Chas Partner Network

Uppdrag

Läs och ansök om uppdraget

Tillbaka
Organisations logotyp

2025-10-03

Informationssäkerhet och IT-säkerhetskonsult, Nivå 5

Gotland
Hybrid
100 %
1 person
2026-03-01 - 2030-02-28
Deadline: 2025-10-27

Ansök gärna så snart som möjligt då uppdraget kan tillsättas innan sista ansökningsdag.

Uppdragsbeskrivning

Region Gotland bedriver en bred primär- och sekundärkommunal verksamhet som till stor del klassas som samhällsviktig enligt NIS2. I alla förvaltningar är hantering och förmedling av information en förutsättning för de tjänster man tillhandahåller och har därför omfattande skyddsbehov. Säker informationshantering är en viktig del för att ha allmänhetens förtroende gentemot regionen. Arbete med informationssäkerhet är prioriterat och ska bedrivas metodiskt och långsiktigt.

Region Gotland har sedan ett antal år ökat fokus på informationssäkerhet och IT-säkerhet och detta styrs av ett ledningssystem för informationssäkerhet (LIS) som genom verksamheternas arbete med informationssäkerhet sedan bl.a. styr vilka säkerhetsmekanismer som är nödvändiga i infrastrukturen.

Med denna avropsförfrågan avser Region Gotland att för uppdrag anlita namngiven informationssäkerhets- och ITsäkerhetskonsult på nivå 5. Region Gotland har både omfattande krav på kompetens och omfattande krav på bredd inom området informationssäkerhet och IT-säkerhet. Region Gotland söker därmed en anbudsgivare med en (1) huvudkonsult som kan uppfylla dessa behov genom en egen gedigen kompetens och tillsammans med andra resurser i sin organisation kan uppfylla regionens krav.

Ett säkerhetsskyddsavtal ska tecknas mellan anbudsgivaren och Region Gotland.

CV & Referens:

Anbudsgivaren ska lämna två (2) referenser för referensuppdrag i bilagan ”Svarsbilaga Referenser” referenserna ska ha olika organisationsnummer.

Referensuppdragen ska varit utförda av offererad huvudkonsult och ska avsett IT-säkerhet för sjukvård och kommun samt säkerhetsarkitektur för en Enterprise miljö. Uppdragen ska pågå eller ha utförts inom tre (3) år före sista anbudsdag.

Region Gotlands egen erfarenhet av anbudsgivaren räknas som referens, och kommer att behandlas som extern referens. Det vill säga att anbudsgivare kan använda Region Gotland som referens.

-----------------------------

Som bevis för att huvudkonsulten uppfyller samtliga krav ska CV för erjuden huvudkonsult bifogas. CV:et ska vara strukturerat på ett sätt så att det enkelt går att verifiera att kraven uppfylls, ett bra sätt är att ställa upp kraven i tabellform och i tabellen beskriva hur de uppfylls.

För konsulter som ska användas i uppdraget ska leverantören, på begäran av beställaren och inom fem (5) dagar, skicka CV och referensuppdrag på konsulter i kompetensnivå 3 och 4 till beställaren om så begärs.

Kontaktuppgifter till den i anbudet för uppdraget erbjudna namngivna huvudkonsult ska anges.

Skallkrav

  • Anbudsgivaren ska ha kompetens att produktneutralt kunna stödja öppna standards och metoder som kan relateras till uppdraget. Uppdraget innebär att ge stöd och råd för en holistisk hantering av säkerhetsutmaningarna i Region Gotlands verksamheter där personal hanterar information av olika skyddsvärde i skiftande miljöer. Detta utifrån vid var tid gällande regulatoriska krav, verksamhetsutveckling, ett föränderligt omvärldsläge och radande förutsättningar. Arbetet kommer att vara fokuserat på säkerhetsskydd, informationssäkerhet, cybersäkerhet, IT-säkerhet, informationssäkring och säkerhetsdesign inkl. relevanta verktyg, och ställer samtidigt krav på djupt tekniskt kunnande kombinerat med stor kännedom och kunskap om krav, regelverk och standarder på IT-säkerhet och informationssäkerhetsområdet, både nationellt och internationellt.
  • Anbudsgivaren ska vara drivande och stödjande i arbete med förvaltning och utveckling av Region Gotlands LIS (ledningssystem för informationssäkerhet), realiseringen av IT- och informationssäkerhet samt arbetet med införande, utveckling och förvaltning av säkerhetsarkitekturen.
  • Anbudsgivaren ska kunna utföra risk- och sårbarhetsanalyser, både teoretiska (exempelvis genom workshops) och praktiska (exempelvis penetrationstester, analys av systemdesign och kodgranskning).
  • Anbudsgivaren ska ha goda kunskaper i dataskyddsförordningen (GDPR), dataskydd samt inom speciallagstiftningar så som NIS/NIS2 som berör information- och IT-säkerhetsområdet samt cybersäkerhet.
  • Anbudsgivaren ska kunna genomföra utbildningsinsatser inom de olika områdena.
  • Personal hos anbudsgivaren som utför uppdrag åt Region Gotland ska vara säkerhetsklassad på minst nivå SK3.
  • Eftersökt huvudkonsult ska ha minst åtta (8) års dokumenterad erfarenhet från informations- och ITsäkerhetsarbete, så väl praktiskt som teoretiskt.
  • Vidare ska huvudkonsult vara väl insatt i de regulatoriska krav som finns inom informationssäkerhet och IT-säkerhet för sjukvård samt vara väl insatt i det utbud och nationella utveckling projekt som finns och bedrivs genom regeringsuppdrag, myndigheter, Digg, SKR eller Inera. Speciellt gäller det Infrastrukturtjänster som Sjunet, HSA, SITHS, Säkerhetstjänster, SDK, eHälsomyndighetens nya säkerhetslösning för åtkomst till NLL och andra säkerhetsrelaterade delar som är en del som påverkar regionsuppdraget.
  • Motsvarande mångåriga erfarenhet ska även finnas för det kommunala uppdraget där förutsättningarna för att realisera digitala nationella prov (DNP) från Skolverket särskilt kan nämnas.
  • Stor vikt läggs på att huvudkonsult ska ha erfarenhet av samverkan mellan primärkommunal- och regionverksamhet (sjukvård, tidigare landsting).
  • Huvudkonsult ska ha djup teknisk kompetens inom autentisering på LoA2 LoA3 och LoA4 nivå samt e-underskrift med motsvarande nivå (eIDAS 1-2, e- legitimation, PKI, SITHS, Freja, Bank-ID samt teknisk infrastruktur som tillhandahåller autentiseringstjänster mm.
  • Huvudkonsult ska även ha goda kunskaper om regulatoriska krav inom området vad gäller riktlinjer, modeller och rekommendationer från ansvariga myndigheter så som DIGG, PTS, MSB, IMY samt EU.
  • Huvudkonsult ska ha även ha praktisk erfarenhet av detta genom genomförda uppdrag som inkluderar policyarbete, utbildning, förankring och uppföljning för olika nivåer av målgrupper.
  • Federation ses som en viktig del i Region Gotlands säkerhetsarkitektur ska huvudkonsult vara väl insatt i tillitsramverken för federationerna för skola (Skolfederation och SWAMID), hälsa, vård och omsorg (Sambi) samt medborgare (Sweden Connect) och dess internationella förlagor.
  • Huvudkonsult ska ha juridisk kunskap inom de lagar och förordningar som är relevanta för primärkommunal- och regionsverksamhet (sjukvård tidigare landsting), exempelvis, offentlighet- och sekretesslagen, patientdatalagen, arkivlagen mfl, samt hur dessa förhåller sig till informations- och IT- säkerhetsområdet samt cybersäkerhet.
  • Huvudkonsult ska, efter överenskommelse mellan anbudsgivaren och Region Gotland, kunna tillhandahålla resurser på kompetensnivå 3 och 4 för enskilda uppdrag eller aktiviteter inom uppdrag.

Börkrav

  • ------Anbudsgivaren bör ha dokumenterade kunskaper inom följande produkter:------
  • BlueCat
  • Clavister
  • Nexus (säkerhetsprodukter)
  • Micro Focus
  • Tdialog (SDK, Minameddelanden, e-underskrifter enligt DIGG normativa krav)
  • Guacamole
  • RSA
  • Shibboleth
  • CCTV
  • Överordnade system inom fysisk säkerhet. (Ett centraliserat gränssnitt som hanterar och styr cctv, larm och passersystem från en plattform istället för fler plattformar.)
Tillbaka

Skicka in ansökan

Organisations logotyp

2025-10-03

Informationssäkerhet och IT-säkerhetskonsult, Nivå 5

Gotland
Hybrid
100 %
1 person
2026-03-01 - 2030-02-28
Deadline: 2025-10-27

Kontaktperson

Erbjuden konsult

Motivering av lämplighet för uppdraget / Övriga kommentarer

Skallkrav

  • Anbudsgivaren ska ha kompetens att produktneutralt kunna stödja öppna standards och metoder som kan relateras till uppdraget. Uppdraget innebär att ge stöd och råd för en holistisk hantering av säkerhetsutmaningarna i Region Gotlands verksamheter där personal hanterar information av olika skyddsvärde i skiftande miljöer. Detta utifrån vid var tid gällande regulatoriska krav, verksamhetsutveckling, ett föränderligt omvärldsläge och radande förutsättningar. Arbetet kommer att vara fokuserat på säkerhetsskydd, informationssäkerhet, cybersäkerhet, IT-säkerhet, informationssäkring och säkerhetsdesign inkl. relevanta verktyg, och ställer samtidigt krav på djupt tekniskt kunnande kombinerat med stor kännedom och kunskap om krav, regelverk och standarder på IT-säkerhet och informationssäkerhetsområdet, både nationellt och internationellt.

  • Anbudsgivaren ska vara drivande och stödjande i arbete med förvaltning och utveckling av Region Gotlands LIS (ledningssystem för informationssäkerhet), realiseringen av IT- och informationssäkerhet samt arbetet med införande, utveckling och förvaltning av säkerhetsarkitekturen.

  • Anbudsgivaren ska kunna utföra risk- och sårbarhetsanalyser, både teoretiska (exempelvis genom workshops) och praktiska (exempelvis penetrationstester, analys av systemdesign och kodgranskning).

  • Anbudsgivaren ska ha goda kunskaper i dataskyddsförordningen (GDPR), dataskydd samt inom speciallagstiftningar så som NIS/NIS2 som berör information- och IT-säkerhetsområdet samt cybersäkerhet.

  • Anbudsgivaren ska kunna genomföra utbildningsinsatser inom de olika områdena.

  • Personal hos anbudsgivaren som utför uppdrag åt Region Gotland ska vara säkerhetsklassad på minst nivå SK3.

  • Eftersökt huvudkonsult ska ha minst åtta (8) års dokumenterad erfarenhet från informations- och ITsäkerhetsarbete, så väl praktiskt som teoretiskt.

  • Vidare ska huvudkonsult vara väl insatt i de regulatoriska krav som finns inom informationssäkerhet och IT-säkerhet för sjukvård samt vara väl insatt i det utbud och nationella utveckling projekt som finns och bedrivs genom regeringsuppdrag, myndigheter, Digg, SKR eller Inera. Speciellt gäller det Infrastrukturtjänster som Sjunet, HSA, SITHS, Säkerhetstjänster, SDK, eHälsomyndighetens nya säkerhetslösning för åtkomst till NLL och andra säkerhetsrelaterade delar som är en del som påverkar regionsuppdraget.

  • Motsvarande mångåriga erfarenhet ska även finnas för det kommunala uppdraget där förutsättningarna för att realisera digitala nationella prov (DNP) från Skolverket särskilt kan nämnas.

  • Stor vikt läggs på att huvudkonsult ska ha erfarenhet av samverkan mellan primärkommunal- och regionverksamhet (sjukvård, tidigare landsting).

  • Huvudkonsult ska ha djup teknisk kompetens inom autentisering på LoA2 LoA3 och LoA4 nivå samt e-underskrift med motsvarande nivå (eIDAS 1-2, e- legitimation, PKI, SITHS, Freja, Bank-ID samt teknisk infrastruktur som tillhandahåller autentiseringstjänster mm.

  • Huvudkonsult ska även ha goda kunskaper om regulatoriska krav inom området vad gäller riktlinjer, modeller och rekommendationer från ansvariga myndigheter så som DIGG, PTS, MSB, IMY samt EU.

  • Huvudkonsult ska ha även ha praktisk erfarenhet av detta genom genomförda uppdrag som inkluderar policyarbete, utbildning, förankring och uppföljning för olika nivåer av målgrupper.

  • Federation ses som en viktig del i Region Gotlands säkerhetsarkitektur ska huvudkonsult vara väl insatt i tillitsramverken för federationerna för skola (Skolfederation och SWAMID), hälsa, vård och omsorg (Sambi) samt medborgare (Sweden Connect) och dess internationella förlagor.

  • Huvudkonsult ska ha juridisk kunskap inom de lagar och förordningar som är relevanta för primärkommunal- och regionsverksamhet (sjukvård tidigare landsting), exempelvis, offentlighet- och sekretesslagen, patientdatalagen, arkivlagen mfl, samt hur dessa förhåller sig till informations- och IT- säkerhetsområdet samt cybersäkerhet.

  • Huvudkonsult ska, efter överenskommelse mellan anbudsgivaren och Region Gotland, kunna tillhandahålla resurser på kompetensnivå 3 och 4 för enskilda uppdrag eller aktiviteter inom uppdrag.

Börkrav

  • ------Anbudsgivaren bör ha dokumenterade kunskaper inom följande produkter:------

  • BlueCat

  • Clavister

  • Nexus (säkerhetsprodukter)

  • Micro Focus

  • Tdialog (SDK, Minameddelanden, e-underskrifter enligt DIGG normativa krav)

  • Guacamole

  • RSA

  • Shibboleth

  • CCTV

  • Överordnade system inom fysisk säkerhet. (Ett centraliserat gränssnitt som hanterar och styr cctv, larm och passersystem från en plattform istället för fler plattformar.)

Bifoga CV och/eller andra dokument