Vi søker etter en konsulent til modenhetsvurdering.

Beskrivelse av oppdraget/bistanden

Modenhetsvurdering av implementering av NSM grunnprinsipper for IKT-sikkerhet som skal bidra til å øke bevisstheten om informasjonssikkerhet og gi tilgang til en standardisert regional modenhetsvurdering. Modenhetsvurderingen er en egenvurdering gjennomført av hvert helseforetak. Vurderingen er et godt utgangspunkt sammen med andre aktiviteter, for å gi en samlet regional vurdering, og for å foreslå og iverksette risikoreduserende tiltak, og justeringer av lokal/ regional handlingsplan for informasjonssikkerhet. Helseforetakene skal gjennomføre, og videreutvikle prosess for å vurdere egen modenhet av implementering av NSMs grunnprinsipper for IKT sikkerhet (prioritet 1 & 2). Helseforetakene har tidligere tatt utgangspunkt i metode og verktøy tilgjengelig fra DNV GL. I forbindelse med modenhetsvurderingen som ble gjennomført i 2023 ble det avdekket behov for å forbedre prosess, verktøy og status. Det var også noe ulik prosess for gjennomføringen i de ulike helseforetakene. Helseforetakene er selv ansvarlig for å gjennomføre og dokumentere egen modenhetsvurdering i samme verktøy som ble benyttet i 2023, som skal skje i arbeidsmøtene. Tentativ fremdriftsplan er at arbeidet skal senest være ferdigstilt i løpet av uke 48.

Konsulentens oppgaver

For å forbedre prosess og gjennomføring av årets modenhetsvurdering er det ønskelig med en ekstern konsulent som skal bidra til å:

  1. fasilitere selve gjennomføringen av modenhetsvurderingen

  2. skape en felles forståelse av hva en modenhetsvurdering er, hva den kan fortelle, hvordan den kan benyttes i det videre arbeidet med informasjonssikkerhet lokalt og regionalt.

  3. skape en lik forståelse av hva som er omfattet av de ulike tiltakene i NSM grunnprinsipper, hvordan de ulike svaralternativene skal forstås og i hvilken kontekst svares skal gis? (eks foretak vs regionalt)

  4. avklare hvilke spørsmål dataansvarlig (sykehusforetakene/ SANO) skal besvare, og hva leverandør (Helse Nord IKT) skal besvare? Dette omfatter også å definere hva som ikke skal besvares dersom foretaket ikke har god nok kunnskap om tiltaket mv

Det er ønskelig at konsulenten kan forberede og delta på en arbeidsmøteserie i november tilsvarende 8-10 timer for å rådgi/veilede helseforetakets representanter ved gjennomføringen av modenhetsvurderingen

Varighet: Så snart kontrakt er signert til 06.12.2024 + opsjon frem til 31.12.2024

Omfang: Oppdragsgiver ønsker 1 konsulent

Arbeidssted: Hjemmekontor – gjennomføring av oppdrag skjer uten personlig oppmøte. Eventuelle møter gjennomføres på Teams.

Søknadsfrist: 5 november