Att säkerställa informationssäkerhet vid upphandling

Relevanta dokument
VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Bilaga 4. Normativa specifikationer

Säkerhetsskyddade upphandlingar

Justitiedepartementet Stockholm

Teknik och säkerhetsupphandlingar

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Gråa hår av offentlig upphandling?

Bilaga. Sammanfattning

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

Myndigheten för samhällsskydd och beredskaps författningssamling

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Allmänt säkerhetsarbete. Informationssäkerhet. Dokumentnamn och uppdateringsinfo

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter 1

Avtalsform Ramavtal & enstaka köp Namn Molntjänster

Upphandlingsprojektet inom SN m.fl.

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Anbudssökande: Underteckning behörig firmatecknare/vd: Bevis, alternativt fullmakt skall bifogas anbudet.

Verksamhetsplan Informationssäkerhet

Offentlig upphandling hur gör man och vad bör man tänka på?

Risk-och sårbarhetsanalyser Sekretess

Årsrapport Itincidentrapportering

Offentlig upphandling - en affärsmöjlighet?

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

1. Säkerhetsskydd 2. Säkerhetsskyddad upphandling 3. Nya säkerhetsskyddslagen

Konsekvensutredning rörande föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter

Revidering av stadsgemensamma riktlinjer för direktupphandling

Svensk författningssamling

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Svensk författningssamling

Offentlig upphandling hur gör man och vad bör man tänka på?

Avtalsform Rangordnat avtal Namn Tekniska konsulttjänster

Myndigheten för samhällsskydd och beredskaps författningssamling

Säkerhetsskyddsavtal

Myndigheten för samhällsskydd och beredskaps författningssamling

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Överenskommelse om kommunernas arbete med civilt försvar

2.0 FÖRETAGSPRESENTATION

Krav på riktlinjer vid direktupphandlingar

Nya krav på systematiskt informationssäkerhets arbete

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm. Remissvaret följer promemorians disposition.

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Krav på riktlinjer vid direktupphandlingar

Gräns för utkontraktering av skyddsvärd information

Härmed inbjuds ni att lämna anbud enligt nedan angivna förutsättningar.

Lagen (2007:1091) om offentlig upphandling (LOU) vad gäller för samordningsförbund?

Tjänster för avtalsuppföljning 2018 Informationssäkerhet. Avropsstöd. Informationssäkerhet

SOLLENTUNA FÖRFATTNINGSSAMLING

Program för mål och uppföljning av privata utförare

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Datum Ert datum

Datum: SÄKERHETSSKYDDSAVTAL (nivå 3) VID SÄKERHETSSKYDDAD UPPHANDLING (SUA).

Säkerhetsskyddsplan för Piteå kommun

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Allmänna villkor för myndigheter

Riksarkivets författningssamling

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för upphandling

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Informationssäkerhet för samhällsviktiga och digitala tjänster

Hållbar Upphandling. Nätverket Renare Mark Seminarium om upphandling inom förorenade områden Luleå 13 februari 2013

Upphandla informationssäkert en vägledning

Underlag 2. Direktiv till två pågående utredningar som har bäring på informationssäkerhet. En modern säkerhetsskyddslag 1

Angående Justitiedepartementets remiss SOU 2015:25,

Program med mål och riktlinjer för privata utförare mandatperioden

Inbjudan till dialog 11 oktober 2012

Inbjudan att inkomma med anbudsansökan avseende Periodkortsavtal för Regional kollektivtrafik i Mälardalen

Program för uppföljning av privata utförare

Överenskommelse om landstingens arbete med krisberedskap och civilt försvar

NIS-direktivet. - Därför är NIS viktigt för kommuner och landsting. 5 september 2018 Christoffer Karsberg

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

UPPHANDLING AV DUELLSTÄLL TILL SKJUTBANOR

Inbjudan att inkomma med anbudsansökan avseende busstrafik Avtalsområde S6 Linje 10

Svensk författningssamling

Kurir för it-incident rapportering Hanteringsregler. Myndigheten för samhällsskydd och beredskap PM 1 (7)

Offentlig upphandling och små företag Upplands Bro 16 sept Ulrica Dyrke, Företagarna

Inbjudan till dialog avseende drift och kundstöd

Granskning av inköpsrutinen och köptrohet

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Kommittédirektiv. Genomförande av EU-direktiv om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem. Dir.

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Ansökan om ackreditering som certifieringsorgan

RIKTLINJER FÖR INKÖP OCH UPPHANDLING

Uppgifter till redovisningen över internrevisionen

Lägesbild av dagens totalförsvar och den återupptagna totalförsvarsplaneringen. Öv. Mats Klintäng, Försvarsmakten Magnus Dyberg-Ek, MSB

Bilaga 3 Anbudsformulär

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

Svensk författningssamling

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Datum ANSÖKNINGSINBJUDAN. Taktiska skyddsvästar för NIK

FÖRSVARETS FÖRFATTNINGSSAMLING

Upphandling av ramavtal för tillhandahållande av information om offentliga upphandlingar ur databaser

Upphandling av IT-drift och support (DIT17)

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Mall säkerhetsskyddsavtal (nivå 2)

Program för mål och uppföljning av privata utförare

Svensk författningssamling

Kontinuitetshantering i vård och omsorg

Transkript:

2016-09- 19 1

Att säkerställa informationssäkerhet vid upphandling 2

Begrepp och definitioner Offentlig upphandling Offentlig upphandling innebär att en upphandlande myndighet köper, hyr eller på annat sätt anskaffar varor, tjänster eller byggentreprenader. Upphandlande myndighet Upphandlande myndighet kan vara myndigheter inom stat, kommuner och landsting samt kommunala eller statliga bolag eller styrelser. 3

Några lagar att förhålla sig till vid upphandling Lagen (2007:1091) om offentlig upphandling (LOU) LOU är den lag som oftast är tillämplig. Lagen gäller för all offentlig upphandling av byggentreprenader, varor, tjänster och byggkoncessioner som inte omfattas antingen av LUF eller LUFS, eller av något specifikt undantag som är tillämpligt för den enskilda upphandlingen. 4

Lagen (2007:1092) om upphandling inom områdena vatten, energi, transporter och posttjänster (LUF) LUF gäller för organisationer som bedriver verksamhet inom de angivna områdena. I vissa fall kan en upphandlande myndighet, exempelvis en kommun, bedriva verksamhet inom ramen för både LOU och LUF. Det avgörande för vilken lag som ska tillämpas på en enskild upphandling är för vilken verksamhet det som upphandlas är avsett. Om det som upphandlas är avsett för båda verksamheterna ska en överviktsprincip tillämpas, baserad på kontraktets värde. 5

Lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS) LUFS gäller för upphandling på försvars- och säkerhetsområdet som avser: militär utrustning, inklusive alla tillhörande delar, komponenter och delar av komponenter utrustning av känslig karaktär, inklusive alla tillhörande delar, komponenter och delar av komponenter byggentreprenader, varor och tjänster som direkt hänför sig till utrustningen ovan, under hela dess livslängd byggentreprenader och tjänster särskilt avsedda för militära syften eller byggentreprenader och tjänster av känslig karaktär. 6

Offentlighets- och sekretesslag (2009:400) Reglerar bland annat sekretess i samband med upphandling. Säkerhetsskyddslag (1996:627) Reglerar bland annat krav på genomförande av säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) om det i upphandlingen förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess. 7

Exempel på processbeskrivning för upphandling* 8 * Vägledning Informationssäkerhet i upphandling. Myndigheten för samhällsskydd och beredskap, ISBN: 978-91-7383-338-7

Exempel på kompetensprofiler Verksamhetskompetens för att identifiera krav och behov Säkerhetskompetens (it- och informationssäkerhet) för att bedöma risker och kunna ställa rätt säkerhetskrav Säkerhetsskyddskompetens vid upphandlingar som ska genomföras i form av säkerhetsskyddad upphandling med säkerhetsskyddsavtal It-kompetens för att göra bedömningen hur tjänsterna ska kunna integreras på lämpligt sätt i befintlig infrastruktur Upphandlingskompetens för att upphandlingen ska avslutas med ett affärsmässigt och verksamhetsmässigt fungerande avtal Juridisk kompetens för att fastställa de rättsliga förutsättningarna och kraven och se till att dessa uppfylls 9

Att tänka på vid kravställning Ta hjälp/stöd av standarder inom området SS-ISO/IEC 27001 och 27002 (informationssäkerhet) SS-EN ISO 22301 (kontinuitet) m.fl. Glöm inte att ställa krav på it-incidenthantering Krav på myndigheter att rapportera it-incidenter följer av: Förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap, respektive Myndigheten för samhällsskydd och beredskaps föreskrifter (MSBFS 2016:2) och allmänna råd om statliga myndigheters rapportering av it-incidenter Försök, när så är möjligt, att ställa krav på att leverantören ska ha ett certifierat ledningssystem för informationssäkerhet eller likvärdigt 10

Exempel på kravställning 11

Exempel på krav på underlag för besvarande av krav Anbudssökande visar att kravet på ledningssystem för informationssäkerhet är uppfyllt genom att med ansökan bifoga: Ett giltigt intyg om certifiering enligt SS-ISO/IEC 27001. Intyget ska vara giltigt vid tidpunkt för anbudsansökans undertecknande. Vidimerad kopia är tillräckligt. Den deklaration (så kallad Statement of Applicability, SoA) som ligger till grund för ledningssystemets innehåll och omfattning och som redovisar de kontroller i standarden som omfattas av certifieringen. Alternativt om likvärdigt ledningssystem (annat än SS-ISO/IEC 27001 och SS-ISO/IEC 27002) tillämpas En redovisning av hur det egna ledningssystemet för informationssäkerhet är utformat, vilka säkerhetskontroller ledningssystemet omfattar, vilka av dessa säkerhetskontroller som är implementerade samt en beskrivning av hur dessa säkerhetskontroller har implementerats. 2016-09- 19 12

När upphör upphandlingen? Upphandlingen pågår under hela avtalsperioden varför det är viktigt att säkerställa möjligheten till kontinuerlig uppföljning och kontroll av informationssäkerheten genom hela leveransen regelbundna samverkansmöten processer och rutiner för avvikelse- och incidenthantering inklusive rapportering möjlighet att låta genomföra inspektioner och kontroller hos leverantören även för tredje part? 13

Vägledningar och stöd www.informationssäkerhet.se Vägledning för processorienterad informationskartläggning Myndigheten för samhällsskydd och beredskap Vägledning Informationssäkerhet i upphandling Myndigheten för samhällsskydd och beredskap Säkerhetsskyddad upphandling En vägledning Säkerhetspolisen 14

Slut 15

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss