Risikovurdering - DSS - ATJ6128

Bakgrunn

DSS deltok i et pilotprosjekt fra Direktoratet for forvaltning og økonomistyring (DFØ) om bruk av verktøyet «Budsjettstyring». Høsten 2023 avviklet DFØ pilotprosjektet og det oppstod behov for et nytt verktøy for budsjett, prognose og rapportering.

I DSS ligger Seksjon for økonomistyring (ØKS) og Seksjon for sikkerhet- og virksomhetsstyring (SIV) i Avdeling for Virksomhetsstyring (VIS). Det er tett samarbeid mellom ØKS og SIV. Vi ønsker å anskaffe ett system som ivareta behovene både for budsjett, prognose og rapportering, med en opsjon for mål- og resultatstyring.

Før en slik anskaffelse har DSS behov for å gjennomføre en risikovurdering av informasjonen DSS skal presentere i løsningen. Dette både ut fra et viksomhetsperspektiv og de registrertes perspektiv, da DSS i løsningen vil behandle personopplysninger.

Oppdrag

Gjennomføre en risikovurdering av den informasjonen virksomheten skal ha i løsningen. DSS har behov for konsulentbistand for den praktiske gjennomføringen av en slik risikovurdering. Resultatet av risikovurderingen vil, om nødvendig, nedfelles som skal-krav og bør-krav i kravspesifikasjonen som publiseres med anskaffelsen. Konsulenten må påberegne dialog både med DSS og DIO.

Omfang og arbeidsoppgaver – del 1

-        Kvalitetssikre kartleggingen av informasjon som skal inn i systemet

-        Gjennomføre risikovurderinger som svarer ut både informasjonssikkerhet og personopplysningssikkerhet etter GDPR

-        Dialog og samarbeid med DIO, om nødvendig informasjon knyttet til risikovurderingen

-        Kvalitetssikre/utforme skal-krav og bør-krav som må inn i kravspesifikasjonen

-        Ansvar for fremdrift og dialog, møteledelse og produksjon av alle nødvendige dokumenter

Departementenes digitaliseringsorganisasjon (DIO) skal sikre, drifte og utvikle digitale fellestjenester for departementsfellesskapet. DIO leverer Fells IKT-plattform til DSS. Når det gjelder integrasjoner med Felles IKT-plattform, single-sign-on løsninger, vil DSS derfor være avhengig av å få sikkerhetskrav og funksjonelle krav fra DIO.

Konsulenten bes beskrive fremdriftsplan og valgte metode/tilnærming til risikovurderingen.

Omfang og arbeidsoppgaver – del 2

En del av oppdraget er å kvalitetssikre risikovurderingene etter at leverandør er valgt og vi har mer informasjon om hva slags løsning som leveres.

Kompetanse og erfaring

-        Ressurser med minst 8 års erfaring eller mer innenfor arbeidsoppgavene som er angitt

-        Minimum formell kompetanse på mastergradsnivå eller tilsvarende innen fagområdet, lang og dokumentert erfaring kan oppveie for kravet til formell kompetanse

-        Solid kunnskap om personvernarbeid og informasjonssikkerhet i offentlig sektor og norsk personvernlovgivning

-        God evne til å kommunisere klart og effektivt med både tekniske og fagadministrative miljøer

Vilkår

Omfang: Del 1 - 100 timer. Del 2 - 20 timer

Øvre ramme: 160 000 kr

Oppstart: Snarest og innen 15.2

Varighet: Ca 3 uker

Svarfrist: 3.2.2026 kl 12:00