Riktlinjer för informationssäkerhet vid inköp och upphandling

Innehållsförteckning

1. Inledning

I Skara kommun skyddar vi vår information genom att arbeta systematiskt med informationssäkerhet. Därigenom ser vi till att vår information alltid finns tillgänglig när vi behöver den, att vi alltid kan lita på att den är korrekt och att den endast finns tillgänglig för behöriga.

Informationssäkerhet i inköps- och upphandlingsprocessen är framför allt viktigt vid anskaffning av tjänster eller produkter som är avsedda att hantera, bearbeta, lagra eller överföra verksamhetsinformation eller data på något sätt. Att ställa informationssäkerhetsrelaterade krav handlar om att säkerställa att den inköpta eller upphandlade tjänsten eller produkten uppfyller de krav som är nödvändiga för att hålla informationen säker – både inom vår organisation och hos leverantören.

Riktlinjerna för informationssäkerhet vid inköp och upphandling anger ramarna för kommunens arbete med att integrera informationssäkerhetsaspekten i samtliga inköps- och upphandlingsprocesser. Riktlinjerna kan vid behov kompletteras med rutiner och anvisningar, som kan ge stöd vid det praktiska genomförandet av informationssäkerhetsrelaterade aktiviteter och åtgärder. Riktlinjerna bygger på Myndigheten för samhällsskydd och beredskaps skrift Upphandla informationssäkert – en vägledning [1].

2. Ansvars- och arbetsfördelning

Den som är ansvarig för ett inköp eller en upphandling är också den som har ansvar för att det ställs relevanta krav på informationssäkerhet, både i processen inför inköpet eller upphandlingen och i avtalet med leverantören. Det är därmed oftast chefen för en verksamhet som har detta ansvar. Chefen för en verksamhet ansvarar också för att informationssäkerhetsaspekterna blir omhändertagna även i de fall ett inköp eller en upphandling vidtas av en anställd inom ramen för verkställighet.

För att rätt informationssäkerhetskrav ska kunna ställas vid inköp eller upphandling måste alltid berörda informationsägare [2] involveras, bland annat genom att bidra med resultat från informationsklassning och riskanalyser.

Som stöd i genomförandet av informationssäkerhetsrelaterade aktiviteter finns rutiner och anvisningar. Läs mer om dessa i avsnitt 3.

Förvaltningarnas informationssäkerhetsstöd kan tillhandahålla råd och stöd i informationssäkerhetsaktiviteterna. Om det finns behov av stöd i upphandlingsprocessen är det verksamhetens ansvar att kontakta informationssäkerhetsstödet i god tid.

Den som är chef för en verksamhet har ansvar för att se till att verksamheten och medarbetarna har förutsättningarna för att kunna följa gällande styrdokument och kunna göra inköp och upphandlingar med relevanta informationssäkerhetskrav. Den enskilda medarbetaren eller annan som deltar i upphandlingen har ansvar för att följa gällande riktlinjer, rutiner och anvisningar.

Eftersom informationssäkerhetsrelaterade aktiviteter kan ta tid att genomföra ska arbete med dessa prioriteras och påbörjas tidigt i alla inköps- och upphandlingsprocesser.

3. Informationssäkerhetsprocess vid inköp och upphandling

Skara kommun ska beakta informationssäkerheten i samtliga delar av en upphandling och i alla inköpsprocesser. Informationssäkerhetsarbetet under en inköps- eller upphandlingsprocess ska dokumenteras, beslutas och diarieföras.

Informationssäkerhetsaktiviteterna ska genomföras i följande steg.

Steg 1: Förbereda

I det inledande stadiet vid ett inköp eller i en upphandling ska verksamheten identifiera vilka informationssäkerhetsrelaterade krav som ska ingå i upphandlingen. Detta görs genom informationsklassning och riskanalys (se Anvisning och rutin för informationsklassning och Anvisning och rutin för riskhanteringsprocessen).

Syftet med att ställa informationssäkerhetsrelaterade krav vid ett inköp eller i en upphandling är att minska riskerna som uppstår i och med att hanteringen av kommunens informationstillgångar blir beroende av en extern part. Om inköpet eller upphandlingen avser till exempel fysiska varor, där få eller inga informationsmängder blir berörda vare sig i inköpsskedet eller efter leverans, kan det vara obehövligt att ställa informationssäkerhetsrelaterade krav.

Om det ingår personuppgifter i en upphandling (vilket det i stort sett alltid gör) ska verksamheten även ta fram ett personuppgiftsbiträdesavtal (PUB-avtal) samt i förekommande fall göra en konsekvensbedömning. Läs mer om PUB-avtal och konsekvensbedömning i kommunens styrdokument för dataskyddsförordningen.

Steg 2: Upphandla/köp in

När ett inköp eller en upphandling genomförs ska det ställas informationssäkerhetsrelaterade krav. De krav som ställs ska motsvara den skyddsnivå som identifierats genom informationsklassning och riskanalys i förberedandefasen. De krav som ställs ska baseras på de krav som framgår av ISO 27000-standardserien [3]. Eventuella avsteg från standard ska dokumenteras och motiveras särskilt.

Kraven på informationssäkerhet – och vid behov IT-säkerhet – ska framställas i en kravspecifikation. Kraven ska vara tydligt utformade och gå att utvärdera. Kraven som formuleras för inköpet eller den specifika upphandlingen ska dessutom vara definierade genom att anges som antingen ”ska-krav” eller ”bör-krav”.

Steg 3: Realisera

Under avtalstiden ska de informationssäkerhetsrelaterade kraven följas upp. Ställda krav ska vara relevanta under hela avtalsperioden och vara uppfyllda under hela tiden för leveransen. Om delar i en leverans eller en tjänst ändras under avtalsperioden ska de informationssäkerhetsrelaterade kraven justeras för att motsvara de förändrade förutsättningarna.

När avtalsperioden löper ut eller leveransen avslutas ska kommunen säkerställa att kommunens information inte längre finns kvar hos leverantören.

4. Upphandling av IT-system och IKT-produkter

Vid anskaffning av IT-system och IKT-produkter (informations- och kommunikationsteknik) är det särskilt viktigt att rätt och relevanta krav ställs på leverantören och leverantörskedjan.

Göliska IT är ansvarig för kommunens IT-säkerhet och måste därför alltid delta i framtagandet av informationssäkerhets- och it-säkerhetsrelaterade upphandlingskrav samt utvärdering av anbud vid upphandling av IT-system och IKT-produkter. I de fall ett upphandlat IT-system driftas hos Göliska IT ska Göliska IT dessutom under avtalstiden regelbundet följa upp de krav som ställts på IT-säkerhet.

Om ett upphandlat IT-system driftas på annat ställe än på servrar hos Göliska IT eller inte köpts in med hjälp av dem är det kommunens ansvar att initiera och genomföra uppföljning av ställda IT-säkerhetskrav. Göliska IT kan utgöra ett stöd i en sådan aktivitet.

5. Gemensamma inköp och upphandlingar

Informationssäkerheten ska beaktas även när kommunen genomför inköp eller upphandling gemensamt med andra, till exempel inom V6. I dessa fall ska de samverkande parterna gemensamt klarlägga ansvar och roller i informationssäkerhetsfrågorna för att säkerställa att informationssäkerhetsaktiviteter blir genomförda.

Informationssäkerhetsaktiviteter i en gemensam upphandling kan och bör genomföras i samverkan, till exempel genom gemensamma informationsklassningar och riskanalyser. Grundprincipen är emellertid att varje deltagande part ansvarar för sin egen informationssäkerhet. Ansvaret för att identifiera och formulera informationssäkerhetsrelaterade krav ligger därmed på varje enskild kommun.

6. Säkerhetsskyddad upphandling

När kommunen ska genomföra ett inköp eller en upphandling som på något sätt omfattas av säkerhetsskyddslagen gäller särskilda regler. Ta kontakt med säkerhetssamordnare.

Noter:
[1] Upphandla informationssäkert – en vägledning. Myndigheten för samhällsskydd och beredskap (MSB), MSB1177 – november 2018, ISBN: 978-91-7383-802-3.

[2] Informationsägaren är den som äger en viss information och ansvarar för dess säkerhet. Läs mer om informationsägare i kommunens styrdokument ”Riktlinjer för informationssäkerhet – organisation och roller”.

[3] Svensk standard · SS-EN ISO/IEC 27001:2023