Norsk helsenett er i ferd med å etablere et prosjekt for innføring av sentralisert funksjon for håndtering av livssyklusen til krypteringsnøkler, sertifikater (både internt genererte og innkjøpte) og annen informasjon som man av sikkerhetshensyn trenger å oppbevare sikkert og styre tilgangen til. Det skal defineres og etableres tjeneste- og leveransemodell med organisering for forvaltning, teknisk drift, og velges tekniske komponenter.

Norsk helsenett har behov for en erfaren sikkerhetsarkitekt med god kunnskap om forskrift om kryptosikkerhet, dokumentert erfaring med teknisk design, og valg av løsninger for sikker forvaltning av nøkler og sertifikater, både 'on-premise' (tradisjonell infrastruktur og privat sky i lokale datarom) og i allmenn sky som Microsoft Azure og Amazon.

Oppgaver:

• Avdekke behov for løsninger til håndtering av nøkler og sertifikater internt i Norske helsenett og kommunisere dette til prosjektteamet
• Bearbeide krav og utarbeide arkitekturmodeller og løsningsspesifikasjoner basert på kravene
• Anbefale og bistå med utvelgelse og implementering av sikkerhetsløsninger og kvalitetssikre disse
• Bistå med testing av valgte sikkerhetsløsninger
• Samarbeide med sikkerhetsleder for gjennomføring av risikovurdering og oppfølgning av sikkerhetskrav
• Foreslå sikkerhetstiltak ved risiko- og avvikshåndtering
• Anbefale og bistå ved utarbeidelse av intern tjeneste- og leveransemodell for kryptodrift, herunder rutiner og prosedyrer
• Inngå i prosjektets arkitekturteam
• Ved behov bistå prosjektledelsen med øvrige oppgaver i prosjektet

For dette oppdraget kan Kunden kreve at det blir utført referansesjekk, vandel og bakgrunnssjekk, samt oppfølging av tilbudt konsulent som sannsynliggjør at konsulenten er egnet for oppdraget. Bistanden skal utføres i: Oslo.

Absolutte krav:

• Må ha erfaring fra arbeid med etablering av sikkerhetsløsninger i sky
• Må ha erfaring med grunnleggende sikkerhetsstandarder, herunder ISO 27001 og ISO 27002
• Må ha erfaring med standardene NIST SP-800-57, FIPS 140-2 og NSM Recommendation for cryptography.
• Må ha erfaring med sertifikater og PKI
• Må ha erfaring med trusselmodellering og risikoanalyser
• Må ha erfaring med sikkerhetsarkitektur i høysikkerhetsmiljøer som sikkerhetsarkitekt (eller lignende rolle)
• Konsulentene skal ha svært gode kommunikasjonsegenskaper både muntlig og skriftlig, og beherske norsk og engelsk språk. å ha evne til å forme skisser og beskrivelser av løsninger, der dokumentasjonen kan være kompleks eller mangelfull

Evalueringskrav:

• Konsulenten bør ha erfaring med sikkerhetsarbeid fra større driftsorganisasjoner eller utviklingsprosjekter
• Konsulenten bør ha høyere akademisk utdanning på universitets-/høgskolenivå
• Konsulenten bør ha kunnskap om og erfaring med NSMs grunnprinsipper for IKT-sikkerhet
• Konsulenten bør ha lang erfaring med sikkerhetsarbeid
• Konsulenten bør ha erfaring med å spesifisere IT-sikkerhetsarkitektur, samt erfaring med teknisk og funksjonell dokumentasjon
• Konsulenten bør ha kjennskap til og erfaring med løsninger/produkter for forvaltning innen KMS, HMS, Vault og/eller PKI.
• Konsulenten bør ha god kunnskap om sikkerhetskrav i OWASP ASVS (Application Security Verification Standard) og OWASP CSVC (Container Security Verification Standard)
• Konsulenten bør ha erfaring fra helsesektoren
• Konsulenten bør ha god kunnskap om krav fra Norm for informasjonssikkerhet i helse- og omsorgstjenesten