HSL:n ("Tilaaja") hankinnan kohteena oli tietoturvallisuuden ja tietosuojan eri osa-alueiden asiantuntijapalvelut, "Kyberturvallisuuden asiantuntijapalvelut".

Hankinnan tarkoitus oli solmia puitesopimus kyberturvallisuuden asiantuntijapalveluiden hankinnasta usean palveluntoimittajan kanssa ja siten varmistaa riittävät resurssit HSL:n tietoturvallisuuteen ja tietosuojaan liittyvän asiantuntijatyön tuottamiseksi.

Hankinnan tavoite oli muodostaa puitejärjestely, josta voidaan hankkia ketterästi yksittäisiä asiantuntijoita tai kokonaisia tiimejä.

Tämän hankintamenettelyn tuloksena syntyneellä puitesopimuksella hankittavat asiantuntijatehtävät voivat olla laajasti hankinnan eri osa-alueisiin liittyvää määrittelyä, suunnittelua ja toteutusta sekä auditointeja/arviointeja. Nämä tehtävät voivat kohdistua niin sisäisen kyberturvallisuuden ylläpitoon ja kehittämiseen kuin projekteihin.

Työ suoritetaan HSL:n tietoturva- ja tietosuojaprosessin ohjauksessa ja yhteistyössä IT:n ja liiketoimintayksiköiden sekä muiden palveluntuottajien ja sidosryhmien kanssa.

Tiimit voivat koostua osittain tai kokonaan palveluntuottajan asiantuntijoista erilaisilla allokaatioilla sekä vastuilla. Tiimien kokoonpano tarkennetaan tapaus- ja tarvekohtaisesti. Vastuu ratkaisuista niin toiminnallisesti kuin teknisesti on koko tiimillä.

Puitejärjestelyssä ei ole projektien koolle tai laskutukselle asetettua euromääräistä alarajaa, joten projektien/toimeksiantojen koko voi vaihdella merkittävästi. Puitejärjestelyn sopimusmenettely esitettiin hankinta-asiakirjoissa.

Puitejärjestely koskettaa seuraavia toiminnan osa-alueita ja/tai prosesseja:

• Hallinnollinen tietoturvallisuus

• Tekninen tietoturvallisuus

• PCI DSS (Payment Card Industry Data Security Standard)

• Tietosuoja

Hankinta oli jaettu osiin. Osia koskevat tiedot oli tarkemmin määritelty hankinta-asiakirjoissa. Yhdelle tarjoajalle voitiin myöntää kaikki osat. Kaikkia osia ei ollut pakko tarjota.

Hankintayksikkö asetti tarjoajia koskien soveltuvuusvaatimuksia, palvelua sekä sen kautta hankittavien asiantuntijoiden kokemusta ja osaamista koskevia vaatimuksia.

Menettely käytiin suomenkielisenä. Asiakirjat olivat saatavilla suomenkielisinä.

Menettelyyn osallistumisesta ei maksettu korvausta.

HSL:n tietoturvallisuuden hallintajärjestelmä (ISMS) on toteutettu ISO/IEC 27001:2013 pohjalta.

Tämän osan hankinnan kohteena ovat Toimittajan hallinnollisen tietoturvallisuuden asiantuntijapalvelut, joiden avulla voidaan riskiperusteisesti suunnitella, toteuttaa, arvioida ja kehittää tietoturvallisia tuotteita ja palveluja HSL:n käyttäjille.

Hallinnollisen tietoturvallisuuden asiantuntijapalveluiden kirjo ymmärretään laajasti ja laaja-alaisesti. Asiantuntijapalveluiden tarpeen ja käytön painopisteet voivat vaihdella merkittävästi sopimuskauden kestäessä.

Tyypillisesti hallinnollisen tietoturvallisuuden asiantuntijapalvelut tulevat liittymään seuraaviin osa-alueisiin (esitettyihin esimerkkeihin kuitenkaan rajoittumatta):

· Tietoturva-auditoinnit

· Tietoturvakoulutus

· Fyysinen turvallisuus/toimitilaturvallisuus

· Jatkuvuudenhallinta (=jatkuvuussuunnittelu+toipumissuunnittelu+valmiussuunnittelu)

· Tietoriskien hallinta

· Lokihallinta

· Pääsynhallinta

Hallinnollisen tietoturvallisuuden asiantuntijapalveluiden odotetaan kattavan kunkin osaamisalueen keskeiset yleiset metodit, standardit ja muut viitekehykset (myös mahdollinen lainsäädäntö).

HSL:n tapauksessa tietoturvatyössä sovellettavia yleisiä keskeisiä viitekehyksiä ovat erityisesti ISO/IEC 27000-sarjan standardit, VAHTI-ohjeistus, valmiuslainsäädäntö, PCI-DSS, sekä GDPR.

Tarjoajalta ja sen asiantuntijoilta edellytetään kokemusta osa-aluekohtaisten prosessien ja kontrollien kehittämisestä (suunnittelu ja toteutus).

Tähän osaan valitaan enintään viisi (5) toimittajaa.

HSL:n tietoturvallisuuden hallintajärjestelmä (ISMS) on toteutettu ISO/IEC 27001:2013 pohjalta.

Tämän osan kohteena ovat Toimittajan teknisen tietoturvallisuuden asiantuntijapalvelut, joiden avulla voidaan riskiperusteisesti suunnitella, toteuttaa, arvioida ja kehittää tietoturvallisia tuotteita ja palveluja HSL:n käyttäjille.

Teknisen tietoturvallisuuden asiantuntijapalveluiden kirjo ymmärretään laajasti ja laaja-alaisesti.

Asiantuntijapalveluiden tarpeen ja käytön painopisteet voivat vaihdella merkittävästi sopimuskaudella.

Tyypillisesti teknisen tietoturvallisuuden asiantuntijapalveluilla tulevat liittymään seuraaviin osa-alueisiin (esitettyihin esimerkkeihin kuitenkaan rajoittumatta):

· Pilviympäristöjen tietoturvaratkaisut

· Sovelluskehityksen tietoturva (ketterät menetelmät, vesiputousmalli)

· Tietoturva-arkkitehtuuri ja -kontrollien suunnittelu

· Salausmenetelmät

· Tietokantojen turvallisuus

· Verkon tietoturvallisuuden hallinta

· Tietoliikenteen tietoturvallisuus

· Teknisten tietoriskien hallinta

· Lokihallinta

· Forensiikka

· Tietoturvatapahtumien hallinta

· Tietoturvatestaus

· Teknisen tietoturvallisuuden mittaaminen/mittaristot

· Hardware ja sulautettujen järjestelmien tietoturva

· Pääsynhallinnan tekniset ratkaisut

· Jatkuvuudenhallinnan tekniset ratkaisut

Tarjoajan teknisen tietoturvallisuuden asiantuntijapalveluiden odotetaan kattavan kunkin osaamisalueen keskeiset yleiset metodit, standardit ja muut viitekehykset (myös mahdollinen lainsäädäntö).

HSL:n tapauksessa tietoturvatyössä sovellettavia yleisiä keskeisiä viitekehyksiä ovat erityisesti ISO/IEC 27000-sarjan standardit, VAHTI-ohjeistus, valmiuslainsäädäntö, PCI-DSS, sekä GDPR.

Tarjoajalta ja sen asiantuntijoilta edellytetään kunkin tarjoamansa teknisen tietoturvallisuuden osaamisalueen osalta vähintään jonkin yleisesti käytössä olevan palvelun/palvelutuotteen käytännön osaamista.

Tähän osaan valitaan enintään viisi (5) toimittajaa.

HSL:lle on myönnetty PCI DSS (Payment Card Industry Data Security Standard) -sertifikaatti. HSL:n tuottamien palveluiden tulee täyttää viitekehyksenä toimivan standardin vaatimukset nyt ja tulevaisuudessa.

Tämän osan kohteena ovat PCI DSS standardinvaatimustenmukaisuuden asiantuntijapalvelut. Palveluiden avulla pitää voida riskiperusteisesti suunnitella, toteuttaa, arvioida ja kehittää kulloisenkin PCI DSS standardin asettamat vaatimukset täyttäviä tuotteita ja palveluja HSL:n käyttäjille.

Hankinnan kohteena ovat myös PCI DSS sertifikaatin ylläpitämiseen liittyvät asiantuntijapalvelut, joita käyttäen tuetaan sertikaatin ylläpitämistä vastaamaan uusien PCI DSS standardin versioiden asettamia vaatimuksia.

Laadultaan PCI DSS asiantuntijapalvelut voivat kattaa sekä teknisen että hallinnollisen tietoturvallisuuden osa-alueita. Toimittajan tulee ylläpitää PCI DSS tietotaitoaan koko sopimuskauden.

PCI DSS standardin asiantuntijapalveluiden kirjo ymmärretään laajasti ja laaja-alaisesti.

Asiantuntijapalveluiden tarpeen ja käytön painopisteet voivat vaihdella merkittävästi sopimuskauden kestäessä.

Tarjoajan PCI DSS -asiantuntijapalveluilta edellytetään tietotaitoa rajapinnoista suhteessa tietoturvallisuuden keskeisiin yleisiin metodeihin, standardeihin ja muihin viitekehyksiin (myös mahdolliseen lainsäädäntöön).

HSL:n tapauksessa tietoturvatyössä sovellettavia yleisiä keskeisiä viitekehyksiä ovat erityisesti ISO/IEC 27000-sarjan standardit, VAHTI-ohjeistus, valmiuslainsäädäntö, PCI-DSS, sekä GDPR.

Tähän osa-alueeseen valitaan enintään kolme (3) toimittajaa.

Tietosuojan osalta hankinnan kohteena ovat HSL:n tietosuojan asiantuntijapalvelut. Niiden avulla voidaan riskiperusteisesti tukea HSL:n tietosuojaorganisaation työtä sekä suunnitella, toteuttaa, arvioida ja kehittää hyvän tietosuojan omaavia tuotteita ja palveluja HSL:n käyttäjille.

Tietosuojan asiantuntijapalveluiden kirjo ymmärretään laajasti ja laaja-alaisesti.

Asiantuntijapalveluiden tarpeen ja käytön painopisteet voivat vaihdella merkittävästi sopimuskaudella.

Tyypillisesti tietosuojan asiantuntijapalvelut tulevat liittymään seuraaviin osa-alueisiin (esitettyihin esimerkkeihin kuitenkaan rajoittumatta):

· Tietosuojatyön konsultointi ja lakipalvelut kuten

· Tietosuojavaatimukset kilpailutuksissa ja julkisissa hankinnoissa

· Tietosuoja osana pilvipalveluita

· GDPR nykytilaselvitykset ja kehityshankkeet

· Tietosuojavastaavan oikeudellinen tuki

· Tietosuojadokumentaatiot

· Sopimuksien tietosuojaosiot (sis. Siirto- tai luovutussopimukset, kansainväliset siirrot)

· Evästeiden hallinta ja tietosuoja

· Sisäänrakennetun tietosuojan toteuttamisen menetelmät (Privacy by design)

· Tietosuojan riskiarvioinnit/-analyysit

· Vaikutusten arvioinnit (DPIA)

· Tietosuoja-auditoinnit

· Tietosuojaohjelman/prosessin kehittäminen

· Tietosuojajohtaminen

· Rekisteröityjen informaation kehittäminen

· Tietoturvaloukkausprosessi

· Tietosuojakoulutus (sis. Tietosuojavastaavan tuen, tietosuoja-asiantuntijan, sekä mahdollisesti organisaation työntekijöille kohdennetun koulutuksen suunnittelua)

· Tietosuojan mystery shopping

Tarjoajan tietosuojan asiantuntijapalveluiden odotetaan kattavan kunkin osaamisalueen keskeiset yleiset metodit, standardit ja muut viitekehykset kuten lainsäädäntö ja muut viranomaisvaatimukset niin kansallisella kuin kansainvälisellä tasolla.

Tarjoajalta ja sen asiantuntijoilta edellytetään kokemusta hyvää tietosuojaa toteuttavien käytännön ratkaisujen kuten tietosuojakontrollien kehittämisestä (suunnittelu ja toteutus).

Tämä edellyttää Toimittajan asiantuntijoilta riittävää tietotaitoa osallistua prosessien kehittämiseen, tietosuoja-arkkitehtuurin kehittämiseen sekä esittää riskiperustaisia tietosuojaa tukevia ratkaisuehdotuksia tietoturva- ja tietosuojaprosessille.

Toimittajaksi valitun tulee myös ylläpitää tietotaitoaan jatkuvasti, seurata oikeuskäytännön kehitystä ja kommunikoida HSL:n tietosuojaorganisaatiota tunnistamistaan tietosuojatyön ympäristön muuttuvista vaatimuksista.

Tähän osa-alueeseen valitaan enintään viisi (5) toimittajaa.