Information Security Testing Services
About This Opportunity
This is a framework agreement contract in the Monitoring Evaluation, information and communication technology and security and defense sectors. Located in Finland, Europe, this opportunity is open to firms and consortiums, with an estimated budget of EUR 800,000. Proposals must be submitted before August 19, 2026.
Published through Hilma Finland, a national government procurement portal. Public procurement tenders follow the country's national bidding regulations and may have specific eligibility and documentation requirements for framework agreement in the Monitoring Evaluation sector. Framework agreements establish terms for recurring procurement over a defined period. Selected firms are called upon as needs arise, making this a longer-term engagement opportunity. Interested parties should review the full documentation on the original source before submitting their proposal.
Description
Original language: fiTietoturvatestauspalvelut HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti.
Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä.
Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi.
Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin.
Tietoturvatestauksen sisältö voi olla esimerkiksi:
- käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja
- toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa
- penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset)
- palvelunestohyökkäysten simulointia sovitussa laajuudessa
- konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance)
- ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain)
- testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä
Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti:
- syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection)
- tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen
- mallien väärinkäytön ja ohittamisen riskit
- käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden
- tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin
Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista.
Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään:
- testaussuunnitelman
- testauksen aikaiset väliraportit
- testitulokset ja havaintokohtaiset kuvaukset
- loppuraportin johtopäätöksin.
Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä.
Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps).
Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.,
Lot 1: Tietoturvatestauspalvelut
HUS-yhtymä (jäljempänä myös tilaaja tai hankintayksikkö) pyytää tarjouksia tietoturvatestauspalveluista tämän tarjouspyynnön ja sen liitteiden ehtojen mukaisesti.
Tietoturvatestauksessa käytetään pääsääntöisesti määrämuotoista tietoturvamallia. Testaus noudattaa tarvittavia ja yleisesti hyväksyttyjä viitekehyksiä ja standardeja kuten CC (Common Criteria for Information Technology Security Evaluation), OWASP (Open Web Application Security Project) mukaan lukien OWASP ASVS ja OWASP LLM, WASC (Web Application Security Consortium), NIST sekä soveltuvin osin ISO IEC 27001 ja ISO IEC 27002 sekä EAL (Evaluation Assurance Level) -määrityksiä.
Testaus voi sisältää tietoturvan vaatimustason määrittelyn, tietoturva-arkkitehtuurin ja keskitettyjen kontrollien läpikäynnin prosessi- ja tietojärjestelmätasolla. Testauksen perusteella laaditaan selkeät ja priorisoidut muutosehdotukset löydettyjen tietoturvapuutteiden korjaamiseksi.
Tietoturvatestaus kohdistuu tietojärjestelmien lisäksi rajapintoihin, integraatioihin, pilviympäristöihin (IaaS, PaaS, SaaS), identiteetin ja pääsynhallintaratkaisuihin (IAM), mobiilisovelluksiin sekä tarvittaessa lääkintälaitteisiin liittyviin tietojärjestelmäkokonaisuuksiin.
Tietoturvatestauksen sisältö voi olla esimerkiksi:
- käyttöönottotarkastuksia, tietoturva-arviointeja ja kvanttivalmiuden arviointeja
- toistuvia haavoittuvuusskannauksia ja haavoittuvuudenhallintaa
- penetraatiotestausta (ml. web-, mobiili-, infra- ja API-testaukset sekä tarvittaessa red team -harjoitukset)
- palvelunestohyökkäysten simulointia sovitussa laajuudessa
- konfiguraatioiden ja tietoturva-asetusten tarkastuksia (baseline compliance)
- ohjelmistokomponenttien ja riippuvuuksien tietoturvan arviointia (supply chain)
- testauksen suunnittelu, toteutus, hallinta ja ylläpitotehtäviä
Tekoäly- ja LLM-ratkaisujen osalta testaus kattaa erityisesti:
- syötteiden ja promptien manipulointiin liittyvät riskit (prompt injection)
- tietovuotoriskit ja mallien kautta tapahtuvan tiedon paljastumisen
- mallien väärinkäytön ja ohittamisen riskit
- käyttöoikeuksien, rajapintojen ja integraatioiden turvallisuuden
- tekoälyjärjestelmien liitynnät muihin tietojärjestelmiin
Testaus toteutetaan tilaajan kanssa sovittujen menettelytapojen mukaisesti. Näihin sisältyvät muun muassa testauksen rajaukset, aikataulutus, hyväksytyt testausmenetelmät, tuotantoympäristöön kohdistuvien testien erityisjärjestelyt, häiriötilanteiden hallinta sekä tietoturvallinen tietojen käsittely testauksen aikana. Lisäksi sovitaan palvelun tuottamiseen osallistuvista asiantuntijoista.
Toimittaja vastaa dokumentaatiosta, joka sisältää vähintään:
- testaussuunnitelman
- testauksen aikaiset väliraportit
- testitulokset ja havaintokohtaiset kuvaukset
- loppuraportin johtopäätöksin.
Raportoinnin tulee sisältää havaintojen selkeä riskiluokittelu (kriittinen, korkea, keskitaso, matala), vaikutusten arviointi sekä konkreettiset korjaussuositukset. Raporttiin tulee sisältyä myös yhteenveto sekä tekninen yksityiskohtainen kuvaus havainnoista ja testausmenetelmistä.
Hankinnan kohteena oleva palvelu voi sisältää myös tietoturvatestauksen jatkuvien toimintamallien kehittämistä ja käyttöönottoa sekä testauksen integroimista osaksi ohjelmistokehityksen elinkaarta (DevSecOps).
Toimittajan edellytetään sitoutuvan tilaajan tietoturva- ja tietosuojavaatimuksiin sekä huomioivan sosiaali- ja terveydenhuollon toimintaympäristön erityispiirteet, mukaan lukien potilastietojen käsittelyyn liittyvät vaatimukset.
CPV: 72800000 72000000 72220000 72222100
Organisation: HUS-yhtymä
Procedure: open
Documents: https://tarjouspalvelu.fi/huslogistiikka?id=614344&tpk=e3ca2628-15f9-4666-8803-d42a6748fb82
Data provenance
This notice is sourced from Hilma Finland and was originally published on July 10, 2026. Last refreshed today. Original language: fi. BidsFactory mirrors official procurement notices and links back to the source for full legal text.
About HUS-yhtymä
HUS-yhtymä has issued 374 procurement notices on BidsFactory, including 90 currently open and 156 awarded contracts. Activity concentrates in Health & Medical, General Supplies & Services, and Information & Communication Technology. All notices are published for Finland. Notices are distributed via Hilma Finland and TED - Tenders Electronic Daily (EU). Most recent publication: July 12, 2026.
Frequently asked questions about this tender
When does this tender close?
The submission deadline is August 19, 2026. You have 37 days left to prepare and submit your proposal to the contracting authority.
Who is the contracting authority?
This notice was issued by HUS-yhtymä in Finland. The authority is responsible for evaluating bids, awarding the contract, and managing performance.
What type of contract is this?
This is a Framework agreement contract in the Monitoring, Evaluation & Learning sector. The classification helps bidders match the opportunity to their qualifications and registered scope of supply.
What is the estimated budget?
The estimated contract value is Up to €800,000. Bidders should ensure their proposals are consistent with this range and account for any local taxes and contract execution costs.
Where will the contract be performed?
The contract is for delivery in Finland. Foreign bidders should review local registration, taxation, and any in-country presence requirements before submitting.
How can I submit a bid?
Visit Hilma Finland to access the full notice, required documents, and submission instructions provided by the contracting authority.
Find tenders like this automatically
Set up alerts and filters that match your business — never miss a relevant opportunity again.