Risikovurdering IT i Trondheim kommune

Bakgrunn: Trondheim kommune skal gjennomføre en helhetlig risikovurdering av IKT og sikkerhetsstyring som kombinerer trussel- og scenariobasert analyse med systemvise vurderinger av forretningskritikalitet (BIA), sårbarheter og kontrolltiltak. Formålet er å etablere et oppdatert grunnlag for løpende risikostyring, prioritering av tiltak og internkontroll, samt bygge kompetanse og gjennomføringsevne for videre forvaltning av risikostyring for IKT-tjenester i Trondheim kommune. Oppdraget har to hovedformål: Leveranse av en oppdatert risikovurdering av IKT-sikkerheten i Trondheim kommune; Etablering av rammeverk, prosesser og støtteverktøy for løpende risikostyring av IKT-sikkerheten i Trondheim kommune.

Behov: Oppdraget er todelt, gjennomføring av risikovurdering og etablering av risikostyring. Prosjektet skal levere både en oppdatert risikovurdering og et rammeverk for løpende risikostyring; tillegg krav og forventninger knyttet til ISMS parallelt med dette prosjektet.

Arbeidsoppgaver:

1. Oppdraget er todelt, gjennomføring av risikovurdering og etablering av risikostyring.
2. Leveransen av risikovurdering skal omfatte:
3. Kommunens sentrale IKT-tjenester og systemportefølje (inkl. fagsystemer), infrastruktur og sky-tjenester, SaaS og infrastrukturtjenester, inkludert identitets- og tilgangsstyring (on‑prem AD/Entra ID), nettverk og hybridkoblinger og sentrale sikkerhetsfunksjoner, med prioritering av kritiske systemer.
4. Organisatoriske, prosessuelle og tekniske sikkerhetstiltak, inkludert personell- og leverandørrelaterte forhold.
5. Utvikling av en trusselvurdering og et scenario-bibliotek relevant for Trondheim kommune.
6. Kobling mellom scenarier, systemavhengigheter, kontrollstatus og business impact for å etablere et overordnet risikobilde.
7. Utenfor omfang (med mindre eksplisitt avtalt): penetrasjonstesting, full revisjon etter ISO 27001, eller detaljert kildekodegjennomgang. Stikkprøver av tekniske konfigurasjoner kan inngå som evidensgrunnlag der dette er hensiktsmessig.
8. Leveransen knyttet til risikostyring skal omfatte:
9. Metodikk og rammeverk: Etablering av en tilpasset metodikk, inkl. forslag til nødvendige rutiner for risikostyring (inkludert kriterier for konsekvens og sannsynlighet) som støtter opp under ISO 27001 styringssystemet som etableres parallelt.
10. Verktøystøtte og malverk: Vurdering, anbefaling og oppsett av egnet verktøystøtte og/eller strukturerte malverk for risikostyring, vurderinger og løpende datainnsamling. Løsningen skal besluttes i samråd med oppdragsgiver i fase 1, basert på kriterier om kostnadseffektivitet, brukervennlighet og vedlikeholdbarhet over tid. Prosjektet skal omfatte en vurdering av om kommunens eksisterende verktøy (f.eks. Kvaliteket/CIM/ServiceNow) er hensiktsmessig for fremtidig risikostyring, eller om det bør anskaffes dedikert GRC-verktøy (Governance, Risk, and Compliance).
11. Prosess og årshjul: Utarbeidelse av prosessbeskrivelser for gjennomføring av jevnlige risikovurderinger, inkludert forslag til årshjul for risikoarbeidet. Dette skal koordineres med det parallelle ISMS-prosjektet for å sikre at risiko-årshjulet passer inn i kommunens overordnede årshjul for sikkerhetsstyring.
12. Kompetanseoverføring: Opplæring av nøkkelpersonell og utarbeidelse av veiledningsmateriell som setter kommunens ressurser i stand til å vedlikeholde risikoregisteret og gjennomføre oppdateringer etter at prosjektet er avsluttet.
13. Leveranser:
14. System- og tjenesteinventar: Strukturert oversikt over vurderte systemer/tjenester, eierskap, avhengigheter, datatyper, driftsmodell og leverandørforhold. Trondheim digitals tjenestekatalog samt tidligere ROS vil være utgangspunkt, men oppdragstaker bør foreslå metoder for å avdekke særlig andre skytjenester/skygge-IT som er i bruk, og inkludere disse om de er relevante. Inventaret skal også inkludere informasjon om dataflyt, identifisering av særlig kritiske verdier, samt sentrale tekniske og organisatoriske avhengigheter på tvers av on‑prem, Azure og SaaS.
15. Konsekvensvurderinger (Business Impact-vurderinger - BIA) per system/tjeneste: For hvert system/tjeneste skal samles vurdering av konsekvenser ved brudd på konfidensialitet, integritet eller tilgjengelighet. Basert på konsekvensvurderingen skal det for hvert system defineres tydelige krav til kontinuitet inkludert mål for gjenopprettingstid (RTO), akseptabelt datatap (RPO). For de mest samfunnskritiske tjenestene skal det identifiseres hvor tidsgrensen går for når et avbrudd utvikler seg til en uhåndterbar krise - Absolutt tålegrense (MTPD). Kartlegging av avhengigheter: Identifisere kritiske avhengigheter mellom systemer, samt avhengigheter til tredjepartsleverandører og infrastruktur, som kan påvirke tjenestens tilgjengelighet (følgeskader) Gjenbrukbar metodikk: Utvikle og dokumentere kriterier, skalaer og malverk for vurderingene, slik at kommunen selv kan gjenbruke metodikken ved fremtidige revideringer og nyanskaffelser.
16. Kontroll- og sårbarhetskartlegging: Utvikling av oversiktlige sjekklister basert på relevante kontrolltiltak (med sporbarhet til ISO/IEC 27002 eller tilsvarende katalog), tilpasset ulike system/tjenestetyper og driftsmodeller, og egnet for repeterbar revidering og gjenbruk på nye systemer og tjenester. Krav til dokumentasjon og omfang må være tilpasset systemets kritikalitet. Identifisering av sårbarheter basert på sjekklister, intervjuer og annen relevant informasjonsinnhenting. Sårbarhetskartlegging på både system/tjenestenivå og knyttet til organisering, struktur og rutiner (governance). Dokumentasjon og registrering av funn/sårbarheter og anbefalte tiltak.
17. Trusselvurdering: Beskrivelse av relevante trusselaktører, motiv, kapabilitet og typiske angrepsmønstre (TTP‑er) for kommunal kontekst, basert på hendelser fra SOC, offentlige kilder, mv. Avgrensning og metode for oppdatering. Trusselvurderingen bør være en selvstendig leveranse, som kan oppdateres årlig basert på relevant input, og oppdragstaker bes foreslå prosess for dette.
18. Scenario-bibliotek: Et sett med prioriterte scenarier (inkl. varianter) som dekker sentrale trusseltyper (f.eks. løsepengeangrep, identitetskompromittering, leverandørhendelser, datautlekking, tjenestenekt, insider, feilkonfigurasjon i sky, OT/SCADA-relaterte angrep og utfall mv.) Scenarier kan baseres på sårbarhetsvurderingene samt åpne kilder som trusselvurderinger fra myndigheter og andre, og være relevante for de ulike kommunale virksomhetsområdene. For hvert scenario: forutsetninger, berørte verdier, forventede konsekvenser, og hvilke kontrollområder som påvirker sannsynlighet og konsekvens.
19. Oppdatert risikoregister: Et oppdatert risikoregister som grunnlag for risikovurderingen, og som skal støtte hensiktsmessig aggregering, rapportering og oppfølging av risikostyringen, inkl. risikostatus på virksomhetsområder.
20. Tiltaksplan og prioritering: Identifiserte og prioriterte tiltak med avhengigheter, konsekvens for risiko, ansvar, grov kost/nytte og anbefalt rekkefølge (roadmap). Hensiktsmessig gruppering, som kortsiktige risikoreduserende tiltak, mellomlange stabiliserende tiltak og langsiktige modenhetsbyggende tiltak.
21. Anbefalinger: Executive summary som kan offentliggjøres, dvs at det ikke peker direkte på sårbarheter som kan utnyttes. Drøfting av status på risikoene som er identifisert, og kultur for å håndtere risiko hos oppdragsgiver sammenlignet med a) hva som bør forventes og evt. b) andre sammenlignbare kommuner.
22. Forvaltningsopplegg: Det må i starten av oppdraget utvikles nødvendige verktøy/maler/støttefunksjoner for repeterbar datainnsamling, risikovurderinger og risikohåndteringer, prosess for risikovurdering og prosess for risikohåndtering (med tilhørende roller), sannsynlighetsskalaer og konsekvensmatriser i dialog med oppdragsgiver. Med utvikling menes det her at disse må være tilpasset oppdragsgiverens organisasjon, og være utgangspunkt for videre risikovurdering. Om nødvendig justeres disse etter piloting og på slutten av oppdraget.
23. Resultater (utfylte risikoregister/BIA) bør leveres fortløpende eller i bolker, ikke samlet til slutt.
24. Gjennomføringsplanen må inneholde et estimat på forventet tidsbruk fra kommunens ressurser.
25. Hovedaktiviteter og milepæler; Tidspunkt for leveranser; Workshops og møteserier; Eventuelle kritiske avhengigheter.
26. Oppdragstaker vil ha et selvstendig ansvar for leveransen, og står fritt til å organisere arbeidet.
27. Oppdragsgiver skal inngå i arbeidsgruppen, med formål å bidra faglig og for å bygge tilstrekkelig kompetanse til å overta risikovurdering, prosess og verktøy.
28. Leveransene skal gis på en slik måte at kommunen har grunnlag for en videre løpende risikostyring, samt en sammenfattende rapport/presentasjon for ledelsen.
29. Leverandør står fritt til å foreslå hensiktsmessige måter å løse oppdraget på, og kommunen vil vurdere foreslått løsning knyttet til måloppnåelse, omfang og ressursbruk, og kostnader knyttet til eventuelle systemer som foreslås.

Krav til konsulent:

1. Obligatorisk: Oppdragstaker skal benytte en anerkjent metodikk grunnet i relevante standarder som NS 5814:2021 Krav til risikovurderinger, NS-ISO/IEC 27005:2015 Risikostyring for informasjonssikkerhet og NS 5832:2014 Krav til sikringsrisikoanalyse.
2. Obligatorisk: Oppdragstaker skal dokumentere kompetanse innen:
3. Obligatorisk: Risikoanalyse av informasjonssikkerhet og IKT (scenario- og systemnivå).
4. Obligatorisk: Kontrollrammeverk og modenhetsvurdering (ISO 27001/27002/27005 eller tilsvarende).
5. Obligatorisk: Erfaring fra offentlig sektor/kommunal kompleksitet (leverandører, fagsystemer, integrasjoner, identitetsstyring, IT/OT).
6. Obligatorisk: Fasilitering av workshops og etablering av forvaltningsbare registre.
7. Obligatorisk: Personlig egnethet vektlegges: gode kommunikasjons- og samarbeidsevner, relasjonsbygger, høy gjennomføringsevne.
8. Ønsket: Verktøystøtte: Oppdragstaker forventes å forholde seg til kommunens eksisterende løsninger for kontorstøtte og samhandling, samt eventuelle andre relevante verktøy i kommunens portefølje, særlig Google Workspace, både i oppdragsgjennomføring, kommunikasjon med interessenter samt i den grad prosessene som foreslås bygger på eksempelvis regneark, skjema mv.

Oppdragsdetaljer:

1. Oppstart: 17.08.2026
2. Varighet: 17.08.2026 - 15.12.2026
3. Antall konsulenter: 1 konsulent, eller eventuelt et team
4. Omfang: Inntil 2 mill NOK inkl. mva.
5. Arbeidssted: Sted for utførelse vil være i Trondheim kommunes lokaler (ulike kontorsteder) og eventuelt etter nærmere avtale.
6. Omfang: heltid