sikkerhetssårbarheter og risikoer som kan være ukjente for leverandøren. Dette bidrar til å avdekke svakheter som kan utnyttes av ondsinnede aktører, og gir kunden trygghet for at tjenestene er tilstrekkelig beskyttet. Retten til å utføre slike tester er også en måte å verifisere at leverandøren oppfyller sine sikkerhetsforpliktelser under kontrakten, noe som er avgjørende for å opprettholde tillit og sikre at tjenestene er robuste mot trusler. |
Access control and customer data
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.24 | The Supplier shall implement and maintain strict access control policies and procedures to ensure that only identified and authorised personnel have access to the Service(s) and their management system. The policies must, at minimum, address privileged access management, password management, authentication, authorisation, provisioning, and revocation of terminated users, separation of duties, approval workflows, and just-enough and just-in-time administration. | Strenge tilgangskontrollpolicyer og -prosedyrer er essensielle for å beskytte tjenestene og deres administrasjonssystem mot uautorisert tilgang. Ved å sikre at kun identifisert og autorisert personell har tilgang, reduseres risikoen for sikkerhetsbrudd som kan føre til uautorisert endring, eksponering eller ødeleggelse av sensitive data. Overordnede retningslinjer skal dekke kritiske områder som administrasjon av privilegert tilgang, passordhåndtering, autentisering og autorisasjon, og sikre at tilganger blir gitt, gjennomgått, og tilbakekalt på en kontrollert måte. Dette omfatter også viktige prinsipper som separasjon av oppgaver og godkjenningsprosesser, samt prinsipper for tilgang som dekker tjenestelig behov. Slike tiltak bidrar til å minimere sikkerhetsrisikoer ved å sikre at tilgang til sensitive systemer og data kun gis når det er strengt nødvendig og under nøye overvåkede forhold. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.25 | The Supplier shall conduct regular access review to ensure compliance with the established access control policies and procedures. | Regelmessige tilgangsrevisjoner er avgjørende for å sikre at tilgangskontrollpolicyer og -prosedyrer overholdes. Disse revisjonene gir leverandøren mulighet til å identifisere og rette opp potensielle avvik, som for eksempel uautoriserte tilganger eller brukere som ikke lenger bør ha tilgang. Ved å gjennomføre jevnlige revisjoner kan leverandøren sikre at kun autoriserte personer har riktig nivå av tilgang til systemene, noe som reduserer risikoen for sikkerhetsbrudd og opprettholder integriteten til tjenestene. Dette er en kritisk del av å opprettholde en sikker og kontrollert tilgangsstruktur over tid. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.26 | The Supplier shall provide the Customer with flexible and fine-grained mechanisms for identity and access management. This includes facilitating integration with the Customer's existing identity and access management systems, such as user directories. | Å tilby kunden fleksible og detaljerte mekanismer for identitets- og tilgangsstyring er viktig for å sikre at kunden har full kontroll over hvem som har tilgang til tjenestene og på hvilket nivå. Ved å legge til rette for integrasjon med kundens eksisterende identitets- og tilgangsstyringssystemer, som brukerkataloger, kan kunden administrere tilgang på en sømløs og effektiv måte. Dette gir kunden mulighet til å opprettholde konsistente sikkerhetsstandarder på tvers av alle systemer, forenkler administrasjonen av brukere, og sikrer at tilgangene til tjenestene er nøyaktig tilpasset deres behov og sikkerhetskrav. Dette er avgjørende for å minimere sikkerhetsrisikoer og for å opprettholde en trygg og effektiv drift. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.27 | The Supplier shall support relevant standards such as SCIM 2.0 or IETF RFC 7643 for cross-domain identity management. | Støtte for relevante standarder som SCIM 2.0 eller IETF RFC 7643 for identitetsstyring på tvers av domener er viktig fordi det muliggjør effektiv og sikker administrasjon av brukere og tilgang på tvers av ulike systemer og tjenester. Ved å følge disse standardene kan leverandøren sikre interoperabilitet mellom kundens eksisterende identitets- og tilgangsstyringssystemer og de leverte tjenestene. Dette forenkler administrasjonen av brukerkontoer, reduserer risikoen for feilkonfigurasjon, og forbedrer sikkerheten ved å sikre konsistente tilgangskontroller på tvers av hele IT-miljøet. Standardiserte løsninger gir også kunden fleksibilitet til å tilpasse og utvide sine systemer uten å være bundet til proprietære løsninger, noe som er avgjørende for å opprettholde en fremtidsrettet og sikker infrastruktur. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.28 | The Supplier shall ensure that any remote access to the Service(s) is secured with strong encryption and authentication measures in accordance with best industry practices, and that security gateways (enabling security policy enforcement, security monitoring, etc.) are used to control access between the Internet and the Supplier’s Service(s). | Sikring av ekstern tilgang til tjenestene med sterk kryptering og autentisering i samsvar med beste praksis er avgjørende for å beskytte mot uautorisert tilgang og potensielle angrep. Dette sikrer at dataoverføringer over internett er beskyttet mot avlytting og manipulering, og at kun godkjente brukere kan få tilgang til tjenestene. Bruken av sikkerhetsportaler for å kontrollere tilgangen mellom internett og leverandørens tjenester gir et ekstra lag av beskyttelse, ved å håndheve sikkerhetspolicyer og overvåke trafikk for mistenkelig aktivitet. Disse tiltakene er essensielle for å opprettholde integriteten, konfidensialiteten og tilgjengeligheten til tjenestene, og for å beskytte både leverandørens infrastruktur og kundens data mot sikkerhetstrusler. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.29 | The Supplier shall keep all Customer Data logically separate from the data of any third parties in order to eliminate the risk of compromising data and/or unauthorised access to data. Logically separate means the implementation and maintenance of necessary and technical measures to secure data against undesired change or access. Undesired changes or access shall include access by the Supplier's personnel or others who do not need access to the information in their work for Customer. | Det er viktig at leverandøren holder all kundedata logisk atskilt fra data tilhørende tredjeparter for å eliminere risikoen for kompromittering av data eller uautorisert tilgang. Logisk atskillelse innebærer implementering og vedlikehold av nødvendige tekniske tiltak som sikrer dataene mot uønskede endringer (integritet) eller tilgang (konfidensialitet). Dette betyr at kun autorisert personell, som har et legitimt behov i sitt arbeid for kunden, har tilgang til dataene. Ved å sikre denne atskillelsen, beskytter leverandøren kundens data mot potensielle sikkerhetsbrudd, feilaktig håndtering, og reduserer risikoen for at sensitiv informasjon eksponeres eller manipuleres. Dette er avgjørende for å opprettholde kundens tillit, beskytte konfidensialitet, og sikre dataintegritet. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.30 | The Supplier shall ensure protection of Customer Data in transit and at rest, both internally within the Service(s) and for inbound/outbound traffic, including web access, APIs and administrative accesses. | Beskyttelse av kundedata både under transport og når de lagres er avgjørende for å sikre at dataene ikke blir avlyttet, manipulert eller kompromittert, enten de beveger seg internt i tjenestene eller mellom tjenestene og eksterne systemer. Dette gjelder all dataoverføring, inkludert webtilgang, API-kall og administrative tilganger. Sterk kryptering og andre sikkerhetstiltak beskytter data mot uautorisert tilgang og sikrer at informasjonen forblir konfidensiell og intakt, uavhengig av hvor den befinner seg. Ved å opprettholde disse beskyttelsestiltakene, sikrer leverandøren at kundens sensitive informasjon er sikker mot trusler, både innenfor tjenestens infrastruktur og når dataene kommuniseres med eksterne enheter. Dette er essensielt for å ivareta dataintegritet, konfidensialitet, og kundens tillit til tjenesten. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.31 | To achieve this protection, the Supplier shall implement measures such as state of the art encryption in transit, encryption at rest and strong authentication. | For å oppnå nødvendig beskyttelse av kundedata, er det avgjørende at leverandøren implementerer tiltak som moderne kryptering under transport, kryptering ved lagring og sterk autentisering. Disse tiltakene sikrer at konfidensialitet og integritet ivaretas, selv om de blir fanget opp eller forsøkt kompromittert av uautoriserte parter. Kryptering under transport beskytter dataene mens de overføres mellom systemer, mens kryptering ved lagring sikrer at dataene forblir sikre når de ligger på servere. Sterk autentisering garanterer at kun autoriserte brukere får tilgang til dataene. Samlet sett bidrar disse tiltakene til å forhindre datatyveri, uautorisert tilgang og manipulering, og opprettholder dermed integriteten og sikkerheten til kundens informasjon. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.32 | Cryptographic algorithms used by the Supplier as part of the Service should be quantum resistant, in accordance with CNSA 2.0 ("Commercial National Security Algorithm Suite 2.0") or equivalent. | Bruken av kvantemotstandsdyktige kryptografiske algoritmer som en del av tjenesten er viktig for å sikre at kundedata forblir beskyttet i fremtiden, selv i møte med de avanserte truslene som kvantedatamaskiner kan utgjøre. Kvantedatamaskiner har potensial til å knekke mange av dagens kryptografiske algoritmer, noe som kan kompromittere konfidensialiteten og integriteten til data. Ved å implementere kvantemotstandsdyktige algoritmer, i samsvar med standarder som CNSA 2.0, sikrer leverandøren at dataene er beskyttet mot både nåværende og fremtidige trusler. Dette er avgjørende for å opprettholde langsiktig datasikkerhet og for å beskytte sensitive opplysninger mot fremtidig teknologiutvikling som kan true dagens sikkerhetsmekanismer. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.33 | The Supplier shall maintain logs of all access to Customer Data by its own employees and any third parties and shall make such logs available to the Customer upon request. | Å opprettholde logger over all tilgang til kundedata, både av leverandørens egne ansatte og eventuelle tredjeparter, er viktig for å sikre gjennomsiktighet og spore potensielle sikkerhetsbrudd. Disse loggene gir en detaljert oversikt over hvem som har hatt tilgang til dataene, når tilgangen skjedde, og hvilken type tilgang som ble gitt. Ved å gjøre loggene tilgjengelige for kunden på forespørsel, gir leverandøren kunden mulighet til å overvåke og revidere tilgangsmønstre, identifisere uautoriserte eller mistenkelige aktiviteter, og iverksette nødvendige tiltak for å beskytte dataene. Dette bidrar til å opprettholde sikkerheten og styrker kundens tillit til leverandørens håndtering av sensitive opplysninger. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.34 | The Parties shall agree on a retention period for the access logs under the Contract, taking into account applicable Laws and regulations, as well as any recommendations from Norwegian national security and information security authorities. | Det er viktig at partene blir enige om en oppbevaringsperiode for tilgangsloggene under kontrakten fordi dette sikrer at loggene er tilgjengelige i tilstrekkelig lang tid for å oppfylle juridiske og regulatoriske krav, samt eventuelle anbefalinger fra norske nasjonale sikkerhets- og informasjonssikkerhetsmyndigheter. En tilstrekkelig oppbevaringsperiode gjør det mulig å utføre grundige sikkerhetsrevisjoner, etterforske mistenkelige hendelser, og sikre sporbarhet over tid. Samtidig beskytter en avtalt periode både kunden og leverandøren mot å beholde data lenger enn nødvendig, noe som kan redusere risikoen for uautorisert tilgang eller brudd på personvern. Dette balanserer behovet for sikkerhet og samsvar med hensyn til datasikkerhet og personvern. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.35 | The Supplier shall notify the Customer in writing in advance of any planned relocation or transfer of Customer Data, including backups, to a new data center or any other location. | Det er viktig at leverandøren skriftlig varsler kunden på forhånd om planlagte flyttinger eller overføringer av kundedata, inkludert sikkerhetskopier, til et nytt datasenter eller annen lokasjon fordi det gir kunden mulighet til å vurdere sikkerhets- og personverns- implikasjonene av slike endringer. Forhåndsvarsling gir kunden tid til å gjennomgå og sikre at den nye lokasjonen oppfyller nødvendige sikkerhetsstandarder og lovkrav, samt til å gjøre eventuelle tilpasninger eller oppdateringer i sine egne sikkerhetsrutiner. Dette er avgjørende for å opprettholde dataintegritet, beskytte mot potensielle sikkerhetsrisikoer, og sikre at kundens informasjon fortsatt behandles i samsvar med gjeldende lover, forskrifter og kontraktsmessige forpliktelser. |
Change management and security by design
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.36 | The Supplier shall establish and maintain strict procedures for technology change management and deviation handling in the Service(s). | Det er avgjørende at leverandøren etablerer og opprettholder strenge prosedyrer for teknologisk endringsstyring og håndtering av avvik i tjenestene for å sikre at alle endringer blir nøye vurdert, planlagt og implementert uten å kompromittere tjenestens stabilitet eller sikkerhet. Strenge prosedyrer bidrar til å minimere risikoen for at uforutsette konsekvenser oppstår som følge av tekniske endringer, og sikrer at eventuelle avvik håndteres effektivt og i tråd med etablerte retningslinjer. Dette beskytter tjenestens integritet, sikrer kontinuitet, og gir både leverandøren og kunden trygghet for at tjenesten forblir pålitelig og sikker, selv når endringer innføres. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.37 | The Supplier shall provide advance notice to the Customer of any changes to the Service(s) that may negatively impact information security with sufficient time for the Customer to object. | Det er viktig at leverandøren gir forhåndsvarsel til kunden om endringer i tjenestene som kan ha en negativ innvirkning på informasjonssikkerheten, med tilstrekkelig tid for kunden til å komme med innvendinger. Dette gir kunden mulighet til å vurdere hvordan endringen kan påvirke deres sikkerhetsmiljø og ta nødvendige tiltak for å beskytte sine data. Forhåndsvarsel sikrer også at kunden har en aktiv rolle i å opprettholde sikkerheten til tjenestene de benytter, og kan bidra til å forhindre uønskede konsekvenser som kan oppstå som følge av endringer. Dette er avgjørende for å opprettholde tilliten mellom leverandør og kunde, samt for å sikre at tjenestene forblir i samsvar med kundens sikkerhetskrav og -forventninger. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.38 | The Supplier shall implement and adhere to security by design principles in the provision of the Service(s) and ensure that software hardening best practices are implemented with secure configuration set as default. | Å implementere og følge prinsippene for sikkerhet ved design er avgjørende fordi det ivaretar at sikkerhet er en integrert del av tjenestene fra starten av, i stedet for å bli lagt til i ettertid («bolt on Security») som også er kostnadsdrivende. Ved å bygge sikkerhet inn i alle faser av utvikling og leveranse av tjenestene, reduseres risikoen for sårbarheter og sikkerhetsfeil som kan utnyttes av ondsinnede aktører. Sikring av programvaren gjennom beste praksis for "software hardening" og å sette sikker konfigurasjon som standard, betyr at tjenestene er optimalt beskyttet mot trusler med en gang de tas i bruk. Dette er viktig for å minimere risikoen for sikkerhetsbrudd, beskytte sensitiv informasjon, og opprettholde en høy standard for tjenestens sikkerhet og pålitelighet. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.39 | The Supplier shall conduct testing to ensure that the Service(s) maintain a high level of integrity and quality, with no backdoors or known vulnerabilities. | Det er viktig at leverandøren gjennomfører testing for å bidra til at tjenestene opprettholder en høy grad av integritet og kvalitet, uten bakdører eller kjente sårbarheter. Slike tester er essensielle for å identifisere og eliminere potensielle sikkerhetsrisikoer før tjenestene blir tatt i bruk av kunden. Dette bidrar til at tjenestene er pålitelige og sikre, beskytter sensitive data, og forhindrer uautorisert tilgang som kan oppstå gjennom bakdører eller sårbarheter. Testing bidrar også til å opprettholde kundens tillit til tjenesten, sikrer samsvar med sikkerhetsstandarder, og reduserer risikoen for sikkerhetsbrudd som kan skade både kunden og leverandøren. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.40 | The Supplier shall follow relevant industry standards and best practices to ensure security by design, such as CIS, CWE Top 25, OWASP Top 10, and OWASP ASVS ). | Det er viktig at leverandøren følger relevante industristandarder og beste praksis for å sørge for sikkerhet ved design, som CIS, CWE Top 25, OWASP Top 10 og OWASP ASVS, fordi disse rammeverkene gir velprøvde retningslinjer for å bygge sikre systemer. Ved å implementere disse standardene reduseres risikoen for vanlige sikkerhetssårbarheter og trusler, som kan utnyttes av ondsinnede aktører. Disse standardene og beste praksisene hjelper leverandøren med å identifisere og eliminere sikkerhetssvakheter tidlig i utviklingsprosessen, ivaretar at sikkerheten er innebygd i tjenestene fra starten, og opprettholder en høy standard for datasikkerhet. Dette er avgjørende for å beskytte kundens informasjon, oppfylle regulatoriske krav, og sikre at tjenestene er pålitelige og trygge å bruke. |
Business continuity
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.41 | The Supplier shall establish and maintain business continuity and disaster recovery plans that adhere to best industry standards, such as ISO 22313 or equivalent. The plans shall include measures to prevent or mitigate the impact of various types of disasters or disruptions, including but not limited to ransomware attacks, a distributed denial-of-service attack (“DDoS Attacks”), advanced persistent threats (“APT”) attacks, unavailability of external IT resources or other external authentication sources, sabotage, fire, and natural catastrophes. The Supplier shall regularly test and rehearse these plans to ensure their effectiveness in the event of a disaster or disruption. | Det er avgjørende at leverandøren etablerer og vedlikeholder forretningskontinuitets- og katastrofegjenopprettingsplaner i tråd med beste bransjestandarder, som ISO 22313, fordi dette sikrer at tjenestene kan opprettholdes eller raskt gjenopprettes i tilfelle en katastrofe eller alvorlig hendelser. Slike planer skal omfatte tiltak for å forhindre eller redusere virkningen av ulike typer katastrofer, inkludert ransomware-angrep, DDoS-angrep, målrettede angrep (APT), og andre uforutsette hendelser som kan skade tjenestens tilgjengelighet eller integritet. Regelmessig testing og øving er nødvendig for å bekrefte at de vil være effektive når det virkelig gjelder. Dette bidrar til å sikre at kunden opplever minimal nedetid og tap av data i krisesituasjoner, noe som er avgjørende for å opprettholde forretningsdrift, beskytte sensitive data, og opprettholde kundens tillit til leverandørens evne til å håndtere uforutsette hendelser. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.42 | The Supplier shall implement and maintain capacity management measures to ensure stable operations in both normal and disaster recovery situations. | Det er viktig at leverandøren implementerer og vedlikeholder kapasitetshåndteringstiltak for å sikre stabile operasjoner under både normale forhold og i situasjoner som krever katastrofegjenoppretting. Kapasitetshåndtering bidrar til å sikre at tjenestene har tilstrekkelige ressurser tilgjengelige for å håndtere belastninger og unngå overbelastning, noe som er avgjørende for å opprettholde tjenestekvaliteten og tilgjengeligheten. I en katastrofesituasjon er det spesielt viktig at systemene kan skalere opp eller omdirigere ressurser for å sikre kontinuerlig drift og rask gjenoppretting uten tap av ytelse. Dette er nødvendig for å minimere risikoen for nedetid, sikre at tjenestene forblir tilgjengelige og pålitelige, og for å beskytte kundens virksomhet mot potensielle tap forårsaket av driftsforstyrrelser. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.43 | The Supplier shall conduct regular backups, including offline backups, and restore testing to ensure the integrity and availability of its systems. | Regelmessig sikkerhetskopiering, inkludert offline sikkerhetskopier, og gjenopprettingstesting er avgjørende for å sikre integriteten og tilgjengeligheten til leverandørens systemer. Slike sikkerhetskopier beskytter dataene mot tap ved systemfeil, cyberangrep som ransomware, eller andre uforutsette hendelser. Offline sikkerhetskopiering er spesielt viktige fordi de er isolert fra nettverksbaserte angrep, noe som gir et ekstra lag med sikkerhet. Ved å gjennomføre regelmessig testing av gjenopprettingsprosesser kan leverandøren bekrefte at dataene kan gjenopprettes raskt og pålitelig i tilfelle av et datatap. Dette er kritisk for å minimere nedetid, beskytte mot datakorrupsjon, og sikre kontinuitet i tjenestene, noe som igjen opprettholder kundens tillit og forretningsstabilitet. |
Physical and personnel security
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.44 | The Supplier shall implement and maintain appropriate physical security measures for its data centres, cloud infrastructure, operations environments (including remote operations), and any equipment installed on Customer premises, in accordance with relevant international standards and the Supplier's own policies. | Å implementere og opprettholde fysiske sikkerhetstiltak for datasenter, skylagringsinfrastruktur, driftsmiljøer (inkludert fjernoperasjoner), og utstyr installert i kundens lokaler er avgjørende for å beskytte mot uautorisert tilgang, sabotasje, tyveri og andre fysiske trusler. Slike tiltak sikrer at sensitive data og kritisk infrastruktur er beskyttet mot potensielle sikkerhetsbrudd som kan kompromittere tjenestene og kundens informasjon. Ved å følge relevante internasjonale standarder og leverandørens egne sikkerhetspolicyer, sørger leverandøren for at sikkerhetsnivået er tilstrekkelig høyt for å møte de stadig økende truslene mot fysiske lokasjoner. Dette er avgjørende for å sikre kontinuerlig drift, beskytte dataenes integritet, og opprettholde kundens tillit til at deres informasjon og systemer er trygge mot fysiske sikkerhetsrisikoer. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.45 | The Supplier shall conduct annual audits of its physical security measures by an independent, qualified auditor certified to evaluate compliance with applicable standards and policies. | Å gjennomføre årlige revisjoner av fysiske sikkerhetstiltak av en uavhengig, kvalifisert revisor som er sertifisert til å vurdere samsvar med gjeldende standarder og policyer, er viktig for å sikre at sikkerhetstiltakene opprettholder en høy standard og effektivt beskytter mot trusler. Slike revisjoner gir en objektiv vurdering av om sikkerhetsprosedyrene fungerer som de skal og om de overholder både industristandarder og leverandørens egne retningslinjer. Dette bidrar til å identifisere svakheter eller mangler som kan utnyttes, og sikrer at nødvendige forbedringer kan implementeres i tide. Årlige revisjoner er avgjørende for kontinuerlig forbedring av sikkerhetspraksis, for å opprettholde integriteten og tilgjengeligheten av systemene, og for å opprettholde kundens tillit ved å demonstrere en forpliktelse til å opprettholde høye sikkerhetsstandarder. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.46 | The Supplier shall ensure that all personnel involved in the delivery of the Service(s), including personnel of any subcontractors and third parties, have committed themselves to confidentiality, receive appropriate training and maintain necessary expertise on security matters. This shall include training on applicable security rules, regulations and standards, including Customer-specific security rules where applicable. | Det er avgjørende at leverandøren sikrer at alt personell involvert i levering av tjenestene, inkludert ansatte hos underleverandører og tredjeparter, har forpliktet seg til taushetsplikt, mottar riktig opplæring, og opprettholder nødvendig kompetanse innen sikkerhet. Dette er viktig for å beskytte sensitive kundedata og sikre at alle som har tilgang til eller håndterer dataene forstår de relevante sikkerhetsreglene, forskriftene og standardene. Ved å inkludere opplæring i kundespesifikke sikkerhetsregler, der dette er relevant, sikrer leverandøren at personellet er kjent med og kan følge kundens spesifikke krav. Dette bidrar til å minimere risikoen for sikkerhetsbrudd, opprettholde høy sikkerhetsstandard i tjenestene, og bevare kundens tillit til leverandørens evne til å beskytte deres informasjon. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.47 | The Supplier shall establish and maintain procedures for personnel security, including screening and background checks, to ensure that all personnel have the appropriate level of security clearance in accordance with best industry practice and any applicable laws. | Det er viktig at leverandøren etablerer og vedlikeholder prosedyrer for personellsikkerhet, inkludert screening og bakgrunnssjekker, for å sikre at alle ansatte har riktig sikkerhetsklarering i samsvar med beste bransjepraksis og gjeldende lover. Disse prosedyrene bidrar til å redusere risikoen for innsidertrusler ved å sikre at personell som håndterer sensitive data eller har tilgang til kritisk infrastruktur, er pålitelig og har den nødvendige tilliten til å utføre sine oppgaver på en sikker måte. Ved å følge strenge prosesser for sikkerhetsklarering beskytter leverandøren kundens data mot potensielle trusler fra ansatte eller underleverandører med uegnet bakgrunn, og opprettholder en høy standard for informasjonssikkerhet og integritet i tjenestene. Dette er avgjørende for å beskytte både kundens og leverandørens interesser. |
| # | Krav | Norsk kommentar |
|---|---|---|
| B.IS.48 | The Supplier shall perform annual security audits on these procedures, conducted by a third-party auditor, to evaluate compliance with applicable standards and policies. | Det er viktig at leverandøren utfører årlige sikkerhetsrevisjoner av sine prosedyrer, gjennomført av en tredjepartsrevisor, for å evaluere samsvar med gjeldende standarder og policyer. Slike revisjoner gir en objektiv og uavhengig vurdering av om sikkerhetsprosedyrer blir fulgt korrekt og om de effektivt beskytter mot potensielle sikkerhetstrusler. Ved å involvere en tredjepart sikres det at vurderingen er upartisk og grundig, noe som bidrar til å identifisere eventuelle svakheter eller mangler i eksisterende prosedyrer. Dette er avgjørende for kontinuerlig forbedring av sikkerhetspraksis, for å opprettholde høye sikkerhetsstandarder, og for å gi både kunden og leverandøren trygghet for at sikkerheten håndteres på en profesjonell og effektiv måte. |
Tilleggskrav
For effektivt å håndtere cybersikkerhetsrisiko er norsk offentlig sektor ikke bare avhengig av informasjonssikkerheten til leverandørens egen sikkerhet i skyen ("security of the cloud"), men også norske virksomheters bruk av tjenesten, inkludert sikker konfigurasjon, implementering og vedlikehold ("security in the cloud").
Dette kapittelet inneholder et sett med valgfrie krav til informasjonssikkerhet som er ment å støtte norsk offentlig sektor med "sikkerhet i skyen", støttet av leverandørens referansearkitektur, spesifikke nasjonale juridiske og regulatoriske krav, samt andre sikkerhetsrelaterte tjenester.
Kapittelet er en samling av identifiserte valgfrie skykrav og er ikke nødvendigvis ment å brukes i sin helhet. Det anbefales at kun krav som er relevante for det aktuelle behovet inkluderes i anskaffelses- og/eller kontraktsdokumenter.
| # | Krav | Norsk kommentar |
|---|---|---|
| C.1 | The Supplier should enable secure configuration, deployment, and operation of the cloud services in an automated fashion with the purpose of reducing security risks from an end-to-end perspective. If applicable, propose relevant landing zones for the Service in scope. | Å dokumentere leverandørens sikkerhetsarkitektur er viktig fordi det gir en tydelig oversikt over hvordan sikkerheten er designet og implementert i tjenestene. Ved å innrette sikkerhetsarkitekturen med bransjens beste praksis, som "zero trust" og forsvarbar sikkerhetsarkitektur, samt etablerte cybersikkerhetsrammeverk som NIST Cybersecurity Framework v2.0, sikrer leverandøren at sikkerhetstiltakene er robuste, moderne, og i samsvar med internasjonale standarder. Dette bidrar til å beskytte mot cybertrusler, sikrer samsvar med regulatoriske krav, og bygger tillit hos kunder og brukere. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.2 | The Supplier should enable secure configuration, deployment, and operation of the cloud services in an automated fashion with the purpose of reducing security risks from an end-to-end perspective. If applicable, propose relevant landing zones for the Service in scope. | Det er viktig at leverandøren muliggjør sikker konfigurasjon, distribusjon og drift av skytjenester på en automatisert måte for å redusere sikkerhetsrisikoer fra et helhetlig perspektiv. Automatisering bidrar til å eliminere menneskelige feil, sikrer konsistens i sikkerhetsimplementeringer, og gjør det lettere å raskt tilpasse seg nye trusler og sårbarheter. Ved å ta i bruk automatiserte prosesser for sikker drift, kan leverandøren bedre beskytte data og systemer, redusere responstid på sikkerhetshendelser, og sikre en mer pålitelig og sikker skyløsning for kundene. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.3 | The Supplier should provide a security/ compliance/ trust portal or dashboard that provides access to relevant security policies and up-to-date access to Customer security and compliance information. | Dette er viktig fordi en sikkerhets-/overholdelses-/tillitsportal eller et dashboard gir kunder enkel og rask tilgang til relevant informasjon om sikkerhet og samsvar med gjeldende regulatoriske krav. Ved å ha tilgang til oppdaterte sikkerhetspolicyer og sanntidsinformasjon om sikkerhet og samsvar, kan kunder bedre forstå og overvåke monitorere sikkerhetstiltakene som beskytter deres data. Dette øker tilliten mellom leverandøren og kundene, sikrer transparens, og hjelper kundene med å oppfylle sine egne regulatoriske krav og sikkerhetsmål. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.4 | The Supplier should provide a compliance matrix to document compliance to common international legal frameworks and security standards/ frameworks, such as NIS2, GDPR, ISO27001/2, ISO27017, ISO 27018, ISO27701, NIST CSF, HIPAA, , CSA-CCM, FedRamp, and C5. | En samsvarsmatrise gir en klar og strukturert oversikt over hvordan leverandøren oppfyller kravene i internasjonale sikkerhetsrammeverk som ISO27001/2, ISO27017, ISO27701, NIST CSF, HIPAA, CSA, FedRamp og C5. Ved å dokumentere samsvar på denne måten kan leverandøren demonstrere sitt engasjement for å følge globale sikkerhetsstandarder, noe som gir kundene trygghet og tillit. En slik matrise gjør det også enklere for kundene å vurdere og verifisere leverandørens sikkerhetspraksis, samt sikre at lovpålagte og regulatoriske krav blir møtt. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.5 | The Supplier should provide a compliance matrix to document compliance with national security laws/ regulations and security frameworks, such as “sikkerhetsloven”, “lov om digital sikkerhet“, “arkivloven”, “regnskapsloven, “NSM Grunnprinsipper for IKT-sikkerhet”, and “Normen”. | Å dokumentere samsvar med nasjonale sikkerhetsrammeverk som "NSM Grunnprinsipper for IKT-sikkerhet" og "Normen" er avgjørende for å sikre at leverandøren oppfyller norske sikkerhetskrav. Dette gir en nødvendig trygghet til norske kunder, både offentlige og private, om at tjenestene de bruker er i samsvar med lokale regler og forskrifter. En samsvarsmatrise gjør det dessuten enklere for kundene å evaluere leverandørens sikkerhetspraksis, noe som er kritisk for å sikre regulatorisk samsvar og opprettholde robust sikkerhet i henhold til nasjonale standarder. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.6 | The Supplier should enable end-to-end security in multi-cloud and hybrid cloud environments, for example: · Extending security tools/services to other cloud services (SaaS/PaaS/IaaS). · Integrating security tools/services with the security tools/services of other cloud services. | Å sikre ende-til-ende sikkerhet i multi-cloud og hybrid cloud-miljøer er avgjørende fordi det gir en helhetlig beskyttelse på tvers av ulike skyplattformer og tjenester. Når leverandøren utvider sikkerhetsverktøy og tjenester til andre skytjenester (SaaS/PaaS/IaaS) og integrerer dem med sikkerhetsverktøyene til andre skyplattformer, oppnår man en mer sammenhengende og effektiv sikkerhetsstrategi. Dette reduserer risikoen for sårbarheter som kan oppstå ved bruk av forskjellige skyleverandører, og sikrer at sikkerheten opprettholdes uavhengig av hvor dataene eller applikasjonene befinner seg. Det gir også organisasjoner fleksibiliteten til å bruke flere skyplattformer uten å gå på kompromiss med sikkerheten. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.7 | The Supplier should provide encryption services to enable strong encryption of Customer data at rest and in transit with customer-managed / customer-owned cryptographic keys. The Supplier should document it roadmap to ensure that cryptograhic algorithms used in the Service are quantum resistant, Cryptographic algorithms used by the Supplier to solve this requirement should be quantum resistant, in accordance with CNSA 2.0 ("Commercial National Security Algorithm Suite 2.0") or equivalent. Describe how this is solved, including key encryption protocols, key management. | Sterk kryptering av kundedata både i ro og under overføring er essensielt for å beskytte sensitiv informasjon. Ved å tilby krypteringstjenester med kundeadministrerte nøkler, gir leverandøren kundene mulighet til kontroll over sikkerheten. Leverandøren bør dokumentere utviklingsforløpet for å sikre at kryptografiske algoritmer som benyttes i tjenesten er «quantum resistant». Bruk av kvantebestandige algoritmer, i tråd med CNSA 2.0 eller tilsvarende, sikrer fremtidig beskyttelse mot kvantetrusler. En tydelig beskrivelse av hvordan kryptering og nøkkelhåndtering er løst, gir kundene innsikt i sikkerhetsnivået og hjelper dem å sikre at det oppfyller deres krav. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.8 | The Supplier should be able to meet legal and regulatory requirements related to personnel security, as mandated by laws and regulations, including: · National security clearance of personnel · Police certificate of personnel The Supplier should describe how they can support such requirements at the time of implementation or subsequently based on regulatory changes. | Oppfyllelse av juridiske og regulatoriske krav knyttet til personellsikkerhet er avgjørende for å sikre at personell som har tilgang til sensitive data, oppfyller nødvendige sikkerhetsstandarder. Krav som nasjonal sikkerhetsklarering og politiattest bidrar til å redusere risikoen for innsidehendelser og beskytter konfidensiell informasjon. Leverandørens evne til å støtte slike krav, både ved implementering og ved fremtidige regulatoriske endringer, er viktig for å opprettholde samsvar og sikkerhet i henhold til lovgivningen. Dette sikrer også tillit hos kundene og tilrettelegger for at tjenestene kan brukes i strengt regulerte miljøer. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.9 | The Supplier should be able to offer the Services, or a subset of the Services from Norway. This includes using infrastructure and resources within Norway. They should also be able to limit the processing of Customer Data to Norway. This means not transfer of any Customer Data outside Norway, including for support services, except when obligated by law. | Å tilby tjenester fra Norge, inkludert bruk av infrastruktur og ressurser innenfor landets grenser, er viktig for å sikre datasuverenitet og overholdelse av nasjonale lover og forskrifter. Ved å begrense databehandling til Norge og unngå overføring av data utenfor landets grenser, reduseres risikoen for at data blir underlagt fremmede jurisdiksjoner eller utsatt for uønsket tilgang. Dette er særlig kritisk for å beskytte sensitive og konfidensielle opplysninger, og gir norske kunder større kontroll og trygghet over sine data. Det bidrar også til å sikre at tjenestene oppfyller strenge krav til personvern og sikkerhet, og styrker tilliten mellom leverandøren og kundene. Ettersom mange leverandører leverer sine tjenester globalt, vil krav om at tjenesten skal tilbys fra EU/EØS, eller fra Norge, i mange tilfelle begrense konkurransen, og det bør vurderes i hvert enkelt tilfelle om det er nødvendig. Et krav om at tjenesten skal tilbys fra Norge vil i tillegg normalt kreve en særskilt begrunnelse i virksomhetens behov, jf. EØS-avtalen og annen relevant lovgivning. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.10 | The Supplier should be able to offer the Services, or a subset of the Services from EU/EEA. This includes using infrastructure and resources within EU/EEA. The Supplier should also be able to limit the processing of data to EU/EEA. This means no transfer of any data outside EU/EEA, including for support services, except when obligated by law. | Det kan være viktig at leverandøren tilbyr flere tjenester innenfor EU/EØS, inkludert bruk av infrastruktur og ressurser innenfor dette området, for å sikre samsvar med europeiske lover og personvernregler, spesielt GDPR. Ved å begrense databehandlingen til EU/EØS unngår man overføring av data til tredjeland med mindre det er lovpålagt, noe som reduserer risikoen for at data blir utsatt for utenlandske lover og sikkerhetsutfordringer. Dette gir kunder i EU/EØS økt beskyttelse av deres personopplysninger, samt trygghet for at dataene håndteres i samsvar med strenge europeiske standarder for personvern og sikkerhet. Dette styrker også tilliten til leverandøren og sikrer at tjenester oppfyller regulatoriske krav på tvers av EU/EØS. Ettersom mange leverandører leverer sine tjenester globalt, vil krav om at tjenesten skal tilbys fra EU/EØS i mange tilfelle begrense konkurransen, og det bør vurderes i hvert enkelt tilfelle om det er nødvendig og har tilstrekkelig begrunnelse, jf. WTO m.m. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.11 | The Supplier should be able to provide training and awareness services. Describe how the Supplier can provide services and programs for training and awareness to enable a secure cloud adoption for the Customer and for strengthening the security culture in the Customer’s organization. | Å tilby tjenester og programmer for opplæring og bevisstgjøring er viktig fordi det hjelper kunden med å ta i bruk skytjenester på en sikker måte. Sikkerhetsopplæring styrker organisasjonens evne til å identifisere, reagere på og forebygge sikkerhetstrusler, noe som reduserer risikoen for sikkerhetsbrudd. Ved å bygge en sterk sikkerhetskultur internt, blir ansatte bedre rustet til å følge sikkerhetsprosedyrer og beste praksis, noe som sikrer en tryggere og mer robust skymiljø for organisasjonen. Dette bidrar til å beskytte sensitive data og opprettholde tillit både internt og eksternt. |
| # | Krav | Norsk kommentar |
|---|---|---|
| C.12 | The Supplier should be able to provide professional services. Describe how the Supplier can provide implementation services to support a secure cloud implementation in compliance with the proposed security reference architecture. | Leverandøren bes her om å tilby støtte til implementering og forvaltning av tjenesten på en sikker måte. Dette er viktig og utfordrer leverandøren til å levere en sikker tjeneste som i størst mulig grad ivaretar kundens behov ved bruk av skytjenesten («security in the cloud»). |
Referanser
| Abbreviation | Title | Source |
|---|---|---|
| C5 | BSI Cloud Computing Compliance Criteria Catalogue | https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html |
| CIS | CIS Critical Security Controls v8.1 | https://www.cisecurity.org/controls |
| CNSA 2.0 | Commercial National Security Algorithm Suite 2.0 | https://media.defense.gov/2022/Sep/07/2003071836/-1/-1/0/CSI_CNSA_2.0_FAQ_.PDF |
| CSA-CCM | Cloud Security Alliance Cloud Controls Matrix Version 4 | https://cloudsecurityalliance.org/research/cloud-controls-matrix |
| CVE | Common Vulnerabilities and Exposures | https://www.cve.org/ |
| CVSS | Common Vulnerability Scoring System (CVSS) v4.0 | https://www.first.org/cvss/ |
| CWE Top 25 | CWE Top 25 Most Dangerous Software Weaknesses | https://cwe.mitre.org/top25/ |
| FedRamp | US Federal Risk and Authorization Management Program | https://www.fedramp.gov/ |
| GAPP | Generally accepted privacy principles (2009). See PMF – Privacy Management Framework for updated version. | https://us.aicpa.org/interestareas/informationtechnology/privacy-management-framework |
| GDPR | General Data Protection Regulation | https://eur-lex.europa.eu/eli/reg/2016/679/oj |
| HIPAA | Health Insurance Portability and Accountability Act | https://www.hhs.gov/hipaa/index.html |
| IETF RFC 7643 | IETF RFC 7643 System for Cross-domain Identity Management: Core Schema | https://datatracker.ietf.org/doc/html/rfc7643 |
| ISO 22123 | ISO/IEC 22123-1:2023 Information Technology – Cloud Computing | https://www.iso.org/standard/82758.html[SB1] |
| ISO 22313 | ISO 22313:2020Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301 | https://www.iso.org/standard/75107.html |
| ISO 27001 | ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements | https://www.iso.org/standard/27001 |
| ISO 27002 | ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls | https://www.iso.org/standard/75652.html |
| ISO 27017 | ISO/IEC 27017:2015Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services | https://www.iso.org/standard/43757.html |
| ISO 27018 | ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors | https://www.iso.org/standard/76559.html |
| ISO 27701 | ISO/IEC 27701:2019Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines | https://www.iso.org/standard/71670.html |
| NSM Grunnprinsipper | NSM Grunnprinsipper for IKT-sikkerhet 2.1 | https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet/ta-i-bruk-grunnprinsippene/ |
| NIST CSF 2.0 | NIST Cyber Security Framework 2.0 | https://www.nist.gov/cyberframework |
| NIS2 | Network & Information Security Directive | https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX%3A32022L2555 |
| Normen | Normen – Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren versjon 6.0 | https://www.ehelse.no/normen/normen-for-informasjonssikkerhet-og-personvern-i-helse-og-omsorgssektoren |
| OWASP Top 10 | Open Worldwide Application Security Project Top 10 Web Application Security Risks | https://owasp.org/www-project-top-ten/ |
| OWASP ASVS | Open Worldwide Application Security Project Application Security Verification Standard (ASVS) | https://owasp.org/www-project-application-security-verification-standard/ |
| PMF | Privacy Management Framework | https://us.aicpa.org/interestareas/informationtechnology/privacy-management-framework |
| Sabsa | Sabsa Enterprise Security Architecture | https://sabsa.org/ |
| SCIM 2 | System for Cross-domain Identity Management 2.0 | https://scim.cloud/ |
| SOC2 Type 2 | American Institute of Certified Public Accountants (AICPA) SOC 2 Type II Report | https://www.aicpa-cima.com/resources/landing/system-and-organization-controls-soc-suite-of-services |