Tällä tietopyynnöllä on tarkoitus selvittää riskienhallintaohjelmistoon liittyviä kysymyksiä ja hinta-arvioita. Tietopyynnön tavoitteena on saada kattavasti riskienhallintaohjelmistoa koskevaa tietoa, jotta mahdollinen tarjouskilpailu voidaan toteuttaa mahdollisimman tarkoituksenmukaisella tavalla. Tämä asiakirja ei ole hankintailmoitus tai tarjouspyyntö vaan tarkentava markkinakartoitus eli tietopyyntö. Hankintayksikkö ei sitoudu toteuttamaan riskienhallintaohjelmiston hankintaa.

Päätökset mahdollisen hankintaprosessin käynnistämisestä tehdään markkinakartoituksen jälkeen.

HANKINTAA KOSKEVIA TIETOJA:

Valtioneuvoston kanslian tavoitteena on kartoittaa markkinoilla olevia riskienhallintaohjelmistoja, jotka mahdollistavat turvallisuustoimintaympäristön kuvaamisen, riskien arvioinnin (sisältäen riskien tunnistamisen, riskianalyysin ja riskin merkityksen arvioinnin), riskien käsittelyn, riskien tallentamisen ja raportoinnin, riskien seurannan ja katselmoinnin sekä tähän liittyvän viestinnän ja tiedonvaihdon. Riskiarvioinnin taso on operatiivisella tasolla, ei strategisella tasolla. Riskien arvioinnin lisäksi ohjelmistossa tulee pystyä käsittelemään turvallisuus- ja tietoturvapoikkeamia.

Riskienhallintaohjelmistossa on kyettävä viemään läpi koko riskienhallintaprosessi uhka-arvioinnista riskien tunnistamiseen, riskianalyysiin, riskien merkityksen arviointiin, riskien käsittelyyn, riskien tallentamiseen ja raportointiin, riskien seurantaan ja katselmointiin sekä tähän liittyvä viestintä ja tiedonvaihto.

Riskienhallintaohjelmistossa on kyettävä tekemään jäännösriskipäätös.

Riskienhallintaohjelmiston tulee mahdollistaa riskiarvioinnin ainakin seuraavista riskilajeista: toimitilaturvallisuusriskit, tapahtumaturvallisuusriskit, tietoturvariskit, työturvallisuusriskit, talousriskit ja tietosuojariskit.

Poikkeamanhallintaan kuuluu poikkeamailmoitusten luominen ja vastaanotto, ilmoittajan tietojen syöttäminen ja todistusaineiston lisääminen, poikkeamailmoituksen tarkastaminen ja poikkeamien kategorisointi, poikkeaman priorisointi ja arviointi, korjaavien toimenpiteiden määrittely ja toimenpiteiden seuranta. Poikkeamiin tulee pystyä lisäämään aihetunnisteita, kuten poikkeaman tyyppi, aika ja paikka. Lisäksi ilmoittajan ja vastaanottajan tulee pystyä päivittämään ilmoitusta ja vastaanottajan on kyettävä päättämään poikkeaman käsittely ja antamaan palautetta annetusta ilmoituksesta. Poikkeamista on kyettävä luomaan raportti ja analytiikkaa esim. kategorioiden tai vakavuuden osalta. Kaikkien sidosryhmien tulee kyetä tehdä poikkeamailmoitus, mm. kaikkien ministeriöiden henkilöstö (n. 6000 hlöä), vieraat ja alihankkijat.

Riskienhallintaohjelmisto voi olla SaaS-ratkaisu tai on-prem -ratkaisu. Riskienhallintaohjelmiston tietojenkäsittely-ympäristön tulee täyttää turvallisuusluokan IV käsittelyn edellyttämät vaatimukset. Riskienhallintaohjelmiston tulee olla internet-selaimen kautta käytettävä. Tietojen tulee sijaita EU-/ETA-alueella.

Riskienhallintaohjelmisto tulee pystyä integroimaan organisaation AD -ympäristöön osana tunnistautumisen ja käyttöoikeuksien hallintaa. Valtioneuvoston kanslian pääkäyttäjien tulee kyetä hallinnoimaan käyttäjäoikeuksia ja niitä pitää pystyä myöntämään riskienhallintakohdekohtaisesti. Lisäksi valtioneuvoston kanslian pääkäyttäjien tulee kyetä itse luomaan, muokkaamaan ja hallinnoimaan riskienhallintakohteita, joita voivat olla esimerkiksi yksittäinen tietojärjestelmä tai toimitila. Organisaatiokohtaisten pääkäyttäjien lisäksi ohjelmistoa voi käyttää myös pääkäyttäjätasoa alemmille käyttöoikeuksilla, joilla voi olla pääsy vain yksittäisiin riskienhallintakohteisiin. Jos ratkaisu on modulaarinen, tulee käyttöoikeuksia pystyä rajaamaan myös moduuleittain.

Jos markkinakartoituksen jälkeen etenemme hankintavaiheeseen, on uusi riskienhallintaohjelmisto suunnitellusti käytössä 1.3.2026.

Hankinta muodostuu seuraavista osa-alueista:

1) Internet-selaimen kautta toimiva riskienhallintaohjelmisto, jolla voi käsitellä edellä mainitun mukaisesti

a. toimitilaturvallisuusriskejä, tapahtumaturvallisuusriskejä, tietoturvariskejä, työturvallisuusriskejä, talousriskejä, tietosuojariskejä.

b. Turvallisuus- ja tietoturvapoikkeamia.

TIETOPYYNTÖ:

Tiedustelemme näkemyksiänne seuraavista asioista:

1. Mikä teistä olisi paras tapa toteuttaa hankinta? Pyydämme esittämään näkemyksiänne hankinnan toteuttamisvaihtoehdoista.

2. Yksilöikää mahdolliset palvelunne tarkemmin. Liitteeksi voitte laittaa palvelukuvauksianne, jos mahdollista.

3. Millaisella hinnoittelumallilla olisitte kiinnostunut tarjoamaan palveluita? Mikä on alustava hinta-arvionne ehdottamastanne toteutuksesta? Miten palvelun hinta määräytyy? Paljonko arvioitte käyttöönottokustannuksiksi ja työmääräarvioksi? Onko hinnoittelu lisenssiperustainen? Hankitaanko jokaiselle käyttäjälle lisenssi? Minkälainen hintavaikutus asiakastuen laajuudella on?

4. Jos tarjoamanne ratkaisu on SaaS-palvelu, missä data sijaitsee?

5. Onko organisaatiollanne myönnetty jokin alan laatusertifikaatti?

6. Mikä on toteutuksen valmistumisen aikatauluarvio? Onko aikataululla hinnoitteluvaikutuksia ja jos on, niin millaisia?

7. Ennen käyttöönottoa asiakas voi suorittaa tietoturva-auditoinnin hankittavaan kohteeseen. Mitä mieltä te tästä olette? Jos ei käy, voitteko perustella vastauksenne.

8. Kuvatkaa yrityksenne kokemusta kyseessä olevien palvelujen tuottamisesta. Pyydämme ilmoittamaan montako referenssiä/millaisia referenssejä teillä on hankinnan kohdetta vastaavien palvelujen tuottamisesta.

9. Millä kielillä tarjoatte riskienhallintaohjelmistoa? Entä siihen liittyvän asiakastuen?

10. Minkälaisia sopimusvaihtoehtoja teillä on tarjota? Kuinka pitkä sopimuskausi olisi teidän mielestänne sopiva?

Näiden tietojen lisäksi pyydämme vapaamuotoisia näkemyksiänne seikoista, joita tarjouspyyntöä tehtäessä kannattaisi huomioida.