Informasjonssikkerhet i anskaffelsessystemer
Sikkerheten må beskytte konfidensialitet før fristen, integritet i beslutningene og tilgjengelighet gjennom kritiske milepæler.
I et KGV er minutter før tilbudsfristen forretningskritiske. Før åpning er tilbudenes konfidensialitet avgjørende. Under evaluering må dataenes integritet kunne dokumenteres. Informasjonssikkerheten må derfor knyttes til prosessen, ikke bare til en generell sertifisering.
Beskyttelsesbehov gjennom livsløpet
| Fase | Viktigste sikkerhetsmål |
|---|---|
| Planlegging | Beskytte upublisert strategi og markedsinformasjon |
| Konkurranse | Sikre lik og autentisk informasjon til leverandørene |
| Innsending | Tilgjengelig portal, sikker transport og pålitelig kvittering |
| Før åpning | Hindre tilgang til tilbudsinnhold |
| Evaluering | Beskytte integritet, habilitet og sporbarhet |
| Kontrakt | Kontrollere endringer, frister og kommersielle data |
| Avslutning | Fullstendig arkiv og sikker sletting eller eksport |
Tekniske minimumskontroller
- kryptering under transport og i lagring
- nøkkelstyring adskilt fra applikasjonsdata
- flerfaktor for privilegerte brukere
- minste privilegium og kundeisolasjon
- sikker programvareutvikling og avhengighetskontroll
- sikkerhetskopi med testet gjenoppretting
- overvåking av innlogging, eksport og administrative endringer
- hendelsesplan med varslings- og bevisbevaringsrutine
- ratebegrensning og beskyttelse av offentlige endepunkter
- hemmeligheter i dedikert secret-lager, aldri i kildekode
Tilbudsinnsending krever særskilt test
Lasttest portalen rundt typiske frister. Test store filer, treg forbindelse, avbrutt opplasting og fornyet innlogging. Kvitteringen bør vise konkurranse, tidspunkt og hva som ble mottatt uten å eksponere dokumentene unødvendig.
Definer hva som skjer hvis tjenesten er utilgjengelig. Systemet skal ikke selv improvisere fristforlengelse; ansvarlig oppdragsgiver må få beslutningsstøtte og en sporbar publiseringsflyt.
Integrasjoner og leverandørkjede
Et kompromittert integrasjons-token kan gi større skade enn én kompromittert bruker. Bruk separate legitimasjoner per miljø og integrasjon, korte tokenlevetider, scopes og rotasjon. Logg ikke API-nøkler eller Maskinporten-token .
Kartlegg underleverandører, driftregion, supporttilgang og endringer i underleverandørkjeden. Sikkerhetskrav må kunne følges opp med rapporter, hendelsesvarsling og test, ikke bare kontraktstekst.
AI-funksjoner
Ikke send tilbud eller skjermet informasjon til en modell uten avklart formål, databehandlerforhold, lagring og tilgang. AI-resultater bør lagres som forslag med kildehenvisning og menneskelig godkjenning. Les KI i offentlige anskaffelser .
Be om bevis
Krev testresultater for gjenoppretting, sårbarhetshåndtering, tilgangsrevisjon og hendelsesøvelse. En ISO-standard kan være relevant dokumentasjon, men erstatter ikke testing av de konkrete prosessene og integrasjonene.
Offisiell kilde
Se NSMs grunnprinsipper for IKT-sikkerhet . Gjennomfør egen risikovurdering for virksomhetens data og bruk.