Till senaste kommentaren
Kommentaren du söker har flyttats till en ny diskussion, eller är borttagen.

Går det att ställa krav på ledningssystem enligt ISO 27001?

Hej, jag undrar om det går att kravställa som krav på leverantören i en upphandling att denne ska ha ett ledningssystem enligt ISO 27001-27002 eller likvärdigt. Upphandlingen gäller ett IT-system som kommer att behandla känsliga uppgifter. I krav på tjänsten är planen att sedan gå vidare i specifika krav som rör ledningssystemets utformning och innehåll avseende själva föremålet av upphandlingen.

Tack på förhand!

Kommentarer

  • Hej Monica,

    Kravet är tillåtet att ställa om det är ändamålsenligt och proportionerligt. Utan att veta mer om standarden ISO 27001 än vad som framgår av allmänt tillgänglig information så ställer standarden krav på verksamhetens interna arbete med informationssäkerhet. Det man kan fundera över är vilken koppling det finns mellan att en leverantör som är certifierad enligt ISO 27001 och de produkter (IT-system) som den producerar. Om det inte finns är kravet troligen varken ändamålsenligt eller proportionerligt. Om det i det upphandlade IT-systemet däremot ingår att leverantören hanterar kundernas uppgifter, t.ex. genom molnlagring så är kopplingen däremot tydlig. Inom ramen för Upphandlingsmyndighetens frågeportal kan jag inte bedöma enskilda kravställningar utan ni måste avgöra om kravet ska ställas i det enskilda fallet.

    Beroende på omständigheterna i det enskilda fallet kan det alltså vara tillåtet att i de tekniska specifikationerna hänvisa till att IT-systemet ska vara framtaget enligt ISO 27001 (ledningssystem för informationssäkerhet) eller likvärdig (9 kap. 4 § LOU). För att säkerställa detta kan den upphandlande myndigheten ställa krav på att leverantören bifogar eller vid anmodan kan uppvisa bevis på att IT-systemet är framtaget enligt ISO 27001 eller likvärdig genom till exempel certifiering eller på annat likvärdigt sätt kan visa att standarden följts.

    Om jag förstått saken rätt går det inte att bli certifierad för standarden ISO 27002 då den endast innehåller riktlinjer för styrning av informationssäkerhet.

    Med vänliga hälsningar,
    Gustav Upphandlingsjurist

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post visas aldrig publikt.