FKU från ramavtalet för IT-konsulter 2016, anbudsområde D, kompetensområde 5 och nivå 5 2020-09-25 Informationssäkerhetskonsult till FIRA 2-uppdraget

FKU från ramavtalet för IT-konsulter 2016, anbudsområde D, kompetensområde 5 och nivå 5 2020-09-25

Informationssäkerhetskonsult till FIRA 2-uppdraget


Avropsförfrågan



SKL Kommentus Inköpscentral AB inbjuder härmed ramavtalsleverantörer inom SKL Kommentus Inköpscentral ABs ramavtal IT-konsulttjänster 2016 att inkomma med avropssvar på denna avropsförfrågan.

  1. Allmän information

SKL Kommentus Inköpscentral AB, organisationsnummer 556819-4798, upphandlar nationella ramavtal åt i huvudsak kommuner och regioner – både i eget namn eller som ombud åt flera upphandlande myndigheter. Nedan benämns SKL Kommentus Inköpscentral AB som ”inköpscentralen”.

1.1Bakgrund

Med ökad digitalisering har informationssäkerhet blivit en allt viktigare fråga inom offentlig sektor. Stora mängder information hanteras i kommunernas och regionernas verksamhet. Informationstillgångarna kan utifrån gällande lagar och regelverk utgöra skyddsvärd information. På xxxxxxxxxxxxxxxxxxxx.xx sammanfattas författningarna i tre kategorier:

  • Rättsligt skydd för viss typ av information,

  • Rättsliga krav på informationssäkerhet i olika verksamheter

  • IT-brott och IT-relaterad brottslighet


Exempel på lagstiftning som medför krav på informationssäkerhet är Offentlighets- och sekretesslagen (2009:400), Dataskyddsförordningen (GDPR), Patientdatalagen (2008:355) etc. Information kan vara av så känslig natur att den omfattas av Säkerhetsskyddslagen (2018:585) och kan innebära fara för rikets säkerhet om den skulle röjas, ändras eller förstöras.1

För att skapa en samlad bild över inköpscentralens ramavtal ur informationssäkerhetssynpunkt har inköpscentralen tidigare genomfört en inventering och analys i uppdraget FIRA 1. Slutrapporten visade bland annat på informationssäkerhetsrisker inom vissa områden och att det finns ett behov av att hantera informationssäkerhet systematiskt i inköpscentralens processer. För mer information om skattningsmodellen som användes, se bilaga 1 Skattningsmodell i FIRA 1 till avropsförfrågan. Med anledning av det som framkommit i FIRA 1 har inköpscentralen nu inlett ett nytt internt uppdrag vid namn FIRA 2.

Syftet med uppdraget FIRA 2, är att ta fram metodstöd, mallar och rutiner som möjliggör att informationssäkerhet kravställs och följs upp på rätt nivå i inköpscentralens upphandlingar och ramavtal.


Inköpscentralen är en del av SKL Kommentus som ägs av Sveriges kommuner och regioner (SKR). SKL Kommentus uppdrag är att erbjuda offentlig sektor avtal och tjänster inom offentliga inköp och HR som underlättar vardagen, frigör resurser till välfärden och bidrar till ett hållbart samhälle. Inköpscentralen upphandlar nationella ramavtal åt i huvudsak kommuner och regioner. Inköpscentralen arbetar med kategoristyrning som är en strategisk metod som används för att bedriva ett proaktivt och värdeskapande inköpsarbete. Kategoristyrning innebär att inköpen kategoriseras för att verksamheten ska kunna fokusera på respektive leverantörsmarknad samt nå besparingar och kvalitetseffekter. Med hjälp av kategoristyrning kan vi på ett strukturerat sätt fokusera på de strategiskt viktiga frågorna. De strategiskt viktiga frågorna kan handla om hur upphandlingen ska bidra till att nå uppsatta verksamhetsmål och höja kvaliteten på levererade tjänster. Metoden fungerar bäst om man arbetar tvärfunktionellt vilket vi gör på inköpscentralen genom s.k. kategoriteam. I varje kategoriteam ingår olika personer med olika roller, t.ex. kategoriansvariga, upphandlare, hållbarhetsexperter samt medarbetare från inköpsservice så som controller och kundsupport. I FIRA 2 ingår medarbetare från inköpscentralen som arbetar på kategoriavdelningen, upphandlingsavdelningen och inköpsservice.


Inköpscentralen har behov av en person med kunskap om informationssäkerhet som kan stötta arbetsgruppen i utförandet av uppdraget. Därför avropar inköpscentralen en informationssäkerhetskonsult som kan bistå med kompetens och erfarenhet inom området. Konsultens uppdrag består i att utföra de aktiviteter som framgår av uppdragsbeskrivning i avsnitt 3.1 Uppdraget. Målet med att anlita en informationssäkerhetskonsult är att denne kan bidra till att resultatet av uppdraget håller hög nivå och blir användbart för inköpscentralens verksamhet i enlighet med mål och syfte för FIRA 2.

1.2Typ av uppdrag

Detta avrop avser ett resursuppdrag.


1.3Omfattning

Avropet omfattar maximalt 80 timmar exklusive optioner för genomförandet av det som framgår i uppdragsbeskrivningen. Uppdraget förväntas pågå enligt angiven kontraktstid, som framgår av avsnitt 1.9.

1.4Ort för utförande

Möten ska kunna genomföras på plats i inköpscentralens lokaler i Stockholm. I övrigt utförs arbetet på distans.

1.5Formulär för avropssvar

Detta dokument är utformat som ett svarsformulär. Xxxxxxxxxxxxxxxxxxxxxx svar ska lämnas direkt i formulärets kryss- och textrutor eller i en bilaga med en tydlig hänvisning i formuläret vid relevant avsnitt.

1.6Kontaktuppgifter avropande myndighet

Avropande Myndighet: SKL Kommentus Inköpscentral AB

Kontaktperson för Avropsförfrågan: Xxxxx Xxxxx

Besöksadress: Xxxxxxxxxx 00, 000 00 Xxxxxxxxx

Telefon: 00-000 00 00 

E-post: Xxxxx.Xxxxx@xxxxxxxxxxxx.xx

1.7Avropsförfarande

Avrop genomförs som en förnyad konkurrensutsättning på SKL Kommentus Inköpscentrals ramavtal IT-konsulttjänster 2016, anbudsområde D, kompetensområde 5 och nivå 5 Informationssäkerhetskonsult. Endast behöriga ramavtalsleverantörer kan lämna anbud.

1.8Handlingar

Avropsförfrågan består av följande handlingar:

  • Avropsförfrågan (detta dokument)

  • Bilaga 1 – Skattningsmodell i FIRA 1

  • Bilaga 2 – Klassa upphandlingskrav

  • Kontrakt (utkast)

  • Sekretessåtagande konsulter SKI

1.9Kontraktstid

November 2020 – mars 2021

Uppdraget ska senast påbörjas den 16 november 2020. Konsulten kommer behöva vara tillgänglig under hela den angivna tidsperioden.

Konsulten kommer utföra större delen av uppdraget under perioden november 2020 – januari 2021. En plan för när respektive del enligt uppdragsbeskrivningen ska levereras tas fram tillsammans med inköpscentralens arbetsgrupp. Under februari och mars 2021 kommer konsulten främst bistå arbetsgruppen med att svara på gruppens frågor, förklara det underlag som tagits fram osv.

1.10Optioner

Inköpscentralen har rätt att utöka uppdraget med maximalt 30 timmar. Ny löptid för förlängningen av kontraktet fastställs vid nyttjande av optionen.

2Administrativa föreskrifter

2.1Ramavtalsleverantörsuppgifter



Ramavtalsleverantörens företagsnamn:

Klicka eller tryck här för att ange text.

Organisationsnummer:

Klicka eller tryck här för att ange text.

Adress:

Klicka eller tryck här för att ange text.

Postadress:

Klicka eller tryck här för att ange text.

Telefonnummer (växel):

Klicka eller tryck här för att ange text.

Kontaktperson för avropssvaret

Namn: Klicka eller tryck här för att ange text.

Telefonnummer: Klicka eller tryck här för att ange text.

E-post: Klicka eller tryck här för att ange text.

Eventuell underleverantör som anlitas för uppdraget

Företagsnamn: Xxxxxx eller tryck här för att ange text.

Organisationsnummer: Klicka eller tryck här för att ange text.



2.1.1Uppgift om behörig avtalstecknare

Signering av avtal sker elektroniskt via e-signeringstjänsten Visma Addo. Avtal skickas via e-post till den person som anges av anbudsgivaren som behörig avtalstecknare nedan. Identifiering sker via BankID.

Ange uppgifter om behörig avtalstecknare hos anbudsgivaren enligt nedan

Namn: Klicka eller tryck här för att ange text.

Titel: Klicka eller tryck här för att ange text.

Telefonnummer: Klicka eller tryck här för att ange text.

E-post: Klicka eller tryck här för att ange text.



2.2Frågor och svar under avropstiden

Sista dag för Leverantören att ställa frågor: 2020-10-02

Sista dag för inköpscentralen att svara på frågor: 2020-10-06

Frågor ställs via: e-post till xxxxx.xxxxx@xxxxxxxxxxxx.xx.

Svar på frågor distribueras via: e-post

Under anbudstiden är det inte tillåtet för inköpscentralen att diskutera avropssvar, utvärdering etc. med ramavtalsleverantörer på ett sådant sätt att någon leverantör gynnas eller missgynnas. Finner ramavtalsleverantören att avropsförfrågan eller tillhörande dokument i något avseende är oklart eller har något att anföra mot dess innehåll, ska detta omedelbart och under svarstiden skriftligen meddelas till inköpscentralen.

Xxxxxxxxxxxxxxxxxxxxx ska själv se till att denne tar del av svar på frågor och eventuell övrig information under svarstiden. Ställda frågor av allmänt intresse, som avidentifierats, och svar samt eventuell ytterligare information om inbjudan (såsom förtydliganden och ev. rättelser) kommer att skickas till samtliga ramavtalsleverantörer som erhållit avropsförfrågan.

2.3Inlämnande av avropssvar

Avropssvaret ska vara formulerat på svenska.

Avropssvar ska lämnas via e-post till: xxxxx.xxxxx@xxxxxxxxxxxx.xx.

Leverantören ska lämna efterfrågade svar och redovisningar i svarsrutorna i denna förfrågan, samt i de bilagor där dessa efterfrågas.

Samtliga krav ska vara uppfyllda för att avropssvar ska kunna prövas.

Leverantören får offerera en konsult i avropsförfrågan.

Alternativa avropssvar accepteras ej. Avropssvaret får inte innehålla reservationer eller avvikande villkor.

Avropssvaret ska innehålla följande dokument för att prövas:


Genom inlämnande av avropssvar accepterar leverantören samtliga krav och villkor i avropsförfrågans handlingar.

2.4Sista svarsdag

Avropssvaret ska ha inkommit till inköpscentralen senast 2020-10-12. Denna dag betecknas som ”sista svarsdag”. Avropssvar som inkommer efter detta datum prövas inte.

2.5Avropsvarets giltighetstid

Avropssvaret ska vara bindande t.o.m. 2020-12-31

2.6Beslut om tilldelning

Beslut om vilken ramavtalsleverantör som kommer att tilldelas kontrakt samt information om utvärderingen kommer att meddelas samtliga ramavtalsleverantörer som inkommit med avropssvar till samma e-postadress som mottagit denna avropsförfrågan.

Tilldelningsbeslut utgör inte en accept i avtalsrättslig mening.

Bindande kontrakt uppkommer först när båda parter skriftligt undertecknat kontraktet. Avropet är avslutat först när kontraktet undertecknats eller avropet avslutats på annat sätt.

Det avropssvar som antas utgör för leverantören en förbindelse att leverera de offererade tjänsterna.

Inköpscentralen tillämpar frivillig avtalsspärr på tio (10) dagar för avropet. Kontrakt tecknas därför tidigast elva (11) dagar efter det att beslut meddelats enligt bestämmelsen om avtalsspärr.

3Kravspecifikation

3.1Uppdraget

Följande delar ingår i konsultens uppdrag:

  • Bistå inköpscentralens medarbetare att omarbeta inköpscentralens metodstöd (”Skattningsmodell”) och ta fram rutin för att bedöma om avtal har stora/betydande informationssäkerhetsrisker. I uppdraget ingår att den tidigare skattningen som fokuserade på informationens känslighetsgrad utifrån sekretess, riktighet, spårbarhet och tillgänglighet ska omarbetas och ersättas med att skattningen istället ska utgå från informationens känslighetsgrad avseende konfidentialitet, riktighet och tillgänglighet.

  • Tolka och skriftligen dokumentera och förklara de krav som faller ut ur KLASSA-verktyget.

    • Förklaring av kravets innebörd

    • Motivering till när kravet är relevant att ställa och när det är mindre relevant

    • Hur kan och bör kravet följas upp och varför?

      • Är kravet relevant att följa upp?

      • Hur, dvs vilka bevis ska kontrolleras?

      • Med vilken frekvens, exempelvis:

        • Vid leveranskontroll

        • Årligen

        • Vid incidenter/avvikelser

      • Vilken uppföljningsprioritet bör kravet ha och varför?

      • Vilken kompetens/sakkunskap inom informationssäkerhet behöver den som följer upp ett krav besitta?

  • Analysera och lämna skriftliga rekommendationer kring lämpliga verktyg att använda vid kravställning av informationssäkerhet:

    • Vilka begränsningar finns i KLASSA-verktyget?

    • Vilka stödverktyg/standarder utöver KLASSA-verktyget bör övervägas vid kravställning av informationssäkerhet, när (för vilken typ av upphandlingsföremål) och varför?

  • Bistå inköpscentralens medarbetare med att ta fram en rutin för framtagning av informationssäkerhetskrav.

  • Kompetensöverföring genom att involvera inköpscentralens medarbetare under utförandet.

3.2Roll

Inköpscentralen efterfrågar en senior konsult inom informationssäkerhet. Rollens fokus inom informationssäkerhet är på risker, kravställning och uppföljning av externa leveranser till en verksamhet.

Rollen omfattar uppdrag med ledning och styrning av informationssäkerhet för verksamhet/område där informationssäkerhetsarbetet omfattar kravställning på och uppföljning av externa leverantörers leveranser. I rollen ligger ansvar för säkerställande av att verksamhetens informationssäkerhetsarbete följer lagar och regler med stöd av de krav och avtal som tas fram gentemot verksamhetens leverantörer.

3.3Kompetensnivå

Leverantören ska tillhandahålla en (1) konsult som befinner sig på nivå 5 enligt definition i Ramavtalet.

3.4Krav på konsulten

Nedan beskrivs krav på kompetens och erfarenhet.

Notera att krav på kompetens och erfarenhet ska styrkas i beskrivning nedan och/eller framgå av bilagt CV.

Erbjuden konsult ska ha

Ange var i CV kravuppfyllnad framgår

Minst 12 års sammantagen erfarenhet av arbete inom informationssäkerhet i enlighet med kompetensnivå 5.


Beskriv nedan hur ovan nämnda krav uppfylls:


Klicka eller tryck här för att ange text.

Klicka eller tryck här för att ange text.

Minst 3 års sammantagen erfarenhet av arbete där uppdrag har inneburit arbete med ledning och styrning av informationssäkerhet för verksamhet/område där informationssäkerhetsarbetet omfattar kravställning på och uppföljning av externa leverantörers leveranser.


Beskriv nedan hur ovan nämnda krav uppfylls:


Klicka eller tryck här för att ange text.

Klicka eller tryck här för att ange text.

Kunskap om relevanta standarder för informationssäkerhet så som ISO 27001, ISO 27002, NIST m.fl.


Beskriv nedan hur ovan nämnda krav uppfylls:


Klicka eller tryck här för att ange text.

Klicka eller tryck här för att ange text.

Kännedom om lagen om offentlig upphandling (LOU).


Beskriv nedan hur ovan nämnda krav uppfylls:


Klicka eller tryck här för att ange text.

Klicka eller tryck här för att ange text.

Erfarenhet från arbete för kommunal verksamhet och/eller offentlig förvaltning.


Beskriv nedan hur ovan nämnda krav uppfylls:


Klicka eller tryck här för att ange text.

Klicka eller tryck här för att ange text.



3.5Utvärderingskriterier

Notera att om konsulten uppfyller nedanstående utvärderingskriterier ska det styrkas i beskrivning nedan och/eller framgå av bilagt CV.



Nr

Erbjuden konsult bör ha

1


Kunskap och erfarenhet av att:


Ställa krav i anskaffning av tjänster och/eller produkter avseende informationssäkerhet med stöd av relevanta standarder och verktyg som finns tillgängliga för framtagande av krav.


Anbudsgivare som uppfyller utvärderingskriteriet erhåller 200 SEK i avdrag.


Beskriv nedan hur utvärderingskriteriet uppfylls alternativt ange var i CV uppfyllelse av utvärderingskriteriet framgår:


Klicka eller tryck här för att ange text.

2

Erfarenhet av att :


Arbeta med KLASSA-verktyget, exempelvis vid framtagande av krav vid upphandling/anskaffning.


Anbudsgivare som uppfyller utvärderingskriteriet erhåller 200 SEK i avdrag.


Beskriv nedan hur utvärderingskriteriet uppfylls alternativt ange var i CV uppfyllelse av utvärderingskriteriet framgår:


Klicka eller tryck här för att ange text.

3

Erfarenhet av att:


Följa upp krav på informationssäkerhet i kontrakt mellan beställare och leverantör.


Anbudsgivare som uppfyller utvärderingskriteriet erhåller 200 SEK i avdrag.


Beskriv nedan hur utvärderingskriteriet uppfylls alternativt ange var i CV uppfyllelse av utvärderingskriteriet framgår:


Klicka eller tryck här för att ange text.



4Utvärdering av avropssvar

4.1Prövning och utvärdering

Prövning av avropssvar sker i två steg:

  1. I det första steget kontrolleras att avropssvaren uppfyller samtliga krav som angetts i avropsförfrågan. I det fall leverantören inte uppfyller samtliga ställda krav kommer avropssvaret inte att gå vidare till utvärdering.

  2. I det andra steget utvärderas avropssvaren mot ovan angivna utvärderingskriterier (1-3).

Inköpscentralen kommer att anta den (1) leverantör, som lämnat det ekonomiskt mest fördelaktiga avropssvaret baserat på bästa förhållande mellan pris och kvalitet utifrån följande tilldelningskriterier:

  1. Utvärderingskriterier – Kunskap och erfarenhet

  2. Timpris

4.2Utvärderingsmodell

Utvärderingsmodellen bygger på en så kallad mervärdesmodell där prisavdrag erhålls för erbjuden kvalitet. Xxxxxxxxxxxxxxxxxxx som kan uppfylla utvärderingskriterierna ges ett mervärde i form av prisavdrag i SEK. Ramavtalsleverantörens offererade timpris minskat med det totala prisavdraget för kvalitet, utgör avropssvarets utvärderingspris. Formeln för utvärderingen är följande:

Offererat timpris – Totala prisavdraget i SEK för utvärderingskriterierna 1-3 = Utvärderingspris

Den ramavtalsleverantör som har lägst utvärderingspris står för det ekonomiskt mest fördelaktiga avropssvaret och kommer tilldelas kontrakt. Observera att utvärderingspriset endast används i utvärderingssyfte och inte är det pris som leverantören fakturerar vid ett eventuellt kontrakt. Vid kontrakt faktureras offererat pris.

Om två eller flera avropssvar får samma utvärderingspris kommer den ramavtalsleverantör vars avropssvar erhåller högst prisavdrag för kvalitet antas. Om det ändå inte går att skilja anbuden åt kommer lottning att genomföras för att få fram det vinnande avropssvaret.

4.3Pris

Leverantören ska ange timpris för offererad konsult i svenska kronor exklusive mervärdesskatt. Timpris ska inkludera samtliga kostnader som krävs för utförandet av uppdraget.

Xxxx på konsult

Timpris

Klicka eller tryck här för att ange text.

SEK: Klicka eller tryck här för att ange text.


Document Metadata

Filed: September 24th, 2020