Till senaste kommentaren

Går det att ställa krav på ledningssystem enligt ISO 27001?

Hej, jag undrar om det går att kravställa som krav på leverantören i en upphandling att denne ska ha ett ledningssystem enligt ISO 27001-27002 eller likvärdigt. Upphandlingen gäller ett IT-system som kommer att behandla känsliga uppgifter. I krav på tjänsten är planen att sedan gå vidare i specifika krav som rör ledningssystemets utformning och innehåll avseende själva föremålet av upphandlingen.

Tack på förhand!

Kommentarer

  • Hej Monica,

    Kravet är tillåtet att ställa om det är ändamålsenligt och proportionerligt. Utan att veta mer om standarden ISO 27001 än vad som framgår av allmänt tillgänglig information så ställer standarden krav på verksamhetens interna arbete med informationssäkerhet. Det man kan fundera över är vilken koppling det finns mellan att en leverantör som är certifierad enligt ISO 27001 och de produkter (IT-system) som den producerar. Om det inte finns någon koppling är kravet troligen varken ändamålsenligt eller proportionerligt. Om det i det upphandlade IT-systemet däremot ingår att leverantören hanterar kundernas uppgifter, till exempel genom molnlagring så är kopplingen däremot tydlig. För att avgöra om ett krav är förenligt med lagen om offentlig upphandling (LOU) behöver en bedömning göras i det enskilda fallet. Upphandlingsmyndigheten gör inte bedömningar i enskilda fall, vilket innebär att vi inte kan bistå i en sådan bedömning.

    Beroende på omständigheterna i det enskilda fallet kan det alltså vara tillåtet att i de tekniska specifikationerna hänvisa till att IT-systemet ska vara framtaget enligt ISO 27001 (ledningssystem för informationssäkerhet) eller likvärdig. För att säkerställa detta kan den upphandlande myndigheten ställa krav på att leverantören bifogar eller vid anmodan kan uppvisa bevis på att IT-systemet är framtaget enligt ISO 27001 eller likvärdig genom till exempel certifiering eller på annat likvärdigt sätt kan visa att standarden följts.

    Om jag förstått saken rätt går det inte att bli certifierad för standarden ISO 27002 då den endast innehåller riktlinjer för styrning av informationssäkerhet.

    Källhänvisningar
    • 9 kap. 4 § lag (2016:1145) om offentlig upphandling (LOU) – tekniska specifikationer i form av hänvisningar till standarder och bedömningar.
    Uppdaterad: den 14 november 2019

    Med vänliga hälsningar,
    Gustav Upphandlingsjurist

Kommentera eller skriv ett nytt inlägg

Ditt namn och inlägg kan ses av alla. Din e-post visas aldrig publikt.