Ny cloudvejledning for offentlige myndigheder
Ny vejledning hjælper myndigheder med at beslutte, hvornår cloudservices er en god idé. Vejledningen gennemgår de forretningsmæssige, juridiske og sikkerhedsmæssige overvejelser, som myndigheder bør gøre sig ved anvendelsen af cloudservices.
29. november, 2019 - Kl. 13.35
[Oprindeligt publiceret af Center for Cybersikkerhed]
Hvilke overvejelser bør en myndighed gøre sig i forbindelse med anskaffelsen af en cloudservice? Det adresserer den nye cloudvejledning. Anvendelsen af cloudservices kan i mange situationer være attraktiv for danske myndigheder til udvikling og drift af it-løsninger Men anvendelse af cloudservices forudsætter, at myndighederne foretager en række forretningsmæssige, juridiske og informationssikkerhedsmæssige afklaringer forud for anvendelsen.
Derfor udgiver Digitaliseringsstyrelsen og Center for Cybersikkerhed en vejledning om anvendelse af cloudteknologier i offentlige myndigheder, som kan guide myndigheder i at kunne anvende denne teknologi. Vejledningen har til formål at understøtte en beslutningsproces om, hvornår cloudservices kan anvendes, således at offentlige myndigheder ikke oplever usikkerhed som en selvstændig barriere for brugen af cloudservices.
Direktør for Digitaliseringsstyrelsen Rikke Zeberg udtaler:
”Vi håber på, at der med vejledningen nu kan komme større klarhed om rammerne for brugen af cloud. Med en offentlig sektor, der er så digitaliseret som den danske, skal vi have adgang til de rigtige værktøjer til hele tiden at forbedre vores systemer. Det gælder både i forhold til sikkerhed og i forhold til at kunne udvikle brugervenlige og effektive løsninger. Kun på den måde kan vi give borgere og virksomheder den service, de forventer.”
Vejledning til anvendelse af cloudservices
Hvad er cloudservices, og hvilke overvejelser bør myndigheder gøre sig?
Cloudservices kan bidrage til hurtigere it-udvikling, mere effektiv skalering, og et højt sikkerhedsniveau. Cloud bygger nemlig på fleksibel deling af ressourcer, hvor du kun betaler for det, du bruger. Det kan udnyttes, hvis man oplever udsving i belastningen af ens systemer. Derudover drives cloud ofte i meget stor skala, der giver mulighed for at etablere samlede sikkerhedsløsninger på leverandørernes datacentre.
Vejledningen gennemgår, hvad cloud er og hvad de mest udbredte service- og leverancemodeller indebærer. Efter at have etableret en forståelse af hvad cloud er, og hvorfor det kan være en god ide at anvende teknologien, kaster vejledningen lys over de centrale juridiske spørgsmål og hvordan man kan forholde sig til informationssikkerhed, når man rykker sin applikation til skyen.
Myndighedernes risikovurdering er et centralt værktøj
Anvendelse af cloudservices beror på myndighedens egen risikovurdering af løsningen over for den konkrete anvendelse. Derfor ruster vejledningen myndighederne til at tage højde for de muligheder og ansvarsområder, der kommer med cloudanvendelse, og til at kunne identificere, hvornår en cloudløsning er den rigtige løsning.
Chef for Center for Cybersikkerhed Thomas Lund-Sørensen udtaler:
”Det er vigtigt, at myndigheder forholder sig til de sikkerhedsmæssige konsekvenser ved brugen af cloudservices. Der skal aftales det passende sikkerhedsniveau i forhold til anvendelsen, og der skal holdes øje med, at sikkerhedsniveauet opretholdes i hele kontraktens løbetid, herunder ved ændringer i både ens egen brug af og leverandørens leverance af de pågældende cloudydelser. Cloud kan ofte indebære bedre muligheder for god sikkerhed, men det er myndighedens opgave at sikre, at dette mål opnås.”
Hvilke overvejelser bør en myndighed gøre sig i forbindelse med anskaffelsen af en cloudservice? Det adresserer den nye cloudvejledning. Anvendelsen af cloudservices kan i mange situationer være attraktiv for danske myndigheder til udvikling og drift af it-løsninger Men anvendelse af cloudservices forudsætter, at myndighederne foretager en række forretningsmæssige, juridiske og informationssikkerhedsmæssige afklaringer forud for anvendelsen.
Derfor udgiver Digitaliseringsstyrelsen og Center for Cybersikkerhed en vejledning om anvendelse af cloudteknologier i offentlige myndigheder, som kan guide myndigheder i at kunne anvende denne teknologi. Vejledningen har til formål at understøtte en beslutningsproces om, hvornår cloudservices kan anvendes, således at offentlige myndigheder ikke oplever usikkerhed som en selvstændig barriere for brugen af cloudservices.
Direktør for Digitaliseringsstyrelsen Rikke Zeberg udtaler:
”Vi håber på, at der med vejledningen nu kan komme større klarhed om rammerne for brugen af cloud. Med en offentlig sektor, der er så digitaliseret som den danske, skal vi have adgang til de rigtige værktøjer til hele tiden at forbedre vores systemer. Det gælder både i forhold til sikkerhed og i forhold til at kunne udvikle brugervenlige og effektive løsninger. Kun på den måde kan vi give borgere og virksomheder den service, de forventer.”
Vejledning til anvendelse af cloudservices
Hvad er cloudservices, og hvilke overvejelser bør myndigheder gøre sig?
Cloudservices kan bidrage til hurtigere it-udvikling, mere effektiv skalering, og et højt sikkerhedsniveau. Cloud bygger nemlig på fleksibel deling af ressourcer, hvor du kun betaler for det, du bruger. Det kan udnyttes, hvis man oplever udsving i belastningen af ens systemer. Derudover drives cloud ofte i meget stor skala, der giver mulighed for at etablere samlede sikkerhedsløsninger på leverandørernes datacentre.
Vejledningen gennemgår, hvad cloud er og hvad de mest udbredte service- og leverancemodeller indebærer. Efter at have etableret en forståelse af hvad cloud er, og hvorfor det kan være en god ide at anvende teknologien, kaster vejledningen lys over de centrale juridiske spørgsmål og hvordan man kan forholde sig til informationssikkerhed, når man rykker sin applikation til skyen.
Myndighedernes risikovurdering er et centralt værktøj
Anvendelse af cloudservices beror på myndighedens egen risikovurdering af løsningen over for den konkrete anvendelse. Derfor ruster vejledningen myndighederne til at tage højde for de muligheder og ansvarsområder, der kommer med cloudanvendelse, og til at kunne identificere, hvornår en cloudløsning er den rigtige løsning.
Chef for Center for Cybersikkerhed Thomas Lund-Sørensen udtaler:
”Det er vigtigt, at myndigheder forholder sig til de sikkerhedsmæssige konsekvenser ved brugen af cloudservices. Der skal aftales det passende sikkerhedsniveau i forhold til anvendelsen, og der skal holdes øje med, at sikkerhedsniveauet opretholdes i hele kontraktens løbetid, herunder ved ændringer i både ens egen brug af og leverandørens leverance af de pågældende cloudydelser. Cloud kan ofte indebære bedre muligheder for god sikkerhed, men det er myndighedens opgave at sikre, at dette mål opnås.”