Uppdragsbeskrivning

Vi söker en senior IT-säkerhetsexpert som ska stödja ett projektteam med projektledare, kravställare, IT och upphandling i upphandlingen av en realtidstödd integrationsplattform där AIM- och underhållssystem utgör centrala delar.

Uppdraget ska utgå från att informationssäkerhet, interoperabilitet och datastyrning utgör en sammanhållen förmåga och inte separata delar.

Du ska stödja projektet med att säkerställa att informations- och IT-säkerhet samt krav på interoperabilitet, datahantering och framtida användning av information hanteras på ett strukturerat och sammanhållet sätt i upphandlingen.

Uppdraget ska säkerställa att de system som upphandlas inte begränsar verksamhetens möjligheter till integration, datadelning och vidareutveckling, utan utgör en stabil och säker grund för framtida digitala arbetssätt.

Bakgrund

VA-avdelningen genomför en upphandling av ett tillgångsförvaltningssystem (AIM), ett underhållssystem (CMMS) och ett dokumenthanteringssystem byggt på en framtidsäkrad integrationsmotor.

Systemen ska stödja en långsiktigt hållbar tillgångsförvaltning och kommer att hantera verksamhetskritisk information, vilket ställer höga krav på informations- och IT-säkerhet.

Vi efterfrågar därför en senior IT-säkerhetsexpert som kan stödja projektet i upphandlingen.

Upphandlingen omfattar krav på integration, datamodellering, standardprotokoll och API:er enligt definierad kravspecifikation, vilket ställer särskilda krav på att säkerhetsaspekter hanteras i relation till systemens interoperabilitet och informationsflöden.

Uppdraget omfattar i huvudsak:

• Stöd i informationssäkerhetsanalys (ISA) och omsättning till krav
• Framtagande och kvalitetssäkring av säkerhetskrav i upphandling
• Stöd vid formulering av krav i förfrågningsunderlag och avtal
• Rådgivning kring säkerhet i integrationer och leverantörsled
• Stöd vid utvärdering av anbud ur säkerhetsperspektiv

Du ska ge stöd för att vi får en samlad kravbild som säkerställer att:

• System och integrationer är interoperabla och kan utbyta data på ett standardiserat och säkert sätt
• Data kan användas över systemgränser utan manuella steg
• Systemens arkitektur stödjer realtidsdata och kontinuerliga dataflöden
• Lösningen är framtidssäker avseende analys, automatisering, intelligenta system, kommande framtida lagkrav och standarder
• Säkerhetskrav utformas så att de möjliggör och inte hindrar säker interoperabilitet och datadelning mellan system
• Säkerhetskrav är anpassade för realtidsbaserade system och inte begränsar systemens förmåga att hantera tidskritiska dataflöden
• Säkerhetskraven omfattar arkitekturprinciper för segmentering, zonindelning och kontrollerade dataflöden mellan IT- och OT-miljöer i enlighet med etablerade standarder, till exempel IEC 62443
• Krav på informationsägarskap, datastyrning och spårbarhet definieras, inklusive hur data får användas, delas och förändras över tid
• Krav omfattar säkerhet i hela leverantörskedjan, inklusive tredjepartsintegrationer, underleverantörer och externa tjänster, i enlighet med gällande cybersäkerhetsregelverk
• Säkerhetskrav kan verifieras, följas upp och revideras över tid, inklusive mätbara kriterier och revisionsbarhet
• Krav stödjer framtida styrning av data och system i linje med krav på AI-styrning, spårbarhet och ansvar, enligt relevanta standarder och kommande regelverk

Leveranser:

• Analys och rekommendationer kring hur säkerhet, integrationsarkitektur och datamodell samverkar för att möjliggöra interoperabilitet och datadriven verksamhet
• Förslag till säkerhetskrav i upphandlingsdokument
• Underlag till avtalsvillkor avseende informations- och IT-säkerhet
• Bedömningsstöd vid anbudsutvärdering
• Rekommendationer kring uppföljning av säkerhetskrav

Obligatoriska kvalifikationer:

• Erfarenhet av informationssäkerhet i offentlig verksamhet
• Erfarenhet av integrationsarkitektur, API-strategier och interoperabilitet i komplexa IT/OT-miljöer
• Kunskap om datamodeller och informationsstrukturer kopplade till verksamhetssystem
• Erfarenhet av säker datadelning i system med realtidsintegrationer
• Erfarenhet av kravställning i IT-upphandling
• Erfarenhet av relevanta standarder, till exempel ISO 27000-serien
• God kunskap om lagkrav, GDPR och OSL
• All kommunikation sker på svenska

Meriterande kvalifikationer:

• Erfarenhet av upphandling i offentlig sektor/införande av verksamhetssystem
• Erfarenhet av säkerhet i molntjänster och integrationer
• Kunskap om NIS2/cybersäkerhetsregelverk
• Erfarenhet från samhällsviktig verksamhet, till exempel VA

Omfattning

Uppdraget genomförs i nära samverkan med projektledning, IT och upphandlingsfunktion och omfattar stöd under delar av upphandlingsprocessen.

Övrigt

Uppdraget omfattar inte teknisk drift eller implementation av system. Upphandlingen beräknas vara klar under Q2 2027 och därefter går organisationen in i implementeringsfasen.