Sikkerhets- og personvernkrav til IT-løsninger
Sist oppdatert: 30.12.2020
Når virksomheter skal anskaffe nye IT-løsninger er det nødvendig å gjennomføre en risikovurdering. Denne vurderingen skal foregå i forkant av anskaffelsen. Risikovurderingen skal omfatte den tekniske løsningen og arbeidsprosessen som løsningen skal inngå i.
Det er viktig at Oslo kommune stiller gode sikkerhetskrav til leverandører for å tilby sikre tjenester og løsninger. Oslo kommune skal til en hver tid ha oversikt over alle tiltak leverandøren har og kommer til å implementere for å tilfredsstille kommunens krav til god sikkerhet. I en anskaffelsesprosess gjøres dette ved å stille krav til leverandøren i utarbeidelse av konkurransegrunnlaget. For veiledning i anskaffelser, se UKEs anskaffelsesveileder.
Verktøyet til kravspesifisering av IT-løsninger todelt. Se figuren under.
Verktøyet inneholder generiske scenarier til risikovurderingen og forslag til tiltak til scenariene. Disse tiltakene kan benyttes som krav til anskaffelsen av IT-løsningen.
Slik fungerer verktøyet
Verktøyet er en Excel-fil som du finner i høyremargen på denne siden.
Generiske scenariene finner du i fanen markert «Scenarier til risikovurdering» disse har anbefalte tiltaksområder markert med en x i Excel-arket. Scenariene er forslag og er ikke uttømmende. Det må gjennomføres risikovurdering med relevante scenarier for selve anskaffelsen. Det er viktig å involvere riktig kompetanse, slik som personvern – og informasjonssikkerhetskoordinator.
Tiltak til scenariene finner du i fanen markert «Krav til IT-løsninger». Her er tiltakene omskrevet til krav som du kan bruke direkte inn i kravspesifikasjonen til anskaffelsen. Verktøyet har en anbefaling over hvilke krav som bør tas med i kravspesifikasjonen. Verktøyet skiller mellom må-krav og bør-krav.
Verktøyet gir ulike anbefalinger etter type løsning som skal anskaffes (nettleserbasert eller mobilapp) og hvem som skal ta i bruk løsningen (ansatte eller innbyggere).
