Tietoturvatestauspalvelut

HUS-yhtymä

HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.

Määräaika

Deadline 2026-08-19

Kuka? Mitä? Missä?
Hankintojen historia
Päivämäärä Asiakirja
2026-07-08 hankintailmoitus
hankintailmoitus (2026-07-08)
Kohde
Hankinnan laajuus
Otsikko: Tietoturvatestauspalvelut
Viitenumero: HUS 045-2026
Lyhyt kuvaus:
HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti. Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä. Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi. Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin. Tietoturvatestauksen sisältö voi olla esimerkiksi: - käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja - toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa - penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset) - palvelunestohyökkäysten simulointia sovitussa laajuudessa - konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance) - ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain) - testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti: - syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection) - tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen - mallien väärinkäytön ja ohittamisen riskit - käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden - tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista. Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään: - testaussuunnitelman - testauksen aikaiset väliraportit - testitulokset ja havaintokohtaiset kuvaukset - loppuraportin johtopäätöksin. Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä. Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps). Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
Näytä lisää
Sopimustyyppi: Palvelut
Tuotteet/palvelut: Tietojärjestelmän auditointi- ja testauspalvelut 📦
Arvioitu arvo ilman arvonlisäveroa: 800 000 EUR 💰
Kuvaus
Sisäinen tunniste: HUS 045-2026
Tämä hankinta soveltuu myös pienille ja keskisuurille yrityksille (pk-yrityksille)
Lisätuotteet/palvelut: Edistettävä sosiaalinen tavoite: Oikeudenmukaiset työolot
Pääkohde tai suorituspaikka:
Tilaaja voi edellyttää sopimuksen kohteena olevan palvelun tuottamista tilaajan tiloissa.
Maa: Suomi 🇫🇮
Suorituspaikka: Helsinki-Uusimaa 🏙️
Kesto: 48 kuukautta
Myöntämisperusteet
Hinta
Hinta (painotus): 60
Laatukriteeri (nimi): Laatu
Laatukriteeri (painotus): 40
Otsikko
Erän tunnistenumero: LOT-0000

Menettely
Toimenpiteen tyyppi
Avoin menettely
Oikeusperusta: Direktiivi 2014/24/EU
Menettelyn tärkeimmät piirteet:
Hankintayksikkö valitsee tässä hankintamenettelyssä puitejärjestelyyn kolme (3) toimittajaa, jollei soveltuvuusvaatimukset täyttäviä tarjoajia tai hyväksyttäviä tarjouksia ole vähemmän. Puitejärjestelyyn valitut toimittajat asetetaan tarjousvertailun perusteella etusijajärjestykseen. Puitejärjestelyyn perustuvat hankinnat tehdään etusijajärjestyksen mukaisesti ilman kilpailuttamista tarjouspyynnön liitteessä 1 kuvatun mukaisesti.
Näytä lisää
Hallinnolliset tiedot
Tarjousten tai osallistumishakemusten vastaanottamisen määräaika: 2026-08-19 09:00:00 📅
Tarjousten avaamista koskevat ehdot: 2026-08-19 09:15:00 📅
Kielet, joilla tarjoukset tai osallistumishakemukset voidaan jättää: suomi 🗣️
Vähimmäisaika, jonka kuluessa tarjoajan on pidettävä tarjous voimassa: 4 kuukautta
Puitesopimusta tai dynaamista hankintajärjestelmää koskevat tiedot
Puitesopimus useiden toimijoiden kanssa
Osallistujien enimmäismäärä: 3
Tarjouspyynnön ehdot
Tarjoaja voi jättää useamman kuin yhden tarjouksen
Hankintasopimuksen toteuttamiseen osoitetun henkilöstön nimet ja ammatillinen pätevyys on ilmoitettava
Tarjousten avaamisen päivämäärä: 2026-08-19 09:15:00 📅
Sähköinen laskutus: Pakollinen
Sähköistä tilaamista käytetään
Sähköistä maksua käytetään
Lisätietojen pyytämisen määräaika: 2026-08-05 09:00:00 📅
Turvallisuusselvitys vaaditaan
Kuvaus: Turvallisuusselvitystä voidaan vaatia.
Myöntämisperusteet
Painotustyyppi: Painotus (prosentteina, tarkka)
Tarjouspyynnön ehdot
Salassapitosopimus on pakollinen

Hankintaviranomainen
Nimi ja osoitteet
Nimi: HUS-yhtymä
Kansallinen rekisterinumero: 1567535-0
Postiosoite: PL 445 (Uutistie 5, 01770 Vantaa)
Postinumero: 00029
Postitoimipaikka: Hus
Alue: Helsinki-Uusimaa 🏙️
Maa: Suomi 🇫🇮
Yhteyspiste: ICT-hankintakategoria
Sähköposti: kilpailutus.ict@hus.fi 📧
Puhelin: +358 947111 📞
URL: http://www.hus.fi 🌏
Hankintaviranomaisen tyyppi
Alue- tai paikallistason viranomainen
Päätoimi
Terveys
Viestintä
Asiakirjojen URL-osoite: https://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82 🌏
Osallistumisen URL-osoite: https://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82 🌏
Tarjouksen/hakemuksen jättäminen sähköisesti: Pakollinen

Täydentävät tiedot
Arvostelurunko
Nimi: Markkinaoikeus
Kansallinen rekisterinumero: 3006157-6
Postiosoite: Radanrakentajantie 5
Postinumero: 00520
Postitoimipaikka: Helsinki
Alue: Helsinki-Uusimaa 🏙️
Maa: Suomi 🇫🇮
Sähköposti: markkinaoikeus@oikeus.fi 📧
Puhelin: +358 295643300 📞
URL: http://www.oikeus.fi/markkinaoikeus 🌏
Palvelu, josta voi saada tietoja uudelleentarkastelumenettelystä
Sama kuin: Nimi ja osoitteet
Uudelleentarkastelumenettely
Tarkat tiedot uudelleentarkastelumenettelyjen määräajasta (määräajoista):
Muutoksenhakumenettelyjen määräaikoihin sovelletaan julkisista hankinnoista ja käyttöoikeussopimuksista annettua lakia (1397/2016).
Tietoa sähköisistä työnkuluista
Sähköinen laskutus hyväksytään
Lähde: OJS 2026/S 131-476317 (2026-07-08)