Går det att ställa krav på ledningssystem enligt ISO 27001?
Publicerad 25 oktober 2017
Hej, jag undrar om det går att kravställa som krav på leverantören i en upphandling att denne ska ha ett ledningssystem enligt ISO 27001-27002 eller likvärdigt. Upphandlingen gäller ett IT-system som kommer att behandla känsliga uppgifter. I krav på tjänsten är planen att sedan gå vidare i specifika krav som rör ledningssystemets utformning och innehåll avseende själva föremålet av upphandlingen.
Tack på förhand!
Tack på förhand!
Monica
Publicerad 25 oktober 2017
Hej Monica,
Kravet är tillåtet att ställa om det är ändamålsenligt och proportionerligt. Utan att veta mer om standarden ISO 27001 än vad som framgår av allmänt tillgänglig information så ställer standarden krav på verksamhetens interna arbete med informationssäkerhet. Det man kan fundera över är vilken koppling det finns mellan att en leverantör som är certifierad enligt ISO 27001 och de produkter (IT-system) som den producerar. Om det inte finns någon koppling är kravet troligen varken ändamålsenligt eller proportionerligt. Om det i det upphandlade IT-systemet däremot ingår att leverantören hanterar kundernas uppgifter, till exempel genom molnlagring så är kopplingen däremot tydlig. För att avgöra om ett krav är förenligt med lagen om offentlig upphandling (LOU) behöver en bedömning göras i det enskilda fallet. Upphandlingsmyndigheten gör inte bedömningar i enskilda fall, vilket innebär att vi inte kan bistå i en sådan bedömning.
Beroende på omständigheterna i det enskilda fallet kan det alltså vara tillåtet att i de tekniska specifikationerna hänvisa till att IT-systemet ska vara framtaget enligt ISO 27001 (ledningssystem för informationssäkerhet) eller likvärdig. För att säkerställa detta kan den upphandlande myndigheten ställa krav på att leverantören bifogar eller vid anmodan kan uppvisa bevis på att IT-systemet är framtaget enligt ISO 27001 eller likvärdig genom till exempel certifiering eller på annat likvärdigt sätt kan visa att standarden följts.
Om jag förstått saken rätt går det inte att bli certifierad för standarden ISO 27002 då den endast innehåller riktlinjer för styrning av informationssäkerhet.
Källhänvisningar
Med vänliga hälsningar,
Kravet är tillåtet att ställa om det är ändamålsenligt och proportionerligt. Utan att veta mer om standarden ISO 27001 än vad som framgår av allmänt tillgänglig information så ställer standarden krav på verksamhetens interna arbete med informationssäkerhet. Det man kan fundera över är vilken koppling det finns mellan att en leverantör som är certifierad enligt ISO 27001 och de produkter (IT-system) som den producerar. Om det inte finns någon koppling är kravet troligen varken ändamålsenligt eller proportionerligt. Om det i det upphandlade IT-systemet däremot ingår att leverantören hanterar kundernas uppgifter, till exempel genom molnlagring så är kopplingen däremot tydlig. För att avgöra om ett krav är förenligt med lagen om offentlig upphandling (LOU) behöver en bedömning göras i det enskilda fallet. Upphandlingsmyndigheten gör inte bedömningar i enskilda fall, vilket innebär att vi inte kan bistå i en sådan bedömning.
Beroende på omständigheterna i det enskilda fallet kan det alltså vara tillåtet att i de tekniska specifikationerna hänvisa till att IT-systemet ska vara framtaget enligt ISO 27001 (ledningssystem för informationssäkerhet) eller likvärdig. För att säkerställa detta kan den upphandlande myndigheten ställa krav på att leverantören bifogar eller vid anmodan kan uppvisa bevis på att IT-systemet är framtaget enligt ISO 27001 eller likvärdig genom till exempel certifiering eller på annat likvärdigt sätt kan visa att standarden följts.
Om jag förstått saken rätt går det inte att bli certifierad för standarden ISO 27002 då den endast innehåller riktlinjer för styrning av informationssäkerhet.
Källhänvisningar
- 9 kap. 4 § lag (2016:1145) om offentlig upphandling (LOU) – tekniska specifikationer i form av hänvisningar till standarder och bedömningar.
Med vänliga hälsningar,
Gustav
07 november 2017
Hej,
Det framgår inte helt tydligt av ert svar om det är tillåtet att ställa krav på ledningssystem för informationssäkerhet i kvalificeringsfasen på samma sätt som krav på kvalitets- och miljöledningssystem, förutsatt att det är relevant för upphandlingsföremålet.
Det framgår inte helt tydligt av ert svar om det är tillåtet att ställa krav på ledningssystem för informationssäkerhet i kvalificeringsfasen på samma sätt som krav på kvalitets- och miljöledningssystem, förutsatt att det är relevant för upphandlingsföremålet.
Per Johansson
26 oktober 2023
Hej Per,
Ett kvalificeringskrav avser leverantörens allmänna förmåga att utföra uppdraget och exempelvis kan handla om att leverantören ska ha viss teknisk och yrkesmässig kapacitet för att kontraktet ska kunna fullgöras enligt en ändamålsenlig kvalitetsstandard.
Som bevis för att en leverantör har den allmänna förmåga som krävs för att utföra uppdraget får den upphandlande organisationen ställa krav på att leverantören följer vissa kvalitetssäkrings- och miljöledningsstandarder så som exempelvis kvalitets- och miljöledningssystem enligt ISO. Bestämmelsen utesluter inte att andra standarder kan vara tillämpliga. En förutsättning är dock att den upphandlande organisationen preciserar kraven genom att hänvisa till kvalitetssäkringssystem som bygger på relevanta europeiska standardserier och är certifierade av organ som har ackrediterats för uppgiften.
Enligt Svenska Institutet för Standarder (SiS) har ledningssystemstanderder enligt ISO 27000-serien likheter med andra ledningsssystemstandarder såsom ISO 9001 och ISO 14000 vilket talar för att det skulle kunna vara möjligt att ställa ett kvalificeringskrav som avser ledningssystem för informationssäkerhet. Så vitt vi känner till har denna fråga dock inte blivit prövad i domstol och rättsläget för om ett ledningssystem för informationssäkerhet kan tillämpas som ett kvalificeringskrav i en upphandling får därför betraktas som oklart.
Läs mer
Läs mer om ISO 27001-serien på SiS webbplats. Läs även mer om hur man kan upphandla informationssäkert i Myndigheten för samhällsskydd och beredskaps (MSB:s) vägledning Upphandla informationssäkert – en vägledning som finns publicerad på myndighetens webbplats.
Källhänvisningar
Ett kvalificeringskrav avser leverantörens allmänna förmåga att utföra uppdraget och exempelvis kan handla om att leverantören ska ha viss teknisk och yrkesmässig kapacitet för att kontraktet ska kunna fullgöras enligt en ändamålsenlig kvalitetsstandard.
Som bevis för att en leverantör har den allmänna förmåga som krävs för att utföra uppdraget får den upphandlande organisationen ställa krav på att leverantören följer vissa kvalitetssäkrings- och miljöledningsstandarder så som exempelvis kvalitets- och miljöledningssystem enligt ISO. Bestämmelsen utesluter inte att andra standarder kan vara tillämpliga. En förutsättning är dock att den upphandlande organisationen preciserar kraven genom att hänvisa till kvalitetssäkringssystem som bygger på relevanta europeiska standardserier och är certifierade av organ som har ackrediterats för uppgiften.
Enligt Svenska Institutet för Standarder (SiS) har ledningssystemstanderder enligt ISO 27000-serien likheter med andra ledningsssystemstandarder såsom ISO 9001 och ISO 14000 vilket talar för att det skulle kunna vara möjligt att ställa ett kvalificeringskrav som avser ledningssystem för informationssäkerhet. Så vitt vi känner till har denna fråga dock inte blivit prövad i domstol och rättsläget för om ett ledningssystem för informationssäkerhet kan tillämpas som ett kvalificeringskrav i en upphandling får därför betraktas som oklart.
Läs mer
Läs mer om ISO 27001-serien på SiS webbplats. Läs även mer om hur man kan upphandla informationssäkert i Myndigheten för samhällsskydd och beredskaps (MSB:s) vägledning Upphandla informationssäkert – en vägledning som finns publicerad på myndighetens webbplats.
Källhänvisningar
- 14 kap. 5 § lag (2016:1145) om offentlig upphandling (LOU) – kvalificeringskrav avseende leverantörens tekniska och yrkesmässiga kapacitet
- 15 kap. 14 § LOU – bevis om kvalitetssäkringsstandarder.
Victoria
Jurist
02 november 2023
Fråga oss!
25–26 april är Frågeservice stängd på grund av verksamhetsutveckling. På grund av en stor mängd inkomna frågor har vi just nu längre svarstider i Frågeportalen.