Ledningssystem för informationssäkerhet. Ramavtalsleverantören ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet. Ledningssystem för informationssäkerhet ska omfatta samtliga delar av Ramavtalsleverantörens verksamhet som medverkar i fullgörandet av Ramavtalet. Ledningssystem för informationssäkerhet ska vara aktivt under hela tiden Ramavtalet och Kontrakt är i kraft. Xxxxxxxxxxxxxxxxxxxxx ska på begäran från Statens inköpscentral eller Kund redovisa sitt ledningssystem för informationssäkerhet minst innehållande punkterna 1 - 5 nedan. Som alternativ till redovisning av ledningssystem för informationssäkerhet i sig godtas att Xxxxxxxxxxxxxxxxxxx redovisar gällande certifikat avseende ett ledningssystem för informationssäkerhet som minst motsvarar punkterna 1 - 5 nedan, samt kan redovisa kraven för certifiering till Statens inköpscentral. Certifikat som redovisas ska vara utställt av ett ackrediterat certifieringsorgan som är medlem eller ansluten till någon av de internationella organisationerna för ackrediteringsorgan, exempelvis: EA (European co-operation for Accreditation), IAF (International Accreditation Forum), eller ILAC (International Laboratory Accreditation Cooperation). Ledningssystem för informationssäkerhet ska minst innehålla punkterna 1 - 5 nedan:
Ledningssystem för informationssäkerhet. Ramavtalsleverantören ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet för den egna verksamheten. Informationssäkerhetsarbetet ska vara aktivt under hela tiden Ramavtalet och Kontrakt är i kraft. Xxxxxxxxxxxxxxxxxxxxx ska på begäran från Kammarkollegiet eller Kund redovisa sitt ledningssystem för informationssäkerhet minst innehållande punkterna 1 - 5 nedan. Som alternativ till redovisning av ledningssystem för informationssäkerhet i sig godtas att Xxxxxxxxxxxxxxxxxxx redovisar gällande certifikat avseende ett ledningssystem för informationssäkerhet som minst motsvarar punkterna 1 - 5 nedan, samt kan redovisa kraven för certifiering till Kammarkollegiet. Certifikat som redovisas ska vara utställt av ett ackrediterat certifieringsorgan som är medlem eller ansluten till någon av de internationella organisationerna för ackrediteringsorgan, exempelvis: • EA (European co-operation for Accreditation), • IAF (International Accreditation Forum), eller • ILAC (International Laboratory Accreditation Cooperation).
Ledningssystem för informationssäkerhet. Avropsberättigade är i behov av bland annat informationssäkrade Leveranser av Produkt och Tjänst och god förståelse för informationssäkerhet. För att säkerställa detta ska anbudsgivaren ha ett ledningssystem för informationssäkerhet för den egna verksamheten. Anbudsgivaren ska fylla i beskrivningar av rutiner som efterfrågas. Lämnad beskrivning ska vara så utförlig att det framgår att efterfrågad information finns och att kraven uppfylls, alternativt ska hänvisning göras till namngiven certifiering enligt SS-EN ISO 27000 eller motsvarande standard som Anbudsgivaren innehar certifiering för och som inkluderar de nämnda rutinerna. Hänvisas till namngiven certifiering eller motsvarande standard avseende ledningssystem för informationssäkerhet som Anbudsgivaren innehar certifiering för, ska bevis på innehavd certifiering eller standard bifogas Anbudet. Ledningssystemet för informationssäkerhet ska minst omfatta och beskriva följande:
Ledningssystem för informationssäkerhet. Anbudssökande anger om ett dokumenterat ledningssystem gällande informationssäkerhet för den egna verksamheten finns. 5 Poäng erhålles om anbudssökande har ett dokumenterat ledningssystem med certifikat utfärdat av en oberoende tredje part gällande ledningssystem för informationssäkerhet dvs. ISO 27001 enligt avsnitt 3.2.5. För att erhålla poäng ska giltigt certifikat bifogas eller skickas in omgående på begäran av Kammarkollegiet som Kompletterande dokument. Ja/Nej Anbudsområde 5
Ledningssystem för informationssäkerhet. Leverantör och eventuell Underleverantör ska bedriva avtalat åtagande med utgångspunkt från dokumenterade rutiner i enlighet med förutsättningarna i fastställda standarder för informationssäkerhet, i första hand svensk standard som överensstämmer med europeisk standard. Leverantörens rutiner för informationssäkerhet ska vara utformade i enlighet med ISO 27001 eller likvärdigt. Detta innebär bland annat att Leverantören ska ha: • xxxxxxx som hanterar Myndighets krav på informationsklassning • xxxxxxx för upprättande av beredskapsplaner för oförutsedda händelser • rutiner för kris- och katastrofplanering. Beskrivning av rutiner för informationssäkerhet: Verksamheten arbetar enligt ITIL, vilken är ett processorienterat arbetssätt för att hantera de operativa processerna. Inom respektive process (de primära är: Incident, Change och Problem) finns processansvariga som ansvarar för att granska, kvalitetssäkra och vidareutveckla sin respektive process. Ur ett informationssäkerhetsperspektiv så arbetar leverantören enligt ISO 27001, vilket innebär att arbetet inom informationssäkerhet bedrivs på ett strukturerat och fokuserat sätt med en tydlig målinriktning att snarast genomföra en formell certifiering. Genom vårt strukturella och långsiktiga arbete inom säkerhetsområdet har vi i vår externa ISO 27001 revision, (utförd april 2011 av certifierad konsult från säkerhetsbolaget Amentor), fått betyget: "The general impression is that EVRY Outsourcing Services operates in line with best practices." Beskrivning av Leverantörs rutiner för att tillförsäkra uppfyllande av bestämmelser för statliga myndigheter enligt ovan angivna krav med redovisning av hur dessa vidareutvecklas genom testning, övningar med mera: Samtlig personal hos leverantören har sekretessavtal som en del av sitt anställningsavtal. All information hos kunden hanteras driftmässigt i separata nätverk fysiskt eller logiskt åtskilda från andra kunder. I normalfallet har en anställd ingen åtkomst till konfidentiell information för att utföra sina avtalade driftsuppgifter. I fall där detta är nödvändigt så delas rättigheter för detta endast ut i den omfattning som behövs och som kunden godkänner. Leverantören accepterar de krav på tillsyn som krävs och de föreskrifter, allmänna råd och anvisningar som gäller för informationssäkerhet i myndigheternas verksamhet. Uppgift om vilken person som Leverantör kommer att använda som informations- säkerhetsansvarig.
Ledningssystem för informationssäkerhet. Sökande ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet. Ledningssystemet för informationssäkerhet ska omfatta samtliga delar av Sökandes verksamhet som medverkar i fullgörandet av Ramavtalet. Ledningssystemet för informationssäkerhet ska minst innehålla nedan punkter, A-H. Som alternativ till redovisning av ledningssystem för informationssäkerhet godtas redovisning av att ett gällande certifikat som minst uppfyller nedan punkter, A-H. Certifikatet som redovisas ska vara utställt av ett ackrediterat certifieringsorgan som är medlem eller ansluten till någon av de internationella organisationerna för ackrediteringsorgan enligt nedan. EA (European co-operation for Accreditation), IAF (International Accreditation Forum), eller ILAC (International Laboratory Accreditation Cooperation). Ledningssystemet för informationssäkerhet ska minst innehålla:
Ledningssystem för informationssäkerhet. Respektive part ska ha ett ledningssystem för informationssäkerhet som tillämpas i verksam- heten. Notera att myndigheter har skyldighet i lag att tillämpa detta genom myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter, MSBFS 2020:6 4 §. Aktörer inom hälso- och sjukvårdssektorn har även dessa har krav på sig genom HSLF-FS 2016:40 Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården 3 kap 2 och 4 §§.
Ledningssystem för informationssäkerhet. Observera att denna utgår enligt informationsmeddelande. Anbudsgivaren ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet för den egna verksamheten med giltigt certifikat utfärdat av en oberoende tredje part gällande ledningssystem för informationssäkerhet, dvs. ISO 27001. Ledningssystem för informationssäkerhet ska minst omfatta de väsentliga delarna av anbudsgivarens verksamhet som direkt medverkar i fullgörandet av Ramavtalet. Informationssäkerhetsarbetet ska vara aktivt under tiden Ramavtalet och Kontrakt är i kraft. För att styrka ovanstående krav ska anbudsgivaren som kompletterande dokument, enligt avsnitt Sammanställning över kompletterande dokument, inkomma med giltigt certifikat för avseende ISO 27001. Ja/Nej
Ledningssystem för informationssäkerhet. Ramavtalsleverantören ska ha ett strukturerat och dokumenterat ledningssystem för informationssäkerhet för den egna verksamheten med giltigt certifikat utfärdat av en oberoende tredje part gällande ledningssystem för informationssäkerhet, dvs. ISO 27001. Ledningssystem för informationssäkerhet ska minst omfatta de väsentliga delarna av Ramavtalsleverantörens verksamhet som direkt medverkar i fullgörandet av Ramavtalet. Informationssäkerhetsarbetet ska vara aktivt under tiden Ramavtalet och Kontrakt är i kraft.
Ledningssystem för informationssäkerhet. Leverantören bör ha ett ledningssystem för informationssäkerhet implementerat i enlighet med ISO 27001 eller motsvarande.