Ledningssystem för informationssäkerhet. Ramavtalsleverantören ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet. Ledningssystem för informationssäkerhet ska omfatta samtliga delar av Ramavtalsleverantörens verksamhet som medverkar i fullgörandet av Ramavtalet. Ledningssystem för informationssäkerhet ska vara aktivt under hela tiden Ramavtalet och Kontrakt är i kraft. Xxxxxxxxxxxxxxxxxxxxx ska på begäran från Statens inköpscentral eller Kund redovisa sitt ledningssystem för informationssäkerhet minst innehållande punkterna 1 - 5 nedan. Som alternativ till redovisning av ledningssystem för informationssäkerhet i sig godtas att Xxxxxxxxxxxxxxxxxxx redovisar gällande certifikat avseende ett ledningssystem för informationssäkerhet som minst motsvarar punkterna 1 - 5 nedan, samt kan redovisa kraven för certifiering till Statens inköpscentral. Certifikat som redovisas ska vara utställt av ett ackrediterat certifieringsorgan som är medlem eller ansluten till någon av de internationella organisationerna för ackrediteringsorgan, exempelvis: EA (European co-operation for Accreditation), IAF (International Accreditation Forum), eller ILAC (International Laboratory Accreditation Cooperation). Ledningssystem för informationssäkerhet ska minst innehålla punkterna 1 - 5 nedan:
Ledningssystem för informationssäkerhet. Ramavtalsleverantören ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet för den egna verksamheten. Informationssäkerhetsarbetet ska vara aktivt under hela tiden Ramavtalet och Kontrakt är i kraft. Xxxxxxxxxxxxxxxxxxxxx ska på begäran från Kammarkollegiet eller Kund redovisa sitt ledningssystem för informationssäkerhet minst innehållande punkterna 1 - 5 nedan. Som alternativ till redovisning av ledningssystem för informationssäkerhet i sig godtas att Xxxxxxxxxxxxxxxxxxx redovisar gällande certifikat avseende ett ledningssystem för informationssäkerhet som minst motsvarar punkterna 1 - 5 nedan, samt kan redovisa kraven för certifiering till Kammarkollegiet. Certifikat som redovisas ska vara utställt av ett ackrediterat certifieringsorgan som är medlem eller ansluten till någon av de internationella organisationerna för ackrediteringsorgan, exempelvis: • EA (European co-operation for Accreditation), • IAF (International Accreditation Forum), eller • ILAC (International Laboratory Accreditation Cooperation).
Ledningssystem för informationssäkerhet. Avropsberättigade är i behov av bland annat informationssäkrade Leveranser av Produkt och Tjänst och god förståelse för informationssäkerhet. För att säkerställa detta ska anbudsgivaren ha ett ledningssystem för informationssäkerhet för den egna verksamheten. Anbudsgivaren ska fylla i beskrivningar av rutiner som efterfrågas. Lämnad beskrivning ska vara så utförlig att det framgår att efterfrågad information finns och att kraven uppfylls, alternativt ska hänvisning göras till namngiven certifiering enligt SS-EN ISO 27000 eller motsvarande standard som Anbudsgivaren innehar certifiering för och som inkluderar de nämnda rutinerna. Hänvisas till namngiven certifiering eller motsvarande standard avseende ledningssystem för informationssäkerhet som Anbudsgivaren innehar certifiering för, ska bevis på innehavd certifiering eller standard bifogas Anbudet. Ledningssystemet för informationssäkerhet ska minst omfatta och beskriva följande:
1. Ledningssystemet för informationssäkerhet ska innefatta rutin för att identifiera relevanta informationssäkerhetsbehov utifrån vilka informationstillgångar som behöver hanteras samt deras värde och känslighet, hur informationstillgångarna behöver hanteras samt hur externt uppställda krav på informationssäkerhet uppfylls. Anbudsgivaren ska ha och beskriva rutin som avser sådan hantering av informationssäkerhetsbehov.
2. Ledningssystemet för informationssäkerhet ska innefatta rutin för att analysera och bedöma relevanta informationssäkerhetsrisker. Riskanalysen ska göras på ett sätt som i största möjliga mån ger jämförbara och reproducerbara resultat. Riskanalyser ska göras på återkommande basis för att säkerställa att aktuell analys är relevant utifrån de förändrade behov som kan uppstå. Anbudsgivaren ska ha och beskriva rutin som avser analys och bedömning av relevanta informationssäkerhetsrisker.
3. Ledningssystemet för informationssäkerhet ska innefatta rutin för att fastslå kriterier för vad som är att anse som en oacceptabel respektive acceptabel risk. En oacceptabel risk kan hanteras exempelvis genom att lämpliga åtgärder väljs ut och vidtas som minskar risken, att den kringgås genom att helt undvika omständigheter där risken över huvud taget kan aktualiseras, eller att risken delas genom exempelvis avtal med ett försäkringsbolag. Anbudsgivaren ska ha och beskriva rutin som avser hur man fastslår rutin för oacceptabel respektive acceptabel risk.
4. Ledningssystemet för informationssäkerhet ska innefatta rutin för hur lämpl...
Ledningssystem för informationssäkerhet. Anbudssökande anger om ett dokumenterat ledningssystem gällande informationssäkerhet för den egna verksamheten finns. 5 Poäng erhålles om anbudssökande har ett dokumenterat ledningssystem med certifikat utfärdat av en oberoende tredje part gällande ledningssystem för informationssäkerhet dvs. ISO 27001 enligt avsnitt 3.2.5. För att erhålla poäng ska giltigt certifikat bifogas eller skickas in omgående på begäran av Kammarkollegiet som Kompletterande dokument.
Ledningssystem för informationssäkerhet. Anbudsgivaren ska ha ett dokumenterat ledningssystem för informationssäkerhet med certifikat/diplom utfärdat av en oberoende tredje part. Ledningssystem för informationssäkerhet ska minst omfatta de väsentliga delarna av anbudsgivarens verksamhet som direkt medverkar i fullgörandet av Ramavtalet. Informationssäkerhetsarbetet ska vara aktivt under tiden Ramavtalet och Kontrakt är i kraft. För att styrka ovanstående ska anbudsgivare som kompletterande dokument inkomma med antingen • gällande certifikat för ISO 27001, eller • ett likvärdigt ledningssystem för informationssäkerhet som är certifierat av ackrediterat organ, i något land inom EES, och som minst omfattar: - Policy för informationssäkerhet - Upprättande och uppföljning av informationssäkerhetsmål för verksamheten - Identifiering och hantering av risker - Fastställa vilka resurser som behövs samt tilldela ansvar och befogenheter vad gäller informationssäkerheten Ackrediteringsorganet ska vara medlem i eller ansluten till någon av de internationella organisationerna för ackrediteringsorgan, exempelvis: • EA (European co-operation for Accreditation), • IAF (International Accreditation Forum), eller • ILAC (International Laboratory Accreditation Cooperation). För att styrka ovanstående krav ska anbudsgivaren, på begäran av Kammarkollegiet, enligt avsnitt Sammanställning över kompletterande dokument, inkomma med giltigt certifikat/diplom utfärdat av en oberoende tredje part. Handlingen ska vara översatt till svenska, engelska, danska eller norska om originalhandlingen är upprättad på ett annat språk.
Ledningssystem för informationssäkerhet. Respektive part ska ha ett ledningssystem för informationssäkerhet som tillämpas i verksam- heten. Notera att myndigheter har skyldighet i lag att tillämpa detta genom myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter, MSBFS 2020:6 4 §. Aktörer inom hälso- och sjukvårdssektorn har även dessa har krav på sig genom HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården 3 kap 2 och 4 §§.
Ledningssystem för informationssäkerhet. Observera att denna utgår enligt informationsmeddelande. Anbudsgivaren ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet för den egna verksamheten med giltigt certifikat utfärdat av en oberoende tredje part gällande ledningssystem för informationssäkerhet, dvs. ISO 27001. Ledningssystem för informationssäkerhet ska minst omfatta de väsentliga delarna av anbudsgivarens verksamhet som direkt medverkar i fullgörandet av Ramavtalet. Informationssäkerhetsarbetet ska vara aktivt under tiden Ramavtalet och Kontrakt är i kraft. För att styrka ovanstående krav ska anbudsgivaren som kompletterande dokument, enligt avsnitt Sammanställning över kompletterande dokument, inkomma med giltigt certifikat för avseende ISO 27001. Ja/Nej
Ledningssystem för informationssäkerhet. Sökanden erhåller 10 poäng om sökanden har ett dokumenterat ledningssystem för informationssäkerhet för den egna verksamheten, med certifikat/diplom utfärdat av en oberoende tredje part. Sökanden anger om ett dokumenterat ledningssystem för informationssäkerhet för den egna verksamheten finns, med certifikat/diplom utfärdat av en oberoende tredje part. För att styrka ovanstående ska sökanden som kompletterande dokument inkomma med antingen
1. gällande certifikat för ISO 27001, eller
2. ett likvärdigt ledningssystem för informationssäkerhet som är certifierat av ackrediterat organ, i något land inom EES, och som minst omfattar:
Ledningssystem för informationssäkerhet. Leverantör och eventuell Underleverantör ska bedriva avtalat åtagande med utgångspunkt från dokumenterade rutiner i enlighet med förutsättningarna i fastställda standarder för informationssäkerhet, i första hand svensk standard som överensstämmer med europeisk standard. Leverantörens rutiner för informationssäkerhet ska vara utformade i enlighet med ISO 27001 eller likvärdigt. Detta innebär bland annat att Leverantören ska ha: • xxxxxxx som hanterar Myndighets krav på informationsklassning • xxxxxxx för upprättande av beredskapsplaner för oförutsedda händelser • rutiner för kris- och katastrofplanering.
1. Leverantörs bekräftelse av ställda krav:
1. Bekräftelse att Leverantör tillämpar xxxxxxx i enlighet med kraven i detta avsnitt 1.9. Ja
2. Leverantörs beskrivning av rutiner:
3. Leverantörs rutiner för hantering av statliga myndigheter:
4. Leverantörs redovisning av informationssäkerhetsansvarig:
Ledningssystem för informationssäkerhet. Sökande ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet. Ledningssystemet för informationssäkerhet ska omfatta samtliga delar av Sökandes verksamhet som medverkar i fullgörandet av Ramavtalet. Ledningssystemet för informationssäkerhet ska minst innehålla nedan punkter, A-H. Som alternativ till redovisning av ledningssystem för informationssäkerhet godtas redovisning av att ett gällande certifikat som minst uppfyller nedan punkter, A-H. Certifikatet som redovisas ska vara utställt av ett ackrediterat certifieringsorgan som är medlem eller ansluten till någon av de internationella organisationerna för ackrediteringsorgan enligt nedan. EA (European co-operation for Accreditation), IAF (International Accreditation Forum), eller ILAC (International Laboratory Accreditation Cooperation). Ledningssystemet för informationssäkerhet ska minst innehålla: