Helsedirektoratet skal i 2021 gjennomføre prosjektet Risikostyring innen informasjonssikkerhet og personvern. Vi trenger å finne et team som kan gjennomføre denne bistanden. 

Dette innebærer gjennomføring av et prosjekt som har som hovedmål å: 

• Videreutvikle og operasjonalisere risikostyringsprosess innen informasjonssikkerhet og personvern iht anerkjente standarder som ISO 27005, COSO, osv.
• Videreutvikle dagens risikorapportering. Dette inkluderer å få på plass rammeverk for risikostyring der risiko aggregeres opp til hoved risikoscenarier innen informasjonssikkerhet og personvern og disse videre knyttes til virksomhetskonsekvenser på et overordnet nivå. 
• Sørge for bedre gjennomføring av risikovurderinger samt oppfølging og evaluering av vedtatte tiltakene i organisasjon.
• Videreutvikle dagens risikostyring gjennom oppdatert risikovurdering med passende terskelkriterier på forskjellige nivåer, aggregering og rapportering.
• Bidra til å operasjonalisere risikostyringsarbeidet på tvers av Helsedirektoratet og Helfo.
• Etablere prosess for å vedlikeholde risikobildet.
• Bygge grunnlag for bedre rapportering til ledelsen.

Prosjektets skal levere:  

• Sluttrapport med oppsummering av arbeidet og læringspunkter og forslag til videre arbeid for organisasjonen
• Utarbeidelse av rammeverk for helhetlig risikostyring, inkludert oppdatering av styrende dokumenter og relevante malverk. 
• Det er behov for bistand til å gjennomføre prosjektet. Prosjektet vil følges opp og utføres i tett dialog med informasjonssikkerhetsleder (CISO) og personvernombud (PVO), men vil også ha en intern styringsgruppe i Helsedirektoratet. 

Innleide ressurser skal bistå med relevante oppgaver i prosjektet:

• Bistå å drive prosjektet på vegne av CISO og PVO
• Videreutvikling av risikostyringsarbeidet innen informasjonssikkerhet og personvern
• Videreutvikling av rammeverk for å understøtte helthetlig risikostyring innen områdene
• Oppdatere styrende dokumenter iht nytt helhetlig rammeverk 
• Bistå og klargjøre for operasjonalisering på tvers av organisasjon. Dette inkluderer å avholde workshops, dokumentere tilbakemeldinger, gjennomføre opplæring, osv.
• Bistå med oppdatering av rapportering på risikostyring innen disse områdene. Dette inkluderer utarbeidelse av mal for ledelsens risikorapportering med nødvendige metrikker med langsiktig mål å etablere automatisert rapportering.
• Gi innspill til etablering av rapportering på metrikker (KPI/KRI) fremover i organisasjonen knyttet til risikoer innen disse områder
• Denne listen er ikke uttømmende. Andre oppgaver kan komme inn basert på behov i prosjektet.

Må ha:

• Dokumentert min. 5 års erfaring med informasjonssikkerhet og personvern samt operasjonalisering av krav innen disse områder
• Dokumentert erfaring og god kunnskap om ISO 27001, ISO 27005 og Normen
• Dokumentert min. 5 års praktisk erfaring med risikostyring innen informasjonssikkerhet og personvern
• Gode norskkunnskaper(Alle dokumentasjon utarbeides på norsk)
• Minst 5 års erfaring som prosessdriver/prosjektleder (i hvert prosjektteam)

Ved søknad trenger vi spisset CV i MS Office format, godt utfylt kompetansematrise, samt informasjon om tilgjengelighet, pris og 2-3 referanser.