Hur arbetar vi med informationssäkerhet?
Förstudie
Statens inköpscentral undersöker behov och möjlighet att ställa krav på informationssäkerhet i samtliga upphandlingsprojekt. Förutsättningarna varierar mycket mellan olika ramavtalsområden och branscher. Inför varje upphandling utreds därför förutsättningarna för vilken typ av informationssäkerhetskrav som kan bli tillämpliga.
I förstudien är både leverantörer och myndigheter involverade. I förstudierapporten redovisas sedan kortfattat vilka eventuella behov som kan finnas och i vilken utsträckning det är möjligt att ställa informationssäkerhetskrav i den kommande upphandlingen.
Upphandling
I upphandlingen fastställs vilka krav som behöver ställas på leverantörer som ska tilldelas ramavtal. I upphandlingen tas fram de krav och villkor avseende informationssäkerhet som bedöms behövas och som är lämpliga att ställa.
Förvaltning
I avtalsförvaltning ingår uppföljning upp de krav som ställts i upphandlingen. Det omfattar bland annat en riskklassning och en prioritering av de krav som ingår i uppföljningsplanen.
Under förvaltningsfasen kan även avropsexempel tas fram för att belysa hur preciseringar av de allmänna krav som ställs i ramavtalsupphandlingen kan utformas. Ett exempel på ett sådant är avrop av stöd till organisationens arbete med informationssäkerhetsledningssystem från ramavtalsområdena för managementtjänster.
Pågående aktiviteter
Samarbete med MSB bedrivs för att ta fram avropsexempel från ramavtalen för managementtjänster, om hur man avropa stöd för sitt arbete med informationssäkerhetsledningssystem.
Samarbete med Säkerhetspolisen pågår kring säkerhetsskyddsavtal och hur de kan och bör användas i samband med kontrakt utgående från ramavtal.
Samverkan sker med samtliga förstudier, upphandlingar och all förvaltning.
Att ställa informationssäkerhetskrav vid avrop
Avropsberättigade som gör avrop på ramavtal i förnyad konkurrensutsättning har många gånger möjlighet att precisera krav på informationssäkerhet i sina avrop.
De krav som ställs i ramavtalsupphandlingen är av nödvändighet på en övergripande nivå. Detta för att de ska kunna användas under väldigt olika förutsättningar och tillämpas på anskaffningar för många olika typer av organisationer.
Vid avropen görs preciseringar där de övergripande kraven konkretiseras så de möter de aktuella behoven. I många fall kan samma preciseringar användas av många organisationer. Utformandet och återanvändandet av förvaltningsgemensamma preciseringar kan ofta underlätta avropen, spara resurser, ensa efterfrågan och därmed ge möjlighet för leverantörerna att paketera lämpliga lösningar.
Samverkan med andra organisationer
Inom området informationssäkerhet samverkar vi med följande myndigheter och organisationer: