Byna guideMed ReAI

Informasjonssikkerhet i anskaffelsessystemer

Sikkerheten må beskytte konfidensialitet før fristen, integritet i beslutningene og tilgjengelighet gjennom kritiske milepæler.

Praktisk leverandørguideKontroller alltid gjeldende dokumenter

I et KGV er minutter før tilbudsfristen forretningskritiske. Før åpning er tilbudenes konfidensialitet avgjørende. Under evaluering må dataenes integritet kunne dokumenteres. Informasjonssikkerheten må derfor knyttes til prosessen, ikke bare til en generell sertifisering.

Beskyttelsesbehov gjennom livsløpet

FaseViktigste sikkerhetsmål
PlanleggingBeskytte upublisert strategi og markedsinformasjon
KonkurranseSikre lik og autentisk informasjon til leverandørene
InnsendingTilgjengelig portal, sikker transport og pålitelig kvittering
Før åpningHindre tilgang til tilbudsinnhold
EvalueringBeskytte integritet, habilitet og sporbarhet
KontraktKontrollere endringer, frister og kommersielle data
AvslutningFullstendig arkiv og sikker sletting eller eksport

Tekniske minimumskontroller

  • kryptering under transport og i lagring
  • nøkkelstyring adskilt fra applikasjonsdata
  • flerfaktor for privilegerte brukere
  • minste privilegium og kundeisolasjon
  • sikker programvareutvikling og avhengighetskontroll
  • sikkerhetskopi med testet gjenoppretting
  • overvåking av innlogging, eksport og administrative endringer
  • hendelsesplan med varslings- og bevisbevaringsrutine
  • ratebegrensning og beskyttelse av offentlige endepunkter
  • hemmeligheter i dedikert secret-lager, aldri i kildekode

Tilbudsinnsending krever særskilt test

Lasttest portalen rundt typiske frister. Test store filer, treg forbindelse, avbrutt opplasting og fornyet innlogging. Kvitteringen bør vise konkurranse, tidspunkt og hva som ble mottatt uten å eksponere dokumentene unødvendig.

Definer hva som skjer hvis tjenesten er utilgjengelig. Systemet skal ikke selv improvisere fristforlengelse; ansvarlig oppdragsgiver må få beslutningsstøtte og en sporbar publiseringsflyt.

Integrasjoner og leverandørkjede

Et kompromittert integrasjons-token kan gi større skade enn én kompromittert bruker. Bruk separate legitimasjoner per miljø og integrasjon, korte tokenlevetider, scopes og rotasjon. Logg ikke API-nøkler eller Maskinporten-token .

Kartlegg underleverandører, driftregion, supporttilgang og endringer i underleverandørkjeden. Sikkerhetskrav må kunne følges opp med rapporter, hendelsesvarsling og test, ikke bare kontraktstekst.

AI-funksjoner

Ikke send tilbud eller skjermet informasjon til en modell uten avklart formål, databehandlerforhold, lagring og tilgang. AI-resultater bør lagres som forslag med kildehenvisning og menneskelig godkjenning. Les KI i offentlige anskaffelser .

Be om bevis

Krev testresultater for gjenoppretting, sårbarhetshåndtering, tilgangsrevisjon og hendelsesøvelse. En ISO-standard kan være relevant dokumentasjon, men erstatter ikke testing av de konkrete prosessene og integrasjonene.

Offisiell kilde

Se NSMs grunnprinsipper for IKT-sikkerhet . Gjennomfør egen risikovurdering for virksomhetens data og bruk.