VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Relevanta dokument
Att säkerställa informationssäkerhet vid upphandling

VÄGLEDNING INFORMATIONSKLASSNING

1. Säkerhetsskydd 2. Säkerhetsskyddad upphandling 3. Nya säkerhetsskyddslagen

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

I n fo r m a ti o n ssä k e r h e t

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Informationssäkerhetspolicy för Ystads kommun F 17:01

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetspolicy inom Stockholms läns landsting

Bilaga 3 Säkerhet Dnr: /

Säkerhetsskydd en översikt. Thomas Palfelt

Kravställning på e-arkiv från informationssäkerhetsperspektiv

Informationsklassning och systemsäkerhetsanalys en guide

Informationssäkerhetspolicy för Ånge kommun

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Angående Justitiedepartementets remiss SOU 2015:25,

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Välkommen till enkäten!

Utredningen om genomförande av NIS-direktivet

1(6) Informationssäkerhetspolicy. Styrdokument

Administrativ säkerhet

Informationssäkerhetspolicy

Säkerhet i fokus. Säkerhet i fokus

Juridik och informationssäkerhet

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Informationssäkerhetspolicy KS/2018:260

Riktlinjer. Informationssäkerhetsklassning

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Scandinavian Risk Solutions Creating Value by Protecting Assets

Informationssäkerhetspolicy

Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet. (Ju 2017/07544/L4)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Information om dataskyddsförordningen

Informationssäkerhet och offentlig upphandling

Informationssäkerhet, Linköpings kommun

Justitiedepartementet Stockholm

Metod för klassning av IT-system och E-tjänster

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Personuppgiftsbiträdesavtal

Patrik Fältström Teknik- och Säkerhetsskyddschef

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Säkerhetsskyddsavtal

Programmet för säkerhet i industriella informations- och styrsystem

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Svensk författningssamling

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Policy för informations- säkerhet och personuppgiftshantering

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Ledningssystem för Informationssäkerhet

Hantering av behörigheter och roller

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Riktlinjer informationssäkerhetsklassning

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Stockholm den 9 november 2017 R-2017/1875. Till Utrikesdepartementet UD2017/15958/HI

Riktlinjer för informationssäkerhet

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Ledningssystem för Informationssäkerhet

HEMLIG. Förfrågan om information gällande marknadens utbud av molnbaserade rekryteringssystem 1 (6)

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys

Informationssäkerhetspolicy IT (0:0:0)

Verksamhetsplan Informationssäkerhet

Säkerhetsskyddsplan för Piteå kommun

Svar på revisionsskrivelse informationssäkerhet

Dnr

Effektgruppen AB ( ) med adress Trafikgatan 52, Sundsvall/ Sverige bedriver verksamhet i huvudsak Sverige och inom EU/EES.

Vägledning informationssäkerhet i upphandling. Informationssäkerhet i upphandling av system, outsourcing och molntjänster

Policy och strategi för informationssäkerhet

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

GDPR och molnet. Konferens SUNET Inkubator den 16 maj 2017

UTKAST. Riktlinjer vid val av molntjänst

Myndigheten för samhällsskydd och beredskap

Koncernkontoret Enheten för säkerhet och intern miljöledning

Säkerhetsskyddsavtal

Riktlinjer för digital arkivering. Riktlinjerna gäller för hela den kommunala förvaltningen och kommunala bolag.

Policy för säkerhetsskydd

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Upphandla informationssäkert en vägledning

Säkerhetsskyddade upphandlingar

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Svensk författningssamling

Transkript:

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Sid 2 (7) Innehåll 1. Att upphandla på ett säkert... 3 2. Identifiera krav... 4 3. Samråd vid säkerhetsskyddad upphandling... 6

Sid 3 (7) 1. Att upphandla på ett säkert Denna vägledning bygger på Myndigheten för samhällsskydd och beredskap (MSB) vägledning Upphandla informationssäkert - MSB1177 - november 2018. I en upphandling av IT-relaterade tjänster måste utgångspunkten vara att identifiera vilken funktion Umeå universitet vill ha, det vill säga en insikt om att upphandlingen inte automatiskt innebär att köpa ett visst system eller en viss tjänst. Det innebär också att den funktion som behovsanalysen pekar på noggrant måste definieras. Däremot bör funktionen inte beskrivas i tekniska detaljer eftersom det kan leda till att bra lösningar som vi inte känner till utesluts ur upphandlingen. Detta resonemang gäller i hög grad också då kraven på informationssäkerhet ska formuleras. Kraven på informationssäkerhet ska vara mycket tydliga gällande vilken nivå av säkerhet som ska levereras men behöver inte gå in på exakt hur detta ska uppnås av leverantören. Oavsett vad som ska upphandlas finns det ett antal aktiviteter som bör genomföras. Omfattningen av aktiviteterna styrs av omfattningen på upphandlingen; är det ett mindre, alternativt mindre känsligt, system eller tjänst som ska upphandlas kan aktiviteterna genomföras på ett enklare. Bild 1 beskriver en generisk upphandling i processform där aktiviteter där informationssäkerhetsaspekter och lagkrav särskilt måste beaktas är markerade. Bild 1. Generisk process (MSB1177 - november 2018) För att kunna genomföra en upphandling av IT-tjänster finns stöd att få inför själva upphandlingen utöver er egen verksamhetskompetens och universitetets upphandlingskompetens för att identifiera krav och behov: Säkerhetskompetens för att bedöma risker och kunna ställa rätt säkerhetskrav utifrån genomför klassning av aktuell informationshantering och riskanalys

Sid 4 (7) IT-kompetens för att göra bedömningen hur tjänsterna ska kunna integreras på lämpligt i befintlig infrastruktur Juridisk kompetens för att fastställa de rättsliga förutningarna och kraven och se till att dessa uppfylls Arkiv- och informationshanteringsinriktad kompetens för att kunna beskriva krav på gallring och arkivering utifrån den dokumenthanteringsplan som finns på Umeå universitet och som i sin tur bygger på Riksarkivets föreskrifter. Det är viktigt att betona att ovan nämnda kompetenser behövs redan på ett tidigt stadium i processen. Bland annat kraven på informationssäkerhet och de legala kraven kan påverka de grundläggande förutningarna för upphandlingen. Under arbetet med kravställning ska därför ITS rådfrågas angående tekniska krav och jurister rådfrågas beträffande legala krav. 2. Identifiera krav För att fastställa säkerhetskraven inför en upphandling bör inventering göras av vilka informationstillgångar det upphandlade IT-systemet eller IT-tjänst kommer att hantera. Informationstillgångarna klassificeras sedan enligt universitetets modell för informationsklassning. Klassningen ligger till för att precisera den säkerhetsprofil som aktuell upphandling ska uppfylla och för att kunna avgöra vilka krav som kan uteslutas. I universitetets modell för informationsklassning finns en referenstabell med ett antal inom universitetet förekommande informationstyper och dess säkerhetsprofil som kan omvandlas till en kravbild för externa leverantörer. För att komma igång med kravställning kan nedanstående sju (7) punkter, enligt MSB, användas till att formulera krav och dessutom utgöra stöd vid informationsklassning och riskanalys. En utgångspunkt är att leverantören ska kunna erbjuda sitt utbud på olika skyddsnivåer. Det innebär en möjlighet för universitetet att göra en bedömning mellan risk och kostnad Att leverantörerna kan erbjuda olika skyddsnivåer är också betydelsefullt eftersom vår användning av tjänsten kan förändras över tid och vid en förnyad informationsklassning kan kraven höjas eller sänkas Om leverantören endast kan tillhandahålla en skyddsnivå alternativt göra unika lösningar för oss finns en överhängande risk för att vi antingen blir tvungen att byta leverantör eller behöva betala för en egen anpassning av tjänsten Villkor som att leverantören ska följa ISO-standarden för informationssäkerhet, ISO/IEC 27001 och 27002, eller någon annan standard bör ingå i kravställningen Standarder ger ett underlag för en bra kommunikation mellan universitetet och leverantör När en leverantör använder standarder för styrning av sitt arbete med informationssäkerhet ger det en tydlig indikation om att man har prioriterat området

Sid 5 (7) En certifiering kan ytterligare stärka intrycket av en säkerhetsmedveten leverantör som har inkluderat informationssäkerhet i sin affärsmodell. Utöver ovanstående sju (7) punkter finns ett antal konkreta säkerhetskrav som MSB anser bör ha genererats via informationsklassning som till exempel: 1. Hur åtkomst styrs till informationen 2. Hur loggning ska ske och hur loggar granskas 3. Åtkomst till relevant dokumentation hos leverantören som påverkar leveransen 4. Krav på tillgänglighet 5. Vilka återställelsetider som leverantören måste uppfylla vid avbrott 6. Krav på säkerhetskopiering 7. Hur incidenter ska rapporteras och hanteras (Både personuppgifter och IT (Hård och mjukvara)) 8. Vilken support leverantören ska kunna tillhandahålla vilka anställningskontroller som leverantören ska genomföra för de anställda som får tillgång till kundens information 9. I vilken omfattnings som leverantören får anlita underleverantörer och vilka krav som ska ställas på dessa, t.ex. spårbarhet 10. Hur överföring av information ska ske mellan Umu och leverantör 11. Vid behov, rutiner för gallring och metoder för arkivering samt dataportabilitet 12. Möjlighet för Umu att initiera externa revisioner hos leverantören Efter detta gäller det att kvalificera kravlistan som har kommit fram. De krav som har formulerats måste prioriteras men också analyseras närmare. Vilka krav kan ställas som skall-krav och vilka är bör-krav? Och vilka bör-krav värderar Umeå universitet högre än andra bör-krav? Vilka krav kan anges exakt och vilka krav bör lämnas öppet för anbudsgivare att presentera egna lösningar? Att vara alltför precis är en nackdel eftersom det dels förhindrar att leverantörer erbjuder andra likvärdiga eller bättre lösningar, dels skapar en kravbild som snabbt blir föråldrad. I vissa fall bör dock kraven vara mer preciserade. Några exempel är: Loggning där det bör beskrivas vilka loggar och vilken statistik som universitetet ska ha tillgång till Hur incidentrapportering ska ske Universitetets åtkomst till relevant dokumentation hos leverantör.

Sid 6 (7) Behovsägaren bör göra riskanalys där kompletterande krav framkommer och där legala krav särskilt klargörs innan upphandling. I de fall behovet rör molntjänster t finns legala risker till exempel, hur skyddet av personuppgifter ska upprätthållas och när informationen hanteras i andra länder utanför EU/ESS. Umeå universitets rekommendation är att inte behandla uppgifter som omfattas av sekretess i molntjänster. Vidare ska känsliga eller integritetskänsliga personuppgifter inte behandlas i molntjänster utan att en mer ingående risk- och sårbarhetsanalys genomförts och att konstaterade nödvändiga säkerhetsåtgärder vidtagits. 3. Samråd vid säkerhetsskyddad upphandling En statlig myndighet som har för avsikt att göra en säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) ska i vissa fall upprätta en särskild säkerhetsskyddsbedömning och samråda med Säkerhetspolisen innan ett sådant förfarande inleds. Reglerna gäller statliga myndigheter som har för avsikt att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal på nivå 1, om något av följande krav uppföljs: leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Innan upphandlingsförfarandet inleds ska myndigheten upprätta en särskild säkerhetsskyddsbedömning. Med säkerhetsskydd avses: Skydd mot brott som kan hota rikets säkerhet Skydd av hemliga uppgifter som rör rikets säkerhet Skydd mot terrorism Myndigheten ska också samråda med sin tillsynsmyndighet, som är Säkerhetspolisen eller Försvarsmakten. Den upphandlande myndigheten ska samråda med Säkerhetspolisen innan upphandlingsprocessen inleds. Normalt sett anses upphandlingsförfarandet vara inlett när den upphandlande myndigheten annonserar upphandlingen. Ansökan om samråd ska alltså göras innan dess. På Säkerhetspolisens hemsida under fliken säkerhetsskydd ges mer detaljerad information i ämnet. Referensdokument Instruktion informationsklassning, Umu Instruktion Risk och sårbarhetsanalys, Umu

Sid 7 (7) Regel Säker informationshantering, Umu

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss