RS 2019-0982

RS 2019-0982

Avtalsbilaga avseende informationssäkerhet

1Bakgrund

Beställaren och Leverantören har ingått ett avtal (Huvudavtal) avseende upphandling av ”Fakturaväxel med tilläggstjänster”.

Detta dokument utgör bilaga avseende informationssäkerhet till Huvudavtal mellan Beställaren och Leverantören. Informationssäkerheten regleras för uppgifter som för Beställaren är skyddsvärda med avseende på konfidentialitet, riktighet och tillgänglighet. En sådan uppgift benämns fortsättningsvis skyddsvärd uppgift. En skyddsvärd uppgift kan framgå av en handling, ett visst förhållande, en anläggning eller föremål av olika slag.

Överenskommelsen avseende hantering av informationssäkerhet ska förebygga att skyddsvärda uppgifter obehörigen röjs, ändras, görs otillgängliga för behöriga eller förstörs. Detta åstadkoms genom fysisk tillträdesbegränsning, it-säkerhetsåtgärder, administrativa säkerhetsåtgärder och lämplighetsprövning.

2Omfattning

Denna bilaga reglerar vilka informationssäkerhetsåtgärder som Leverantören ska vidta i samband med Uppdraget.

Uppdraget innebär att Leverantören i egna, eller i av Beställaren godkänd underleverantörs lokaler, kommer att få del av skyddsvärda uppgifter från Beställaren. Uppgifterna beräknas förekomma på en mindre del av Beställarens fakturor och/eller bilagor som kan innehålla personuppgifter av ibland känslig karaktär.

Om sådan information kom i orätta händer skulle såväl patient som Beställaren kunna lida allvarlig skada.

3Ledningssystem för informationssäkerhet

Leverantören ska ha ett ledningssystem för informationssäkerhet implementerat.

Leverantören ska tillämpa samma regelverk, processer och arbetsinstruktioner oavsett varifrån leveranserna till Beställaren sker.

Alla säkerhetskrav och kontrollpunkter ska ledas från Sverige och löpande rapporteras till Beställaren.

Leverantörens alla leveranser till Beställaren ska ledas från Sverige, även vad gäller tjänster som kommer att utföras från andra länder, och all Beställarens persondata ska lagras i Sverige.

4Organisation

Det ska finnas en ansvarig för informationssäkerhet hos Leverantören.

Den informationssäkerhetsansvarige ska i Uppdragets informationssäkerhetsfrågor ha mandat att fatta relevanta beslut i förhållande till Beställaren. Leverantören ska ha en utpekad kontaktperson i informationssäkerhetsfrågor gentemot Beställaren. Hos Leverantören ska det även finnas en systemägare¹ för it-system som är avsedda för behandling av Beställarens skyddsvärda uppgifter.

5Underleverantörer

Om Leverantören använder sig av underleverantörer ska Beställaren informeras. Leverantören ska säkerställa att eventuella underleverantörer omfattas av samma krav avseende informationssäkerheten som Leverantören gör.

Vid byte eller förändring av eventuella underleverantör ska Beställaren underrättas och godkänna underleverantören.

6Säkerhetsåtgärder

Leverantören ska löpande dokumentera hur åtgärder som anges i avsnitt 16 uppfylls.

Säkerhetsåtgärder ska godkännas av Beställaren.

Eventuella förändringar eller tillägg i åtgärderna ska godkännas av Beställaren.

7Behörighet

Behörighet till skyddsvärda uppgifter får endast ges till personer hos Leverantören som

• Bedöms lämpliga att arbeta med uppgifterna,

• Har tillräckliga kunskaper om informationssäkerhet och

• Behöver uppgifterna för sitt uppdrag eller arbete i den verksamhet där de skyddsvärda uppgifterna förekommer.

8Hantering av skyddsvärda uppgifter

Beställaren ska klargöra för Leverantören i vilken utsträckning handlingar med mera som Leverantören kan få del av innehåller skyddsvärda uppgifter.

Om skyddsvärda uppgifter uppkommer under Uppdragets utförande hos Leverantören, ska Leverantören vidta de säkerhetsåtgärder som är nödvändiga. Leverantören ska utan dröjsmål meddela Beställaren om skyddsvärda uppgifter har uppkommit samt vilka informationssäkerhets­åtgärder som har vidtagits.

Skyddsvärda uppgifter får endast hanteras i it-system som uppfyller krav i Region Stockholms riktlinjer för informationssäkerhet och tillämplig lagstiftning. Beträffande skyddsvärda uppgifter i it-miljö gäller för Uppdraget även bestämmelserna i avsnitt 16.

Leverantören bör klargöra för Beställaren i vilken utsträckning uppgifter avseende affärs- eller driftsförhållanden som överlämnas till Beställaren är att anse som skyddsvärda, samt varför Leverantören kan komma att lida skada om dessa röjs (enligt offentlighets- och sekretesslagen 2009:400). Leverantören är dock medveten om att Beställaren ändå kan vara skyldig att lämna ut sådana uppgifter.

Leverantören ska informera berörd personal om innebörden av tystnadsplikten och informationssäkerhetskraven. Leverantören ska säkerställa att personal som hanterar sekretessbelagda uppgifter är bundna av tystnadsplikt.

Leverantören får inte utan Beställarens tillstånd lämna uppgifter till obehörig som rör Uppdraget och som enligt Beställaren innehåller skyddsvärd uppgift.

9Tillträdesbegränsning

Endast behörig personal ska äga tillträde till lokal där Beställarens skyddsvärda uppgifter finns.

10Lämplighetsprövning

Innan en person får eller kan få tillgång till skyddsvärda uppgifter ska Leverantören pröva vederbörandes lämplighet ur säkerhetssynpunkt. Lämplighetsprövning innebär att identifiera eventuella brister i pålitlighet och lojalitet med uppdraget hos en individ, samt att klargöra om en sårbarhet finns gällande individens deltagande i uppdraget.

Lämplighetsprövningen bör omfatta en personbedömning samt inhämtande av betyg, intyg och referenser. Lämplighetsprövningen ska dokumenteras av Leverantören och på begäran redovisas till Beställaren.

Beställaren förbehåller sig rätten att begära att personal hos leverantören byts ut baserat på lämplighetsprövning eller annan information som Beställaren har tillgång till.

Leverantören ska till Beställaren anmäla omständigheter som kan vara av betydelse för bedömningen av en lämplighetsprövad persons fortsatta lämplighet och pålitlighet.

Om en person som har lämplighetsprövats inom ramen för detta avtal under Uppdragets genomförande befinns olämplig från säkerhetssynpunkt, ska Leverantören vidta de åtgärder som är lämpliga för att vederbörande inte ska få tillträde till lokaler, områden eller motsvarande där han eller hon kan få tillgång till skyddsvärda uppgifter.

11Kompetenskrav

Se avsnitt ”12 Leverantörens Personal” i Ramavtal avseende Licenspartner, SLL805.

Beställaren ska innan Uppdraget påbörjas säkerställa att de personer hos Leverantören som kan komma att få tillträde till skyddsvärda uppgifter har tillräcklig kompetens i informationssäkerhetsfrågor. Därefter ansvarar Leverantören för att dessa personer ges behövlig och fortlöpande utbildning. Utbildningen ska bland annat behandla:

• Hot och risker som från säkerhetssynpunkt föreligger mot eller är förknippade med Uppdraget

• Informationssäkerhetsåtgärder som enligt Beställarens bestämmelser ska vidtas mot föreliggande hot och risker.

12Avvikelserapportering

Leverantören ska omedelbart underrätta Beställaren (detta avtals kontaktperson/er) om inträffade eller befarade händelser och omständigheter som kan påverka informationssäkerheten vad avser Uppdraget och personer som faller under detta Huvudavtal.

13Efterlevnad och revision

Leverantören ska fortlöpande kontrollera att endast behöriga personer anlitas och att skyddsnivån är jämn och tillräckligt hög.

Beställaren har rätt att kontrollera att de i Beställarens bestämmelser redovisade och avtalade informationssäkerhetsbestämmelserna följs.

Revisionen ska ske under Leverantörens ordinarie kontorstid eller på plats och tid enligt särskild överenskommelse. Revisionen får inte vara mer ingripande för Leverantören än vad som är nödvändigt.

14Kostnader

Leverantören ska bära eventuella kostnader som uppkommer med anledning av denna informationssäkerhetsbilaga om inget annat avtalas i Huvudavtalet.

15Övrigt

Skyddsvärda uppgifter som har tillförts eller uppkommit under Uppdragets genomförande ska även efter att Huvudavtalet har upphört, eller till dess att Beställaren meddelar något annat, omfattas av tystnadsplikt.

16Krav på informationssäkerhet i it-miljö

Bestämmelser avseende informationssäkerhet för skyddsvärda uppgifter i it-miljö

16.1Allmänt

Detta avsnitt innehåller bestämmelser avseende hantering av skyddsvärda uppgifter i it-miljö som rör Uppdraget. Skyddsvärda uppgifter får endast hanteras i it-system som har godkänts för sådan hantering av Beställaren.

Leverantören ska samråda med Beställaren om osäkerhet uppstår angående vad som ska betraktas som skyddsvärda uppgifter.

Leverantören ska dokumentera mål och riktlinjer för säkerheten i it-system från anskaffning till avveckling. Leverantören ska även dokumentera instruktioner för användning, förvaltning och drift av it-system som är avsedda för behandling av skyddsvärda uppgifter.

16.2Behörighetskontroll och säkerhetsloggning

It-systemet ska ha ett behörighetskontrollsystem där varje användare är unikt identifierbar.

Systemets informationssäkerhetsklass anger krav för åtkomst till systemet.

Det ska finnas uppgift om vilka som har eller har haft behörighet i systemet.

Denna förteckning ska sparas för att spårbarhet ska kunna uppnås i efterhand. Förteckningen ska kunna överlämnas till Beställaren på begäran.

It-systemet ska logga användaridentitet, datum och tidpunkt för inloggning och utloggning samt användaraktiviteter i övrigt som är av betydelse för säkerheten i systemet. Leverantören ska dokumentera hur säkerhetsloggar ska analyseras. Beställaren ska godkänna anvisningarna. Säkerhetsloggarna ska kunna överlämnas till Beställaren på begäran. Säkerhetsloggar ska vara fysiskt skilda från övriga loggar.

16.3Skydd mot skadlig kod

Innan ny information tillförs it-systemet ska informationen kontrolleras så att den inte innehåller skadlig kod. Programvara som skyddar mot skadlig kod ska uppdateras kontinuerligt.

Leverantören ska dokumentera skyddet mot skadlig kod.

It-system ska använda programvara som fortfarande supporteras av dess tillverkare (inte är end-of-life) och säkerhetspatchar från tillverkaren ska installeras.

16.4Intrångsdetektering och skydd mot intrång

It-systemet ska vara försett med intrångsskydd och funktioner för intrångsdetektering. Leverantören ska dokumentera intrångsskyddet och intrångsdetekteringen.

16.5Skydd mot obehörig avlyssning och insyn

It-system ska vara försedda med skydd mot obehörig avlyssning (t.ex. kryptering) och insyn.

All kommunikation som sker över nätverk ska vara krypterad.

16.6Incidenthantering

Leverantören ska dokumentera rutiner för hantering, rapportering och uppföljning av incidenter av betydelse för säkerheten i eller kring ett it‑system. Beställaren ska informeras vid incidenter gällande skyddsvärd information.

16.7Säkerhetskopiering

Säkerhetskopior ska tas regelbundet enligt en av Leverantören dokumenterad rutin, och förvaras avskilt från den plats där det berörda it‑systemet finns. Säkerhetskopiorna ska testas regelbundet.

16.8Kontinuitetsplan

Leverantören ska bedöma och dokumentera den längsta tid som it-systemet kan vara ur funktion utan att Uppdraget i väsentlig omfattning störs. Leverantören ska också bedöma och dokumentera vilken reservrutin som ska användas om det inträffar.

Leverantören ska ha en tydlig plan för att säkerställa kontinuiteten i driften vid en krissituation. Leverantören ska i sin plan tydligt identifiera sårbarheter och hur effekten av dessa sårbarheter minimeras av Leverantören. Leverantören ansvarar för att samordna sina underleverantörer i dessa sammanhang.

16.9Hantering av digitala lagringsmedier

Ett lagringsmedium som innehåller eller har innehållit skyddsvärda uppgifter får endast återanvändas inom Uppdraget av behörig personal.

När ett lagringsmedium, som innehåller eller har innehållit skyddsvärda uppgifter, utrangeras ska det förstöras enligt Beställarens anvisningar.

Om ett lagringsmedium medförs från Leverantörens lokaler ska det hållas under omedelbar uppsikt eller förvaras på ett sätt som motsvarar den skyddsnivå som gäller för förvaring av lagringsmediet inom Leverantörens lokaler. Alternativt ska den skyddsvärda uppgiften krypteras med av Beställaren godkänd kryptering.

1 Med systemägare menas den som har ett överordnat ansvar för administration, drift och säkerhet för ett it-system.