Fjernaksess mellom virksomhet og leverandør vil normalt innebære en tjenesteutsetting av IKT-funksjoner eller -tjenester, som Normen stiller minimumskrav til, spesifikt i kapittel 5.7.3 og generelt i kapittel 3.2
Følgende tiltak i NSMs grunnprinsipper for IKT-sikkerhet, bør brukes ved tjenesteutsettelse av IKT-funksjoner eller tjenester som bidrar til fjernaksess, som sådan, eller utøvelsen av tjenester forbundet med fjernaksess:
- Ta ansvar for sikkerhet også ved tjenesteutsetting
- Undersøk sikkerheten hos tjenesteleverandør ved tjenesteutsetting
Tiltakene gjelder bl.a. bestillerkompetanse, som er avgjørende for tilstrekkelig informasjonssikkerhet og personvern, og kan brukes for å oppfylle Normens krav til oppfølging av leverandøren. Når tiltakene utføres, bør virksomheten se til at aktivitetene tar innover seg Normens spesifikke krav om tjenesteutsetting18 og skytjenester.
