Konsulentteam for sikkerhetsrevisjon

Tre av helseregionene i Norge, representert ved Sykehuspartner HF, Helse Nord IKT HF og Helse Vest IKT AS, skal gjennomføre en sikkerhetsrevisjon av en felles leverandør.  Det er ønskelig å leie inn et konsulentteam som skal stå for den praktiske gjennomføringen av sikkerhetsrevisjonen. 

Oppdraget inkluderer:

• Utarbeide revisjonsplan og testplan i samarbeid med helseregionene, som også skal godkjennes av helseregionene før oppstart av revisjonen. 

• Gjennomføre planlagt revisjon med tilhørende tester.  

• Utarbeide revisjons- og testrapporter som skal godkjennes av helseregionene i etterkant av revisjonen og testene. Det skal foreligge én rapport for revisjonen som helhet og én rapport etter utført inntrengningstest. 

• Det skal også gjennomføres revisjon av oppsett av eget kjøremiljø for hver av de tre regionene. Omfang for denne revisjonen må avtales nærmere med hver region da dette kan variere. Det skal leveres én rapport for hver region etter gjennomført revisjon, som også skal godkjennes av hver region i etterkant. 

• Rapportene skal leveres i sin helhet før oppdragets slutt. 

Det skal utføres to oppgaver for oppdragsgiver:

Oppgave 1: 

Det er allerede utført en revisjon av valgt leverandør tidligere. Denne revisjonen er en oppfølging av tidligere revisjon og vil bestå av oppfølging av arbeidet med sikkerhet i tråd med funnene fra hovedrevisjonen, kontroll av utvalgte sikkerhetstiltak, og inntrengningstest av valgt applikasjon. 

Inntrengningstest av applikasjon vil gjennomføres i Sykehuspartners miljø og være en test basert på basis brukertilgang. Testen gjennomføres etter et «grey box»-prinsipp – der tester vil ha basis brukertilgang i applikasjonen og en enkel beskrivelse av applikasjonsarkitekturen. Hensikten er å kartlegge hvordan en potensiell angriper kan utnytte applikasjonen/applikasjonstilgangen til å tilegne seg uautorisert informasjon eller tilganger gjennom misbruk av denne. Elevering av rettigheter basert på misbruk eller svakheter i standard arbeidsflate er ikke del av omfanget for testingen. Testen skal utføres mot Sykehuspartners testmiljø, og eventuelle ikke-destruktive funn verifiseres i produksjonsmiljø.

Som en del av oppdraget skal teamet fortløpende holde de tre helseregionene oppdatert om revisjonen og testene, og vil forholde seg til en egen samarbeidsgruppe som koordinerer dette arbeidet. 

Oppgave 2: 

Det skal også gjøres revisjon av kjøremiljøet for aktuell applikasjon hos hver av de tre helseregionene, hvor det skal utarbeides en egen rapport for hver helseregion. Denne revisjonen vil gjennomføres etter et «white box»-prinsipp, der tester har privilegert brukertilgang til kjøremiljøet som realiserer applikasjonen. Hensikten er å kartlegge hvordan en potensiell angriper kan utnytte verdikjeden som realiserer applikasjonen til å tilegne seg uautorisert informasjon eller tilganger gjennom misbruk av denne. En slik test vil utføres i produksjonsmiljø, og skal kun gjennomføres ved konfigurasjonskontroll og intervjuer med driftspersonell, uten aktive handlinger som kan påvirke kjøremiljøet.  

Oppgave 2 skal løses fortrinnsvis av rolle 2, men kan også kombineres med de andre rollene. 

Annet:

Oppdragsgiver forbeholder seg retten til å avvise eller utelukke konsulentteam dersom det foreligger forhold som kan svekke tilliten til deres uavhengighet eller habilitet. Dersom slike forhold avdekkes etter kontraktsinngåelse, kan dette anses som vesentlig mislighold og gi grunnlag for heving. Dette vil bli nærmere avklart i eventuelle intervju med aktuelle konsulenter. 

Leverandør må vedlegge eksempel på rapport både for inntrengingstester og revisjonsrapport –leveres som vedlegg til tilbudet.

Rapportene må kunne deles ubegrenset av oppdragsgiver.

Rolle 1: Seniorkonsulent – revisjonsleder

Må ha krav til valgt konsulent:

• Dokumentert erfaring med minst fem gjennomførte sikkerhetsrevisjoner

• Sertifisert ISO/IEC 27001 Lead Auditor eller Lead Implementer

• Dokumentert erfaring med arbeid som revisjonsleder 

Ønsket erfaring og kompetanse:

• God kjennskap til NSMs grunnprinsipper for IKT-sikkerhet, Normen – Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren og andre etablerte standarder for informasjonssikkerhet

• Dokumentert kunnskap og erfaring fra helsesektoren

• Sertifiseringer som CISA eller tilsvarende

Rolle 2:  Seniorkonsulent – kontroll av sikkerhetstiltak

Må ha krav til valgt konsulent:

• Dokumentert teknisk kompetanse

• Minimum tre års dokumentert erfaring med kontroll av sikkerhetstiltak

• Dokumentert erfaring innen informasjonssikkerhet

Ønsket erfaring og kompetanse:

• Kjennskap til sikkerhetsarkitektur

• God kjennskap til relevant beste praksis og leverandøranbefalinger

• Sertifiseringer som CISA, ISO/IEC 27001 Lead Auditor eller tilsvarende - God kjennskap til revisjon

Rolle 3: Seniorkonsulent og/eller juniorkonsulent – inntrengningstest/applikasjonstest

Må ha krav til valgt seniorkonsulent:

• Dokumentert teknisk kompetanse

• Minimum tre års dokumentert erfaring med applikasjonstesting

Må ha krav til valgt (junior-)konsulent:

• Dokumentert teknisk kompetanse

• Dokumentert erfaring med applikasjonstesting

Ønsket erfaring og kompetanse:

• Relevante sertifiseringer som f.eks. Offensive Security Certified Professional (OSCP) eller lignende

• God kjennskap til relevant beste praksis og etterlevelse

• Kjennskap til revisjon

• Kjennskap til NSMs grunnprinsipper for IKT-sikkerhet, Normen – Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren og andre etablerte standarder for informasjonssikkerhet

Teamets egnethet:

Det er forventet av teamet som leveres har disse egenskapene som helhet:

• God muntlig og skriftlig fremstillingsevne på norsk

• Gode samarbeidsevner

• God oppdragsforståelse

• Evne til å fremstille lettfattelige og gode rapporter av funn inkludert anbefalte tiltak.

Det forventes i tillegg at revisjonsleder har evne til å drive prosessen og arbeide selvstendig.

Det er krav om sikkerhetssjekk for aktuelle kandidater.

Vi ønsker ikke tilbud med kandidater som ikke oppfyller angitte må-ha krav.

Varighet: 04.05.2026 - 31.08.2026 + opsjon frem til 30.09.2026

Omfang: Team bestående av 3-4 konsulenter i inntil 250 % stilling som skal dekke tre roller.

Teamet må bestå av én seniorkonsulent som skal fungere som revisjonsleder (rolle 1). Teamet skal også inneholde én seniorkonsulent som skal stå for kontroll av sikkerhetstiltak (rolle 2) og inntil to konsulenter (minst én skal være seniorkonsulent) som skal gjennomføre inntrengningstest av applikasjon (rolle 3). Totalt pådrag for hele teamet er inntil 250 %, og maks antall for konsulentteamet er fire personer.

Arbeidssted: Fleksibelt, det er anledning til fjernarbeid, men det vil være behov for noe tilstedeværelse ved lokalene til leverandøren (revisjonsobjektet) og Sykehuspartner HFs lokaler på Skøyen i forbindelse med gjennomføring av revisjonen.   

For reiser mellom konsulentens bosted og avtalt arbeidssted som er lengre enn 70 km hver vei, dekker kunden transport- og hotellkostnader etter regning.

Konsulentene må regne med ulik belastning i perioden. Tilbudte konsulenter må være tilgjengelige for kunde i hele perioden. Det må regnes med at ferie i stort må avvikles i juli, jule- og påskeuken.

Søknadsfrist: 10.04.26