Informasjonssikkerhet

Ingress: 
Dersom det er meningen at skytjenesten skal behandle personopplysninger, er universitetet eller høyskolen pålagt å gjennomføre en risikovurdering av informasjonssikkerheten i tjenesten før den tas i bruk. Det samme vil gjelde dersom skytjenesten benyttes i forbindelse med saksbehandling eller til elektronisk kommunikasjon.
Brødtekst: 

I risikovurderingen skal institusjonen finne ut om det er forsvarlig å ta skytjenesten i bruk: hvor høy er risikoen for at opplysninger tilhørende institusjonen utsettes for uautorisert tilgang, endring, skade, tap eller utilgjengelighet?

Sikringstiltak

Dersom risikovurderingen viser at det ikke uten videre er forsvarlig å ta skytjenesten i bruk – risikoen for uautorisert tilgang, endring, skade, tap eller utilgjengelighet er uakseptabel høy – kan det være aktuelt å be leverandøren om å iverksette ekstra sikringstiltak. Muligheten for etablering av slike tiltak kan variere avhengig av hvilken type skytjeneste det er snakk om.

Når det gjelder applikasjons- og programvaretjenester (Software as a Service), tilbyr leverandører vanligvis standard sikkerhet som institusjonen må godta som den er. Alternativet er å la være å bruke skytjenesten. Når det gjelder infrastrukturtjenester (Infrastructure as a Service), vil institusjonen ofte kunne etablere selvvalgte sikringstiltak dersom risikovurderingen skulle konkludere med at det er nødvendig.

Før risikovurderingen gjennomføres, bør institusjonen undersøke muligheten for etablering av ekstra sikringstiltak.   

Lovlig bruk

Hvis risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten er tilfredsstillende slik den er, vil det være lovlig å ta tjenesten i bruk.

Hvis risikovurderingen konkluderer med at informasjonssikkerheten i skytjenesten er tvilsom eller for dårlig, og det ikke lar seg gjøre å etablere ekstra sikringstiltak, vil det ikke være lovlig å anvende tjenesten.