Anskaffa och utveckla

I de fall då kommunen uppdrar åt andra att hantera verksamheternas information ska avtalet omfatta sådana krav att informationen hanteras, skyddas och följs upp i enlighet med kommunens styrdokument samt verksamheternas krav på säkerhet och skydd utifrån klassning. I Stödanvisning för anskaffning och utveckling beskrivs hur.

En riskbedömning ska alltid genomföras innan avtal ingås. Vid ändring av leverantörers tjänster eller avtal ska en förnyad riskbedömning genomföras. För information som bedöms som skyddsvärd och känslig samt för verksamhetskritiska och/eller samhällsviktiga tjänsteleveranser ska det i avtalet framgå att kommunen regelbundet har möjlighet att övervaka, granska och genomföra revision.

Leverantörer av IT-tjänster ska uppdras att klassa sina system och tjänster, och skriftligen deklarera hur väl de svarar mot definierade informationssäkerhetskrav, bilaga Säkerhetsdeklaration. Detta för att ge informationsägarna ett underlag för bedömning av vilken nivå av informationsklass som kan hanteras där. Vidare ska leverantörer säkerställa att säkerhetsåtgärderna motsvarar skyddsbehovet för den information som redan finns i tjänsten och att en skyndsam avvikelse- och incidentrapportering görs när informationssäkerheten påverkas eller riskerar att påverkas.

Leverantörer som kan få tillgång till eller ska använda, behandla eller hantera känslig och skyddsvärd information behöver skriva under kommunens sekretessförbindelse. I de fall det gäller personuppgifter ska det finnas PUB-avtal mellan kommunen och organisationen.  

Stöddokument vid anskaffa och utveckla

• Stödanvisning för anskaffning och utveckling
• Bruttokravlista enligt informationsäkerhet ISO-standard 27001
• Mall för utökad riskanalys
• Säkerhetsdeklaration (leverantör)
• Sekretessförbindelse (NDA)

Länk

MSB:s Upphandling till samhällsviktig verksamhet – en vägledning