Det bør som minimum undersøkes om leverandøren:
- a) har et etablert styringssystem for informasjonssikkerhet og eventuelt sertifisering i henhold til internasjonale standarder, for eksempel ISO/IEC 27001:2017.
- b) gir innsyn i sikkerhetsarkitekturen som benyttes for å levere tjenesten.
- c) har utviklingsplaner for fremtidig sikkerhetsfunksjonalitet i tjenestene i tråd med utvikling i teknologi og trusselbildet over tid.
- d) har en oversikt over hvem som skal ha innsyn i virksomhetens informasjon, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder.
- e) har sikkerhetsfunksjonalitet som tilfredsstiller virksomhetens behov.
- f) har sikkerhetsovervåkning for å avdekke sikkerhetshendelser som kan påvirke virksomheten. g) har rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering.
- h) har krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
- i) har godkjenningsprosedyrer for bruk av underleverandører og deres bruk av underleverandører.
- j) har spesifisert hvilke aktiviteter som skal utføres ved terminering av kontrakten, blant annet tilbakeføring/flytting/sletting av virksomhetens informasjon.
Les mer i NSMs temarapport om tjenesteutsetting