-
a) Ha oversikt og kontroll på hele livsløpet til tjenesten(e) som skal settes ut.
-
b) Ivareta behovet for bestillerkompetanse (f.eks. forvaltning-, administrasjon- og IT-arkitekturkompetanse) gjennom hele livsløpet til tjenesteutsettingen.
-
c) Gjennomfør gode risikovurderinger som inkluderer IKT og hensyntar hele livsløpet.
-
d) Utarbeid et kravdokument for alle faser av tjenesteutsettingen hvor krav kan verifiseres.
-
e) Avtaler om tjenesteutsetting av IKT-tjenester og endringer i slike avtaler skal behandles i henhold til virksomhetens fullmaktsstruktur. Se Bruk av tjenesteutsetting og skytjenester og Temarapport om tjenesteutsetting.
Det understrekes at virksomhetens ansvar for sikkerheten ikke forsvinner selv om man tjenesteutsetter. Virksomheten har et ansvar uavhengig av hvem som utfører de forskjellige oppgavene.