Perustettavan dynaamisen hankintajärjestelmän sisäisinä kilpailutuksina kilpailutetaan asiantuntijaresursseja hankintarenkaan yksikköjen ja Vimana Oy:n tulevien asiakkaiden (HE 15/2017 vp ja siihen littyvä asetus) käyttöön. Hankintayksikköjä voidaan lisätä järjestelmään uudella hankintailmoituksella. Maakuntalain ja siihen liittyvän Vimana Oy:tä koskevan asetuksen tultua voimaan hankintajärjestelmään liitettävistä yhteishankintayksikköasiakkaista tehdään hankintailmoitus. Uusien hankintayksikköjen hankintoja julkaistaan hankintajärjestelmän sisäisenä kilpailutuksena aikaisintaan 30 päivän kuluttua hankintailmoituksen julkaisemisesta.

Pyydämme kiinnostuneita yrityksiä jättämään osallistumishakemuksensa nyt perustettavaan dynaamiseen hankintajärjestelmään (jatkossa DPS). Lähtökohtaisesti edellytetään, että palveluntarjoaja tuntee ja kykenee soveltamaan toimeksiantojen suorittamisessa julkisen hallinnon yhteistä kokonaisarkkitehtuuria ja JHS-suosituksia sekä muita parhaita käytäntöjä.

Työtehtävät ja projektit kohdistuvat järjestelmien ja niiden välisten tietoteknisten yhteyksien ja tietoturvallisuuteen liittyvän toiminnallisen ja teknisen laadun auditointiin, teknisen tietoturvallisuuden suunnitteluun, kehittämiseen, käyttöönottoon, jalkautukseen, auditointiin. Auditointi kohdistuu järjestelmä- tai sovellustoimituksen sekä näihin liittyvien prosessien ja dokumentaation laadunvarmistamiseen ja jatkuvaan seurantaan sekä sen todentamiseen, että toimitettu kokonaisuus täyttää tehdyt määritykset ja vaatimukset. Auditointikokonaisuuteen voi sisältyä myös hallinnollinen auditointi. Keskeisiä tehtäviä ovat myös tietojärjestelmien teknisen ja toiminnallisen tietoturvallisuuden varmistamiseen liittyvät tehtävät, kuten riskienhallinta, vaatimusmäärittelyt, tietoturvallisuuden auditointi, varautumis- sekä jatkuvuus-/toipumissuunnittelu sekä tietoturvallisuuden hallintajärjestelmää kehittävät tehtävät. Hankittava palvelu voi olla projektiluonteista tai jatkuvaa palvelua. Asiantuntijoita voidaan käyttää myös tietoturvallisuuden hallinnan kehittämiseen ja tarvittavien muutosten toteuttamiseen, järjestelmien luotettavuuden varmistamiseen, jatkuvuuden turvaamiseen, käyttö- ja pääsyvaltuuksien hallinnan (IAM) kehittämiseen ja yksityisyyden ja tiedon suojaamisen suunnitteluun sekä näihin liittyvien ratkaisujen toteutukseen. Tietoturvakonsultoinnin ja auditoinnin keskeisinä kohteina ovat seuraavat osa-alueet:

– järjestelmäkohtaisten tietoturva-asetusten määrittäminen,

– järjestelmähankintoihin liittyvät tietoturvamääritykset,

– tietoturvallisuuden hallinnan kehittäminen ja transformaatio,

– järjestelmien ja näihin liittyvien prosessien ja toiminnan auditointi,

– jatkuvuuden hallinta ja varautumisen suunnittelu sekä kehittäminen,

– esim. toipumis- tai varautumissuunnittelu,

– tekninen tietoturvallisuuden kehittäminen ja varmistaminen,

– tunnistautumisjärjestelmiin liittyvät asiantuntijatyöt,

– verkkoturvallisuus sekä verkot ja niiden segmentointi sekä salaustekniikat,

– haavoittuvuusanalyysi,

– tekninen ja hallinnollinen tietoturva-auditointi,

– tietoon kohdistuvien riskienhallinta (tietoriskit),

– tilaturvallisuuden suunnittelu, toteutus ja kehittäminen, esim. avainten- ja pääsynhallinta, kulunvalvonta ja muu fyysinen tietoturva.

Palveluntuottajan asiantuntijoilta voidaan edellyttää tiettyjen käytäntöjen tai viitekehysten, kuten ISO27001-standardin, Katakrin, Vahti-ohjeistuksen tai vastaavan noudattamista. Toimittajalta voidaan edellyttää Viestintäviraston hyväksyntää sille, että toimittaja voi toimia tietoturvallisuuden arviointilaitoksista annetun lain mukaisena arviointilaitoksena. Toimittajan asiantuntijoilta voidaan edellyttää kokemusta mm. järjestelmien toiminnallisesta auditoinnista, projektiauditoinnista ja teknisestä auditoinnista.

Varsinaiset hankinnat tehdään erillisten tarjouspyyntöjen perusteella DPS:n sisällä. Vimana tai muut hankintayksiköt eivät sitoudu hankkimaan DPS:ssa mitään vähimmäismäärää palveluja. Perustettava DPS tai mikään DPS:n sisällä tehty hankintasopimus ei myöskään anna osallistujalle yksinoikeutta palvelujen tuottamiseen. DPS:iin voi hakea mukaan milloin tahansa sen keston aikana. Tarjoajiksi hyväksyttävien määrää ei rajoiteta.