RFI - Anskaffelse av styringssystem for informasjonssikkerhet og personvern (ISMS og PIMS) for Buskerud fylkeskommune (BFK)

RFI for Buskerud fylkeskommune (BFK) om løsning for styringssystem for informasjonssikkerhet og personvern (ISMS og PIMS). Markedsdialog skal danne grunnlag for kravspesifikasjon og senere anskaffelse. ISMS er en IT-løsning (SaaS) for forebyggende sikkerhetsarbeid i tråd med regulatoriske og organisatoriske krav (bl.a. ISO/IEC 27001/27002:2022 og ISO/IEC 27701:2025 samt NSM m.fl.). Det etterspørres særlig konfigurerbar hyllevare, integrasjon mot kvalitets-/internkontroll (internkontrollsystem) og funksjonsmoduler, samt support-/drifts- og sikkerhetskrav samt bærekraft (EU-taksonomi for datasentre).

• Tekst er en RFI; konkrete tildelingskriterier/vektinger for selve anskaffelsen fremgår ikke.
• Kapitler/henvisninger til «kapittel 4.2 del 2» og «kapittel 1 kravspesifikasjon» er ikke inkludert i utdraget, så komplette modul-/kravoversikter kan være mer detaljerte enn listet her.
• Krav om integrasjon «uten merkostnad for oppdragsgiver» beskrives som forutsetning, men detaljer om hva som inngår/ikke inngår kostnadsmessig er ikke fullt operasjonalisert.
• Kontrakt/standardavtale: om SSA-lille sky faktisk skal benyttes og hvilke bilag som skal fylles ut er ikke spesifisert utover at det vurderes.

• Levere informasjon om leverandørsertifisering i henhold til ISO/IEC 27001 og/eller ISO 27701 (ja/nei) og eventuelt scope på sertifikat.

  Beskrivelse av om leverandøren er sertifisert, og i så fall scope.

  Del 1, spørsmål 1 (Er leverandøren sertifisert i henhold til ISO/IEC 27001 og/eller ISO27701?)
• Dersom leverandøren ikke er sertifisert: beskrive hvordan styringssystemet deres tilsvarer ISO 27001 og/eller ISO 27701.

  Redegjørelse for tilsvaret til ISO 27001/ISO 27701.

  Del 1, spørsmål 2 (Dersom leverandøren ikke er sertifisert: Beskriv hvordan deres styringssystem tilsvarer …)
• Beskrive hvordan risikovurderinger, revisjoner og oppfølging av avvik gjennomføres, og i hvilken grad oppdragsgiver kan basere seg på tredjepartsrevisjoner samt få tilgang til revisjonsrapporter.

  Besvarelse av spørsmål 3 og 4 (metode/praksis og tilgang til rapporter).

  Del 1, spørsmål 3-4 (Risikovurderinger, revisjoner, oppfølging av avvik; tredjepartsrevisjoner og tilgang til revisjonsrapporter)

• Gi leverandørens generelle informasjon: firmanavn, kontaktinformasjon og org.nr.Generell informasjon om leverandøren (Firmanavn / Kontaktinformasjon / Org. nr.)
• Oppgi erfaring og referanser fra lignende prosjekter, spesielt innen offentlig sektor.Generell informasjon om leverandøren (Leverandørens erfaring og referanser …)
• Beskriv muligheter for integrasjon mellom ISMS/PIMS og systemstøtte for kvalitet og internkontroll, inkludert dokumentdeling, samordnet håndtering av risiko/avvik/tiltak, felles oppfølging/rapportering, samordnet revisjon/kontroll, og åpne dokumenterte integrasjonsgrensesnitt (API) uten merkostnad for henting/overføring til/fra andre systemer. Konkretiser: native integrasjon vs API/tredjepart, integrasjonsstandarder (f.eks. REST/SCIM), plattform vs modulbasert, felles datamodell vs mapping, eksempler på eksisterende integrasjoner, og begrensninger for integrasjon.Systemstøtte for kvalitet og internkontroll (kommunikasjon og konkret beskrivelse av integrasjon)
• Redegjør for del 1-evalueringspunkter: (1) sertifisering (ISO/IEC 27001 og/eller ISO 27701) og scope ved ja; (2) ved ikke-sertifisering: hvordan løsningen deres tilsvarer standardene; (3) hvordan risikovurderinger, revisjoner og oppfølging av avvik gjennomføres; (4) i hvilken grad oppdragsgiver kan basere seg på tredjepartsrevisjoner og få tilgang til revisjonsrapporter.Del 1 (Evaluering) – spørsmål 1-4
• Beskriv ISMS-løsningens funksjonalitet og hovedfunksjoner, samt hvordan løsningen oppfyller krav i ISO 27001 og 27701.Løsningens funksjonalitet (Hvordan oppfyller kravene i ISO 27001 og 27701)
• Beskriv produktets «hyllevare»-status: evne til å være konfigurerbart eller behov for utvikling, med forklaring av aktiverbare funksjoner.Løsningens funksjonalitet (Produktet må være «hyllevare» … konfigurerbart / behov for utvikling)
• Dersom funksjoner ikke passer modulstrukturen: forklar tydelig og enkelt hvordan funksjonene er organisert og eventuelt overlapper moduler, og sørg for at vedlagte modulbeskrivelser dekker alle relevante moduler med gode referanser.Løsningens funksjonalitet (Modulstruktur i kapittel 4.2 del 2)
• Beskriv del 2-moduler som ISMS skal inneha, i henhold til oppgitt moduliste, inkl.: Styrende dokumenter (Governance), GAP-analyser, Kontroller, Risikovurderinger, Trusselvurderinger/Trusselkatalog, Eiendelsregister/Assets, Samsvar/Compliance, Avviks og forbedringsforslag, Hendelseshåndtering, Sikkerhetsrevisjoner og rapportering, Bevisstgjøring/awareness, Kontinuerlig forbedring, GDPR/DPIA/DTIA og FRIA, behandlingsprotokoll, etterlevelseskontroll av databehandlere, rapporter (uttrekk fra moduler).Del 2 (Tilbyder må redegjøre for moduler …)

• Datasenterkrav iht. EU-taksonomi: datasentrene som brukes skal operere iht. EU-taksonomiens rammeverk for bærekraftige datasentre; krav gjelder innen ett år fra signering og ut kontraktsperioden; leverandør skal godta kravet ved innlevering av tilbud og etter 1 år fremlegge gyldig dokument fra uavhengig tredjepart.Bærekraft – EU-taksonomi
• SLA/oppetid og tilgjengelighet: minimum 99,5 % oppetid per måned.Supplerende SLA-krav – Oppetid
• Planlagt nedetid: varsles minimum 5 arbeidsdager i forkant.Supplerende SLA-krav – Planlagt nedetid
• Uforutsett nedetid: varsles så raskt som mulig, normalt innen 30 minutter.Supplerende SLA-krav – Uforutsett nedetid
• Gjenopprettingstid (RTO): Kritisk < 2 timer, Høy < 12 timer, Normal < 2 arbeidsdager.Supplerende SLA-krav – RTO
• Datatap (RPO): Kritisk < 1 time, øvrige < 24 timer.Supplerende SLA-krav – RPO
• Eskalering: automatisk til neste nivå dersom SLA brytes.Supplerende SLA-krav – Eskalering
• Rapportering: kvartalsvis rapportering på SLA, avvik og tilgjengelighet.Supplerende SLA-krav – Rapportering