Bilag 1 Kundens kravspesifikasjon

Størrelse: px
Begynne med side:

Download "Bilag 1 Kundens kravspesifikasjon"

Transkript

1 ilag 1 Kundens kravspesifikasjon

2 ilag 1 Kundens kravspesifikasjon Versjonshåndtering Versjon Dato Initiert av Endringsårsak Difi Dokument distribuert til tilbydere Difi Endret kapittel 2, krav , og etter spørsmål fra tilbydere Difi nsvarsfordeling mellom Kunden og Leverandøren er blitt utdypet i punkt 1.1 «omfanget av anskaffelsen» Difi og krav utgår, da disse er duplikat av henholdsvis krav og krav utgår, da kravet dekkes av og Saksnummer 13/ / 44

3 ilag 1 Kundens kravspesifikasjon Innhold 1. ILEDIG akgrunn for anskaffelsen Omfanget av anskaffelsen VEILEDIG TIL KRVTELLE KRV TIL STYRIG, SMREID OG GEOMFØRIG OVERORDEDE KRV TIL TEESTER Generelle krav Overordnede tekniske krav Kvalitetssikrings- og styringssystem Etterlevelse av regelverk Miljø PT-1 DRIFTSPLTTFORM FOR ÅPE IFORMSO PT-2 DRIFTSPLTTFORM FOR SESITIV IFORMSO PT-3 DRIFTSPLTTFORM FOR FUKSOELLE TESTIG PT-4 DRIFTSPLTTFORM FOR YTELSESTESTIG PT-5 DRIFTSPLTTFORM FOR DRIFTS- OG ISTLLSOSTESTIG EKELTTEESTER ET-1 Housing, inkludert fysisk sikkerhet ET-2 ettverkstjenester ET-2-1 Lastbalansering ET-2-2 Lastbegrensing ET-2-3 Sikring mot DDOS ET-2-4 VP ET-2-5 Filoverføringstjenester ET-2-6 DS ET-2-7 rannmur ET-3 Lagringstjenester ET-3-1 Database ET-3-2 Filtjeneste ET-3-3 Filtjenester med integritetskontroll ET-3-4 ackup ET-3-5 Hardware Security Module (HSM) ET-4 Servertjenester ET-5 Operativsystemtjenester Saksnummer 13/ / 44

4 ilag 1 Kundens kravspesifikasjon 10.6 ET-6 Mellomvaretjenester ET-7 E-posttjeneste ET-8 pplikasjonsdrift ET-9 Sertifikattjenester ST-1 OVERVÅKIGSTEESTER asis overvåking og logging av driftsløsningen Overvåking av Kundens applikasjoner ST-2 SERVIELEDELSE OG SERVIELEDER Leveranseprosesser Serviceledelse Servicedesk Hendelseshåndtering Problemhåndtering Endringshåndtering Produksjonssetting Konfigurasjonsstyring Kapasitetsstyring Kontinuitet og beredskap Driftsrutiner Innsyn og revisjon Rapportering og varsling ST-3 TEST TEESTER Testledelse Ytelsestest ST-4 IFORMSOSSIKKERHETSTEESTER Sikkerhetspolicy Sikkerhetsorganisering Håndtering av aktiva Personellsikkerhet Kommunikasjons- og driftsstyring Tilgangskontroll Tilleggskrav for tilgangskontroll til produksjonsmiljøet nskaffelse, utvikling og vedlikehold av informasjonssystemer eskyttelse mot angrep Sikkerhetstester Saksnummer 13/ / 44

5 ilag 1 Kundens kravspesifikasjon Sikkerhetslogger og sporbarhet ST-5 KOMPETSETEESTER ST-6 DOKUMETSO DRIFTSRPPORTERIG MIGRERIGSPROSEKTET Gjennomføring av migreringsprosjektet Dokumentasjonskrav i migreringsprosjektet Test i migreringsprosjektet OPSOER SMS-tjeneste OEP Service Metadata Publishing (SMP ELM) Meldingsformidler for sikker digital postboks VEDLEGG FIGURLISTE FIGUR 1 SMSPILL EID-LEVERDØREE, ID-PORTE OG RUKERE... 6 FIGUR 2 OVERLIKK OVER TEESTER... 8 FIGUR 3 GRUPPERIG I DRIFTSPLTTFORMER... 8 FIGUR 4 OVERSIKT DRIFTSTEESTER Saksnummer 13/ / 44

6 ilag 1 Kundens kravspesifikasjon 1. ILEDIG 1.1 akgrunn for anskaffelsen Direktoratet for forvaltning og IKT (Difi) skal bidra til å styrke regjeringens arbeid med å fornye offentlig sektor og gjøre den effektiv og enklere tilgjengelig. Difi skal også medvirke til at staten er organisert og ledet på en god måte, med nødvendig samordning på tvers av sektorer. Difi har overordnet ansvar for ID-porten, MinID og Digitalt kontaktregister. ID-porten er et nav/tillitsanker for tjenesteeiere i offentlig sektor som skal dekke autentisering, signering, meldingskryptering og andre fremtidige funksjoner som naturlig hører inn under dette systemet. ID-porten knytter tjenesteeiere og e-id leverandører sammen og er en felleskomponent i offentlig sektor. På nåværende tidspunkt har systemet funksjonalitet for autentisering og er integrert mot eid Leverandørene MinID, uypass, ommfides og ankid. Løsningen ble etablert i 2009, og håndterte i 2012 i underkant av 30 millioner innlogginger til offentlige nettjenester, med om lag 3 millioner brukere. ID-porten er en felleskomponent i offentlig sektor og benyttes av mer enn 270 offentlige virksomheter. Figur 1 Samspill eid-leverandørene, ID-porten og brukerne ID-porten skal også kunne dekke andre fremtidige funksjoner som naturlig hører til og som kan bli del av løsningen som for eksempel pinkodegenerering, meldingskryptering, felles signeringsløsning, autentiseringsløsning for ansatte, støtte for utenlandske brukere, nasjonalt ID-kort, oppslagstjeneste, overtagelse av autentiseringsløsningene fra ltinn og endring av bruksområder for sms-tjenestene På nærværende tidspunkt har har ID-porten funksjonalitet for autentisering og er integrert mot eid-leverandørene MinID, uypass, ommfides og ankid. ID-porten er per i dag ikke definert som samfunnskritisk infrastruktur, men dette kan endre seg i kontraktsperioden. Saksnummer 13/ / 44

7 ilag 1 Kundens kravspesifikasjon MinID er en e-id på nivå tre, som tilbyr autentisering basert på engangskoder på SMS eller pinkoder på brev. Les mer om ID-porten og MinID på: Digitalt kontaktregister er en autoritativ kilde for elektronisk kontaktinformasjon for enkeltpersoner med fødselsnummer i orge. Kontaktregisteret ble etablert i 2012 og er planlagt tatt i bruk av offentlige virksomheter fortløpende.kontaktregisteret forvaltes som en felleskomponent i offentlig sektor. Til digitalt kontaktregister hører et reservasjonsregister som også skal inngå i driftsavtalen. 1.2 Omfanget av anskaffelsen Denne anskaffelsen omfatter drift og vedlikehold av ID-porten, MinID og Digitalt kontaktregister. Kunden skal kjøpe bruk av dataressurser (maskinvare og programvare) som blir levert som en tjeneste over internett. Leverandøren vil bli betrodd med data og applikasjoner fra Kunden som illustrert i figur 2. pplikasjoner, og eventuelt data, blir overlevert til Leverandøren gjennom en releaseprosess. Dagens releaseprosess er beskrevet i punkt 3.1 bilag 3. I ordinær drift vil en releaseprosess bli initiert av Kunden med en endringsanmodning. Leverandøren er ansvarlig for å drifte data og applikasjoner når Leverandøren har akseptert en leveranse fra Kunden, jf krav I løpet av releaseprosessen vil Leverandøren ha anledning til å gjøre en egen driftstest av leveransen. Hvis en leveranse fra Kunden er blitt installert i et produksjonsmiljø (PT-1 og PT-2) regnes den som akseptert av Leverandøren. Leverandøren er ansvarlig for å konfigurere Kundens applikasjoner mot Leverandørens driftsplattform. Kunden skal bistå Leverandøren i dette arbeidet. Leverandøren er ansvarlig for å fremskaffe, installere, konfigurere, oppgradere og drifte alle dataressursene som er nødvendig for å kunne kjøre Kundens applikasjoner i henhold krav til tjenestenivå. Disse dataressursene er illustrert i figur 2 med lagene fra lokasjon til mellomvare. Saksnummer 13/ / 44

8 ilag 1 Kundens kravspesifikasjon Figur 2 Overblikk over tjenester For å understøtte drift og vedlikehold av ID-porten, MinID og Digital kontaktregister skal Leverandøren levere seks testmiljø i tillegg til de to produksjonsmiljøene. lle disse miljøene er gruppert ut fra felles egenskaper i fem driftsplattformer: PT-1 Driftsplattform for åpen informasjon PT-2 Driftsplattform for sensitiv informasjon PT-3 Driftsplattform for funksjonelle testing PT-4 Driftsplattform for ytelsestesting PT-5 Driftsplattform for drift og installasjonsstesting De kravene som bilag 1 stiller til en driftsplattform, vil følgelig gjelde for de miljøene som er gruppert inn i den aktuelle driftsplattformen. Figuren nedenfor viser hvordan de enkelte miljø er gruppert i driftsplattformer: Figur 3 Gruppering i driftsplattformer Saksnummer 13/ / 44

9 ilag 1 Kundens kravspesifikasjon Driftsplattformene og miljøene er nærmere beskrevet i bilag 3. Kundens applikasjoner er under aktiv videreutvikling. Som en følge av det vil behovet for servere og miljø variere og endres over tid. Det kan dukke opp behov for server og miljø for kortvarige isolerte oppgaver. Leverandøren er ansvarlig for å sette opp driftsløsningen i henhold til Kundens behov beskrevet i bilag 3 og Kundens krav beskrevet i bilag 1. Kunden aksepterer en løsning basert på virtualisering så lenge Leverandøren kan dokumentere at krav til løsningen er ivaretatt. Figuren nedenfor gir en oversikt over hva som inngår i driftstjenesten hvor enkelttjenester, støttetjenester og plattformtjenester er overordnede typer av tjenester. Enkelttjenestene (ET) er de tjenestene som er knyttet til etablering, drift og forvaltning av dataressurser. En enkelttjeneste kan inngå som en del av en eller flere plattformtjenester. Støttetjenester (ST) er de tjenestene som er knyttet til rutiner, funksjoner, roller og lignende hos Leverandøren. Plattformtjeneste (PT) er de samlede ytelser som Leverandøren leverer med en gitt driftsplattform. Dette omfatter både driftsplattformen og alle de tilhørende tjenester som Leverandøren yter, som beredskap, informasjonssikkerhet tjenestenivå. Saksnummer 13/ / 44

10 ilag 1 Kundens kravspesifikasjon Figur 4 Oversikt driftstjenester I tillegg til det som er nevnt over, omfatter anskaffelsen opsjoner på tjeneste for SMSutsending, Offentlig elektronisk postjournal (OEP), Service Metadata Publishing (SMP ELM) og meldingsformidler for sikker digital postboks. Kunden forbeholder seg retten til å konkurranseutsette hver av disse tjenestene dersom opsjonen ikke utløses. Saksnummer 13/ / 44

11 ilag 1 Kundens kravspesifikasjon 2. VEILEDIG TIL KRVTELLE I de følgende kapitler fremgår hvilke krav som Kunden setter til Leverandøren og den tjenesten som skal leveres. Leverandøren skal besvare kravene i sitt løsningsforslag i bilag 2. ene er strukturert etter tre typer tjenester; plattformtjenester, enkelttjenester og støttetjenester. For hvert krav er det angitt til hvilken kategori kravet tilhører, samt om kravet skal utdypes. ene er delt inn i følgende kategorier: : Dette er minstekrav som Leverandøren i utgangspunktet skal oppfylle. Dersom Leverandøren svarer nei på ett eller flere krav vil Kunden vurdere hvilken betydning ikke-oppfyllelsen har for driftsløsningen. kravene evalueres ikke i forhold til tildelingskriteriene. Ikke-oppfyllelse av ett eller flere -krav som sammen anses som vesentlig vil medføre avvisning. Ikke-oppfyllelse av -krav som ikke anses som vesentlig vil medføre et skjønnsmessig trekk i forbindelse med evalueringen av tilbudene vurdert opp mot tildelingskriteriene. : Dette er krav med høy viktighet for oppdragsgiver, beskrevet i kravsmatrisene som skal krav. Leverandørens grad av oppfyllelse av disse kravene vil inngå i evaluering av tilbudene. : Dette er krav med lav viktighet for oppdragsgiver, beskrevet i kravsmatrisene som bør krav. Leverandørens oppfyllelse av disse kravene vil inngå i evaluering av tilbudet. For hvert krav er det angitt om Leverandøren skal utdype sitt svar på kravet: (): Leverandørens løsningsforslag må beskrives i bilag 2. (ei): Leverandøren skal ikke beskrive sitt løsningsforslag Instruksjoner om Leverandørens besvarelse av kravene er beskrevet i bilag 2 vedlegg 1. Definisjoner av ord og uttrykk benyttet i avtalen er samlet i bilag 6 vedlegg 3. Saksnummer 13/ / 44

12 ilag 1 Kundens kravspesifikasjon 3. KRV TIL STYRIG, SMREID OG GEOMFØRIG Kunden ønsker å etablere et samarbeid med Leverandøren som på best mulig måte sikrer gjennomføring og samhandling i avtaleperioden. Det er viktig at dette samarbeidet har basis i Kundens mål og føringer slik de fremkommer i avtalen. r ll kommunikasjon med Kunden, både skriftlig og muntlig, skal skje på norsk og Leverandøren skal ha personell som behersker norsk som arbeidsspråk i sin kontakt med Kunden Minimum en gang per år skal det avholdes møte mellom representanter for partenes ledelse, jf. bilag 6 punkt Leverandøren skal forplikte seg til avtalte SL krav i bilag 5, følge opp servicenivå på leverte tjenester i forhold til disse og gi prisavslag dersom avtalt servicenivå ikke oppfylles Leverandøren skal tilpasse sin leveranseorganisasjon til Kundens forvaltningsorganisasjon for å sikre et effektivt samarbeid, jf. bilag Leverandøren skal ha samarbeidsavtaler med eventuelle underleverandører som skal benyttes for å levere driftstjenestene i denne avtalen Leverandøren skal ha et webbasert grensesnitt med oversikt og detaljer om Kundens saker og brukere, Leverandørens nøkkelpersoner med funksjoner og ansvarsområde, og som viser monitorering av hardware og software som Leverandøren har ansvaret for. 4. OVERORDEDE KRV TIL TEESTER 4.1 Generelle krav r Det er Leverandørens ansvar å drifte løsningen. Dette inkluderer data og applikasjoner levert fra Kunden når Leverandøren har akseptert leveranse av disse Driftsløsningen skal etableres i et land som har gjennomført EUdirektive 95/46/EF, eller land som er forhåndsgodkjent av Datatilsynet for overføring av personopplysninger Leverandøren skal levere en skriftlig risikovurdering av de enkelte plattformtjenestene samt en sammenligning av eventuelle ulike alternativers egenskaper når det gjelder konfidensialitet, tilgjengelighet og integritet. Saksnummer 13/ / 44

13 ilag 1 Kundens kravspesifikasjon Leverandøren skal levere et høyere tjenestenivå på spesifikke plattformtjenester dersom Kunden bestiller dette Leverandøren plikter å holde Kundens data systemmessig atskilt fra eventuelle tredjeparters data, herunder skal Kundens produksjonsplattformer holdes isolert fra andre kunder sine driftsløsninger hos Leverandøren, jf. SS-D punkt Leverandøren skal beskrive hvordan Kundens produksjonsplattformer holdes isolert fra andre kunder sine driftsløsninger hos Leverandøren Leverandøren skal til enhver tid ha gyldig support-avtale for all maskinvare som er benyttet i tilbydd løsning. 4.2 Overordnede tekniske krav r Leverandørens løsningsforslag skal bygge på den oversikten som er beskrevet i bilag 1 punkt 1.2, samt den oversikt over plattformer, miljøer og integrasjoner som er beskrevet i bilag 3 kapittel Leverandøren skal til enhver tid ha kontroll på innhold og versjoner av software i de ulike miljøene.(pt-1, PT-2, PT-3, PT-4 og PT-5). Leverandøren skal beskrive prosesser/rutiner og støtteverktøy for å sikre dette, jf. krav til driftsspesifikasjon, se bilag 6 punkt Driftsløsningen skal være fleksibel, slik at eksempelvis endringer og nye versjoner av Kundens applikasjoner kan håndteres raskt og med lav risiko Driftsløsningen skal muliggjøre rask og kostnadseffektiv skalering (både horisontalt og vertikalt) for å møte høyvolumsperioder og økt kapasitetsbehov over tid Dersom Leverandøren skal realisere virtualisering av servere og infrastruktur som understøtter Kundens behov, skal Leverandøren dokumentere hvordan integritet, konfidensialitet og tilgjengelighet er i varetatt Leverandøren skal beskrive hvilke deler av driftsløsningen som er dedikerte løsninger for Kunden, og hva som er felles med andre kunder Driftsløsningene for de ulike plattformene skal være adskilte på en slik måte at ustabilitet på en av disse plattformene ikke påvirker stabiliteten/tilgjengeligheten på de øvrige plattformene i løsningen. Saksnummer 13/ / 44

14 ilag 1 Kundens kravspesifikasjon 4.3 Kvalitetssikrings- og styringssystem r Leverandøren skal (senest 3. mai 2015) ha et kvalitetssikrings- og styringssystem etter internasjonal anerkjent standard. Kvalitetssikringsog styringssystemet skal dekke alle organisasjonsenheter som inngår i leveranseprosessen. Sertifisering etter ISO/IE eller tilsvarende vil være tilstrekkelig dokumentasjon for at kravet er oppfylt. Dersom Leverandøren ikke har et kvalitetssikrings- og styringssystem som beskrevet i avsnittet over innen 3. mai 2015, vil det påløpe sanksjoner som angitt i bilag 5 kapittel Hvis Leverandørens kvalitetssikrings- og styringssystem ikke er sertifisert, skal Leverandøren i bilag 2 utarbeide en beskrivelse av avvik mellom eget kvalitetssikrings- og styringssystemet og anerkjente kvalitetssikrings- og styringssystemet Oppdatert beskrivelse av kvalitetssikrings- og styringssystemet skal være tilgjengelig for Kunden i Leverandørens webgrensesnitt. Kunden skal få innsyn i de kvalitetsrevisjoner og tiltak som gjøres, jf. bilag 6 kapittel Det skal fremgå av styringssystemet for informasjonssikkerhet hvordan sikkerhets- og prosesskrav i lov og forskrift om behandling av personopplysninger tilfredsstilles. 4.4 Etterlevelse av regelverk r Leverandøren bør følge de til en hver tid gjeldende forvaltningsstandarder, og nye krav i slike standarder skal implementeres innen rimelig tid Leverandøren skal i leveransen av driftstjenesten etterleve esignaturloven, eforvaltningsforskriften og forskrift om IT-standarder i offentlig forvaltning Leverandøren skal i leveransen av driftstjenesten ivareta de krav til personvern som til enhver tid gjelder i norsk rett og som undertiden fremgår av personopplysningsloven med tilhørende forskrifter, særlig personopplysningsforskriften. 2 1 Se definisjonsordlisten for fullstendig referanse til lover og forskrifter. 2 Se definisjonsordlisten for fullstendig referanse til lover og forskrifter. Saksnummer 13/ / 44

15 ilag 1 Kundens kravspesifikasjon 4.5 Miljø r Leverandøren skal beskrive hvordan Kundens driftsløsning vil være miljøoptimalisert, herunder hvordan Leverandøren sikrer at driftsløsningen er energieffektiv, og hvordan Leverandøren tar miljøhensyn ved kjøp av nytt utstyr og avhending av brukt utstyr. Måten Leverandøren møter kravene til miljø, skal ikke forringe kravene beskrevet i bilag 5 og øvrige sikkerhetskrav Leverandøren skal beskrive hvilke miljøeffektive løsninger som vil bli implementert i Kundens driftsløsning, for eksempel resirkulering av restvarme fra servere, naturlig kjøling til serverrom, verktøy for logging og optimalisering av energibruken fra servere, rutiner for måling/benchmarking av PUE og DIE. 3 r. 5. PT-1 DRIFTSPLTTFORM FOR ÅPE IFORMSO Leverandøren skal levere en driftsplattform for åpen informasjon med tilhørende miljø som beskrevet i bilag 3 punkt Driftsløsning for åpen informasjon skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel Driftsløsningen skal tilfredsstille kravene til krise- og beredskapshåndtering, ved at miljøene og tjenesteleveransen skal kunne gjenopprettes innen de tidsfrister og med den kapasitet som fremkommer av bilag 5 punkt Se Saksnummer 13/ / 44

16 ilag 1 Kundens kravspesifikasjon r. 6. PT-2 DRIFTSPLTTFORM FOR SESITIV IFORMSO Leverandøren skal levere en driftsplattform for sensitiv informasjon med tilhørende miljø som beskrevet i bilag 3 punkt Driftsløsning for sensitiv informasjon skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel Driftsløsning skal være meget motstandsdyktig mot angrep på konfidensialitet, integritet eller tilgjengelighet fra personell hos Leverandøren og fra eksterne lle endringer fra personell hos Leverandøren skal logges slik at endringen entydig kan knyttes til bestemte fysiske personer Driftsløsningen skal ha tilsvarende eller bedre ytelse og responstider enn eksisterende driftsløsning. Resultater fra test av ytelse og responstid for dagens driftsplattform er dokumentert i bilag Loggene skal sikres slik at personell hos Leverandøren ikke alene skal kunne påvirke integriteten eller tilgjengeligheten til loggene. r. 7. PT-3 DRIFTSPLTTFORM FOR FUKSOELLE TESTIG Leverandøren skal levere en driftsplattform for funksjonell testing med tilhørende miljøer som beskrevet i bilag 3 punkt Driftsplattform for funksjonell testing av applikasjoner skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel PT-3 plattformen skal være konfigurert lik plattformen PT-1 og PT-2, men kan ha redusert kapasitet i forhold til produksjonsmiljøet lle personopplysninger i miljøet skal være anonymisert, jf. bilag 3. Saksnummer 13/ / 44

17 ilag 1 Kundens kravspesifikasjon r. 8. PT-4 DRIFTSPLTTFORM FOR YTELSESTESTIG Leverandøren skal levere en driftsplattform for ytelsestesting med tilhørende miljøer som beskrevet i bilag 3 punkt Driftsplattform for ytelsestesting av applikasjoner skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel PT-4 skal ha tilsvarende mekanismer for ytelse og kapasitet som produksjonsplattformene, slik at resultater fra ytelsestester utført i PT-4 er sammenlignbar med produksjonsplattformene PT-1 og PT lle personopplysninger i miljøet skal være anonymisert, jf. bilag 3. r. 9. PT-5 DRIFTSPLTTFORM FOR DRIFTS- OG ISTLLSOSTESTIG Leverandøren bør levere en driftsplattform for drifts- og installasjonstesting med tilhørende miljøer som setter Leverandøren i stand til å drifte driftsløsningen effektivt og med lav risiko lle personopplysninger i miljøet skal være anonymisert, jf. bilag EKELTTEESTER Dette kapittelet beskriver Kundens krav til enkelttjenester (ET) som brukes for å realisere de Sammensatte Plattformtjenestene (PT) ET-1 Housing, inkludert fysisk sikkerhet r Driftsløsningen skal være sikret mot ytre trusler og eventuelle avvik i forhold til ISO eller tilsvarende Prioriterte områder, lokaler og kritisk datautstyr skal være sikret med nødstrømsløsning. ødstrømsløsningen og reserveløsning for kjøling skal dekke normal drift av driftsløsningen i inntil 48 timer De sikrede områdene skal ha alarmanlegg for og være sikret mot brann, innbrudd og vanninntrenging. Saksnummer 13/ / 44

18 ilag 1 Kundens kravspesifikasjon De sikrede områdene skal være sikret med temperaturovervåkning og varsling av avvik til driftspersonell Driftsstedet skal være sikret i henhold til FG-klasse 2, eller høyere Driftsstedet bør være sikret i henhold til FG-klasse Sikrede områder (driftsstedet) og tilhørende lokaler for Driftsløsningen skal godkjennes av Kunden Driftsløsningen for PT-1 og PT-2 skal ha tilstrekkelig redundans og plasseres i minimum 2 fysisk atskilte driftslokasjoner, jf. bilag 3 kapittel Ytelse og svartider for komponenter i driftsløsningen skal ikke bli påvirket av driftsstedet de er plassert i En krisesituasjon som fysisk påvirker et driftssted skal ikke påvirke stabilitet på andre driftssted Hensiktsmessige adgangskontroller skal sikre at bare autorisert personell får adgang til sikrede områder De sikrede områdene skal ha et overvåkings- og alarmsystem ET-2 ettverkstjenester ettverksdrifttjenesten omfatter ytelser som er nødvendig for å holde nettverk stabilt tilgjengelig med akseptabel ytelse. r Driftsløsningen skal være sikret med redundante kommunikasjonsløsninger, slik at enkeltbrudd på kommunikasjonslinjer eller internettknutepunkter ikke hindrer tilgang til driftsløsningen Leverandøren skal etablere en internettforbindelse med tilsvarende eller bedre båndbredde enn dagens driftsløsning jf. bilag De deler av Driftsløsningen som er dedikert for Kunden, må plasseres i isolerte nettverkssoner hos Leverandøren atskilt fra Leverandørens øvrige kunder og Leverandørens administrative nettverk Leverandøren skal etablere deteksjon (IDS) av uautorisert trafikk i driftsløsningen og eventuelt delt nettverksinfrastruktur for å hindre uønsket trafikk og angrep Leverandøren skal rapportere uautorisert trafikk i driftsløsningen til Kunden. Saksnummer 13/ / 44

19 ilag 1 Kundens kravspesifikasjon Leverandøren skal etablere endringsregime vedrørende nettverksutstyr og regelmessig revidere regelsettet i lastdeler, IDS, brannvegger og rutere, inkludert prosedyre for å stenge inaktive åpninger. r ET-2-1 Lastbalansering Driftsløsningen skal ha en lastbalanseringsfunksjon som støtter opp under Kundens behov beskrevet i bilag Leverandøren skal etablere terminering av ende-til-ende kryptering i en sone tilpasset tjenestens beskyttelsesbehov. r ET-2-2 Lastbegrensing Driftsløsningen skal ha en funksjon for lastbegrensing som beskrevet i bilag Lastbegrensningen skal inneholde funksjonalitet for å nedprioritere trafikk fra utvalgte tjenesteeiere, slik som det er beskrevet i bilag 3. r ET-2-3 Sikring mot DDOS Driftsløsningen skal ha verktøy for å detektere, spore og kaste datatrafikk i tjenestenektangrep og distribuerte tjenestenektangrep. Saksnummer 13/ / 44

20 ilag 1 Kundens kravspesifikasjon ET-2-4 VP Kunden vil kunne trenge VP-tjenester både på fast basis i forbindelse med integrasjoner mot 3-part og eventuelt i begrensede perioder i forbindelse med spesielle situasjoner. r Leverandøren skal levere VP tjenester i samsvar med Kundens behov som beskrevet i bilag 3 punkt Leverandøren skal sikre nettverkskommunikasjon mot tredjepart med VP Leverandøren skal overvåke linjer for å sikre høy tilgjengelighet for VP linjen Leverandøren skal ha rutiner for reetablering av VP ved feil Leverandøren skal etablere sikker VP ved bruk av fysiske VPbokser Leverandøren bør levere VP basert på MPLS Leverandøren skal levere en dedikert FTP-tjeneste for Kunden til bruk for overføring av PI-kodebrev fra SITS, jf. bilag 3 kapittel 2. r ET-2-5 Filoverføringstjenester Leverandøren skal levere filoverføringstjenester for overføring av filer fra/til tredjepart etter Kundens behov Leverandøren skal overvåke overføringstjenesten for å sikre at avtalte filer blir overført og behandlet etter Kundens behov. r ET-2-6 DS Leverandøren skal gjøre tilgjengelig DS tjenester som understøtter Kundens behov beskrevet i bilag 3. Saksnummer 13/ / 44

21 ilag 1 Kundens kravspesifikasjon ET-2-7 rannmur Det er viktig for Kunden at brannmurtjenestene forvaltes etter etablerte rutiner, både for å kunne realisere endringer effektivt, men ikke minst for å kunne dokumentere oppsettet av disse. r Leverandøren skal levere brannmurtjenester som understøtter Kundens behov beskrevet i bilag ET-3 Lagringstjenester r Leverandøren skal etablere lagringsløsninger for lagring av data som dekker behov beskrevet i bilag Leverandøren skal ha dokumentert rutiner for å sikre oppbevaring av og å hindre uautorisert tilgang til dokumentasjon av løsningen (inkludert papirbasert informasjon) og data/informasjon lagret i løsningen Leverandøren skal etablere en løsning og rutiner for langtidsoppbevaring av informasjon i minst 10 år. Det skal tas hensyn til at lagringsmedia har begrenset holdbarhet og at formater har begrenset levetid og data må overføres til nytt media og format ved behov. Dagens diskbruk er beskrevet i bilag 3, punkt Leverandøren skal, etter avtale med Kunden, slette data/informasjon når oppbevaringstid er overskredet. r ET-3-1 Database Leverandøren skal levere databasetjenester som understøtter Kundens behov beskrevet i bilag 3. Saksnummer 13/ / 44

22 ilag 1 Kundens kravspesifikasjon ET-3-2 Filtjeneste Kundens applikasjoner har behov for å kunne lagre filer, jf. bilag 3. Dette er en svært sentral funksjonalitet for driftsløsningen. r Leverandøren skal levere filtjenester som understøtter Kundens behov beskrevet i bilag ET-3-3 Filtjenester med integritetskontroll uditloggene fra Kundens applikasjoner har et spesielt behov for å sikres i forhold til integritet. Det er ønskelig at Leverandøren leverer en fleksibel tjeneste for integritetssikring av filer slik at dette kan benyttes i deler av Driftsløsningen. Tjenesten må knyttes sammen med overvåkingstjenesten slik at eventuelle brudd på integriteten raskt blir avdekket. r Leverandøren skal levere en filtjeneste som sikrer filer fra endring Tjenesten for å sikre filintegritet bør ha sporing av hvilke prosesser og brukere som har hatt tilgang til og lest filer som er lagt under integritetskontroll Tjenesten bør knyttes sammen med overvåkingstjenesten slik at eventuelle brudd på integriteten raskt blir avdekket. r ET-3-4 ackup ackupløsning skal ivareta at det ikke aksepteres tap av data i driftsløsningen ackup skal ikke lagres lenger enn 30 dager Leverandøren skal varsle Kunden dersom sikkerhetskopiering ikke har gått som avtalt eller ikke er ferdig innenfor avtalt tidsfrist Leverandøren skal jevnlig verifisere innhold i sikkerhetskopier og teste gjenoppretting av data for å verifisere kvaliteten på sikkerhetskopiene Sikkerhetskopiert informasjon skal gis nødvendig fysisk og miljømessig beskyttelse Leverandøren skal dokumentere rutiner for oppdatering av backupscript Saksnummer 13/ / 44

23 ilag 1 Kundens kravspesifikasjon for å sikre at sikkerhetskopiering ivaretar endringer som gjøres i løsningen. r ET-3-5 Hardware Security Module (HSM) Utstyr brukt for sikker lagring av nøkler skal tilfredsstille FIPS Level 3 eller ommon riteria EL HSM løsningene for produksjonsplattformene skal være redundant Leverandøren skal levere HSM støtte til alle plattformtjenestene for å kunne understøtte test og utvikling Rutine for konfigurasjonsstyring og vedlikehold av HSM skal være etablert HSM skal ikke være delt med andre kunder ET-4 Servertjenester r Leverandøren skal ha metoder, verktøy og sjekklister for herding av servere og for å sikre serverne mot uautorisert tilgang. Sjekklistene skal dokumenteres. Herding vil bli testet i kvalitets- og sikkerhetsrevisjoner ET-5 Operativsystemtjenester r Leverandøren skal levere stabil serverdrift med et egnet operativsystem som understøtter Kundens behov jf. bilag Leverandøren skal tilpasse og konfigurere operativsystem som understøtter Kundens behov. Saksnummer 13/ / 44

24 ilag 1 Kundens kravspesifikasjon 10.6 ET-6 Mellomvaretjenester r Leverandøren skal levere drift av mellomvaretjenester som understøtter Kundens behov beskrevet i bilag 3 punkt Leverandøren skal tilpasse og konfigurere mellomvaretjenester som understøtter Kundens behov jf bilag 3 punkt ET-7 E-posttjeneste r E-posttjenesten skal være integrert mot Kundens applikasjoner, jf. bilag 3 punkt E-posttjenesten bør kommunisere over SMTP ET-8 pplikasjonsdrift r Leverandøren skal levere stabil drift av applikasjonene som understøtter Kundens behov beskrevet i bilag Kundens applikasjoner skal være tilgjengelig i henhold til responstider definert i SL krav i bilag 5 punkt Leverandøren skal overvåke tidsstyrte jobber tilknyttet applikasjonen ET-9 Sertifikattjenester Kunden har flere sertifikater installert i Kundens applikasjoner eller som del av infrastrukturen, jf. bilag 3 punkt 4.9. Det er behov for aktiv forvaltning i forbindelse med at disse med jevne mellomrom må fornyes. Virksomhetssertifikatene brukt i løsningen kjøpes inn av Kunden, men forvaltes av Leverandøren. r Leverandøren skal forvalte alle sertifikater i løsningen, følge opp og varsle Kunden i god tid før de skal fornyes jf. bilag Leverandøren skal levere alle SSL sertifikater nødvendig for Saksnummer 13/ / 44

25 ilag 1 Kundens kravspesifikasjon driftsløsningen jf. bilag ST-1 OVERVÅKIGSTEESTER 11.1 asis overvåking og logging av driftsløsningen r Leverandøren har ansvaret for overvåking av tjenestene og skal rapportere til Kunden om avvik, jf. bilag 6 kapittel 3) Leverandøren skal overvåke tjenestene for å sikre at eventuell nedetid, redusert tilgjengelighet, ustabilitet, lange responstider og sikkerhetsbrudd blir oppdaget Leverandøren skal overvåke for å sikre at tilgjengelighets- og responstidsmål er innenfor avtalt nivå, jf. bilag 5 punkt Leverandøren skal gjennomføre måling av SL på SMS-løsningen som beskrevet i bilag 5 kapittel 2, også dersom løsningen leveres av tredjepart Leverandøren skal ha rutiner for å identifisere og registrere alle avvik som blir identifisert i overvåkningen og varsle Kunden om dette jf. bilag 6 punkt 3.1 og 3.2. Leverandøren skal ha rutiner for å følge opp hendelsen til den er lukket Leverandøren skal sikre en forsvarlig og systematisk overvåkning av hele leveranseprosessen av tjenestene Leverandøren skal gjennomføre logging av drifts- og sikkerhetsmessige forhold som beskrevet i bilag 6 punkt Leverandøren skal ha en funksjon med ansvar for analyse av logger og ha kunnskap om sporing av unormale hendelser Leverandøren skal ha etablerte metoder og verktøy for overvåking av sikkerhetshendelser Leverandøren bør gjøre tilgjengelig alle data fra overvåkingen til kunden i et egnet format Leverandøren bør gjøre tilgjengelig verktøy for logganalyse. Saksnummer 13/ / 44

26 ilag 1 Kundens kravspesifikasjon 11.2 Overvåking av Kundens applikasjoner Kundens applikasjoner har egne grensesnitt som kan integreres i Leverandørens overvåkingsrutiner igjennom standardisert prosedyre, som for eksempel ved å bruke ixkommandoer for overvåking av spesielle prosess og jmx for overvåking av detaljer i javaprosesser. r Leverandøren skal ha ansvar for overvåking av Kundens applikasjoner og skal etablere en overvåking av applikasjonslogger og prosesser, dataoverføringer og sikkerhetshendelser i løsningen Leverandøren bør gjøre tilgjengelig alle data fra overvåkingen til Kunden i et egnet format. 12. ST-2 SERVIELEDELSE OG SERVIELEDER Områdene og kravene i dette kapitelet må ses i sammenheng med løsninger og tiltak (rutiner og prosesser) i bilag 5 og til bilag Leveranseprosesser Dette punktet dekker krav til prosesser Leverandøren må ha for å dokumentere, styre og følge opp utvikling, vedlikehold og produksjon av tjenestene. Kunden vil ha en forvaltningsorganisasjon for driftsløsningen. Kunden forvalter flere avtaleverk, blant annet med tjenesteeiere og med Leverandørene av elektronisk ID til IDporten. Forvaltningsorganisasjonen hos Kunden skal sikre samordning og oppfyllelse av forpliktelsene i avtalene. Kunden har en serviceleder som er ansvarlig for oppfølging av tjenestene og andre leveranser. Kunden har etablert ITIL-prosesser. Har Leverandøren tilsvarende prosesser, vil dette forenkle samhandlingen med tanke på forvalting av tjenestene i et livssyklusperspektiv. r Leverandøren skal ha etablerte og fungerende prosesser basert på anerkjente prinsipper og metoder. Det skal være etablert en servicedesk og prosesser for hendelseshåndtering, problemhåndtering, endringshåndtering, kapasitetsstyring, konfigurasjonsstyring og produksjonssetting Leverandøren bør ha sertifiserte metodeverk (for eksempel ITIL rammeverket) innen drift og vedlikehold. Saksnummer 13/ / 44

27 ilag 1 Kundens kravspesifikasjon 12.2 Serviceledelse Drift av tjenestene skal fortrinnsvis utføres i henhold til prinsippene i ITIL rammeverk eller tilsvarende for serviceledelse. Det forventes at Leverandøren har etablert en rolle som serviceleder (eller tilsvarende) som er kontaktpunktet ovenfor Kunden vedrørende drift og forvaltning av tjenestene som denne avtalen regulerer. Leverandørens serviceleder har ansvar for planlegging, styring, kontroll og rapportering av tjenestene. serviceleder skal videre sørge for at Kunden har full informasjon om leveransen, for eksempel hva som blir levert, med hvilken kvalitet og til hvilken tid. r Leverandøren skal ha etablert de roller og funksjoner som er beskrevet i bilag 6 punkt Leverandøren skal sørge for at Kunden har full informasjon om avtalte leveransene og kvaliteten på disse Leverandørens serviceleder har ansvar for å avholde forvaltningsmøter hver måned, jf. bilag 6 punkt Ved bruk av underleverandører skal Leverandørens serviceleder ha samme ansvar for operativ styring og oppfølging av leveransen som om Leverandøren utførte alle oppgaver selv Servicedesk Kunden har etablert og er operativ med en 1. linje brukerstøttefunksjon ovenfor sluttbrukere og tjenesteeiere (brukerstøtte). Kundens prosess for forespørsel (ITIL Service request ) benyttes som basis for Kundens brukerstøtte. v hensyn til Leverandørens planlegging kan Leverandøren legge til grunn at antall henvendelser som videresendes til Leverandøren estimert vil være ca henvendelser per uke, men Leverandøren skal innenfor rammen av avtalen håndtere enhver henvendelse som videresendes fra Kunden. r Leverandøren skal ha en servicedesk med ett kontaktpunkt for håndtering av alle henvendelser fra Kunden Leverandøren skal beskrive hvordan Kundens henvendelser håndteres i servicedesken (brukerstøttefunksjon, 2. og 3. linje) Leverandøren skal dokumentere kontaktpunkter og prosedyrer i bilag Leverandøren skal bemanne servicedesk på en slik måte at personell med riktig kompetanse er tilgjengelig for Kunden, jf. bilag 5 punkt Saksnummer 13/ / 44

28 ilag 1 Kundens kravspesifikasjon Leverandøren skal oppfylle SL-krav til mottak av henvendelser, responstid, reaksjonstid, tilbakemeldingstid og løsningstid for hendelser, jf. bilag Leverandøren skal ha etablert en vakttelefon der Kunden eller dennes representant kan initiere aksjoner som etter avtalen skal kunne iverksettes også utenfor arbeidstiden (håndtering av kritiske og alvorlige feil og ved viktige tekniske avklaringer). Vakttelefonene skal være bemannet døgnkontinuerlig av kvalifisert personell med ansvar for å følge opp henvendelsen Hendelseshåndtering Hendelser skal kategoriseres som beskrevet i bilag 5 punkt 6.2. ehandling og rapportering av hendelser skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til hendelsen, hindre gjentagelse og sikre spor for eventuell strafferettslig forfølgelse. For håndtering av hendelser skal Leverandøren benytte etablerte prosesser for hendelsesog problemhåndtering (incident & problem management). til dette fremgår av 12.4 og r Leverandøren skal ha en dokumentert prosess for hendelseshåndtering med klar beskrivelse av hvordan interaksjonen med kunden skal foregå. Dette skal beskrives i bilag 6 punkt Leverandøren skal ha systemstøtte for registrering, håndtering (behandling) og rapportering av hendelser lle hendelser skal registreres og saksflyt skal være etterprøvbar Hendelsene skal registreres og kategoriseres i henhold til definerte og avtalte kategorier. Kategorisering av hendelser ved de tjenester som leveres gjennom denne avtalen skal følge kategoriene i bilag 5 punkt lle hendelser som kan ha betydning for tjenestene, Kunden, tjenesteeiere eller sluttbrukere skal rapporteres til Kunden og dokumenteres i en hendelsesrapport, jf. bilag 6 punkt Kunden skal kunne gis innsyn i hendelsesloggen Leverandøren skal umiddelbart varsle Kunden om kritiske eller alvorlige hendelser som kan eller vil medføre konsekvenser for de tjenester eller det tjenestenivå som denne avtalen regulerer som nærmere beskrevet i bilag 5 punkt 5.2. Saksnummer 13/ / 44

29 ilag 1 Kundens kravspesifikasjon Kunden har rett til å iverksette egne undersøkelser for oppfølging av hendelser hos Leverandøren Leverandøren skal ha dokumentert hvilke operative tiltak som iverksettes for å motvirke gjentagelse av hendelser Leverandøren skal oppfylle SL-krav til hendelseshåndtering i bilag 5 punkt Problemhåndtering r Leverandøren skal ha etablert en fungerende prosess for problemhåndtering, hvor saksgangen er sporbar og hvor det klart framgår hvordan interaksjonen med kunden skal foregå. Dette skal beskrives i bilag 6 punkt Leverandøren skal ha verktøystøtte for problemhåndtering Leverandørens rapportering til Kunden skal være dokumentert i bilag 6 punkt Kategorisering av problemer ved de tjenester som leveres gjennom denne avtalen skal følge kategoriene i bilag 5 punkt Leverandøren skal oppfylle SL-krav til problemhåndtering i ilag 5, punkt Leverandøren skal beskrive prosess for problemløsning i bilag Endringshåndtering Leverandørens endringshåndtering skal følge reglene i SS-D kapittel 2 og skal sikre effektiv registrering og behandling av endringer i tjenestene. lle endringer relatert til tjenestene skal gjennomføres ved hjelp av malverk i bilag 6 vedlegg 4 og 5. Endringer skal loggføres i en endringslogg. Leverandøren er ansvarlig for å dokumentere prosessen for endringshåndtering. Kunden vil benytte eget saksflytverktøy for oppfølging og kontroll med endringsprosessen for ulike type endringer. Saksnummer 13/ / 44

30 ilag 1 Kundens kravspesifikasjon r Leverandøren skal ha en prosess for endringshåndtering, jf. SS-D kapittel 2, som er tilpasset Kundens krav til endringshåndtering i bilag 6 punkt 6.5. Dette skal beskrives i bilag 6 punkt Prosess for endringshåndtering skal også dekke produksjonssetting av patcher, oppdateringer og nye versjoner av maskin- og programvare Leverandørens prosesser for endringshåndtering av komponenter som Leverandøren har levert og er installert hos Kunden, skal beskrives særskilt Leverandøren skal ha rutiner som sikrer verifisering av sikkerhetsnivå og andre forhold før endringer i tjenesten settes i produksjon. et utgår da det er dekket av krav og Formatert: Gjennomstreking Leverandøren skal ha rutiner som beskriver framgangsmåter for testing av ulike endringer i tjenestene Leverandøren skal ha etablerte rutiner for overføring av ferdigtestet og godkjent løsning til produksjonsmiljøet. I dette inngår også kvalitetssikring Prosedyre og informasjonskrav ved rapportering eller varsling til Kunden skal fremgå av bilag 6 punkt Leverandøren skal oppfylle SL-krav til endringshåndtering i bilag 5 punkt Detaljert prosess for håndtering av tilleggsbestillinger (endringsordre/endringsanmodning) er beskrevet i bilag 6 punkt 6.6. r Leverandøren skal ha en prosess for håndtering av tilleggsbestillinger (endringsanmodninger), jf SS-D kapittel 3, som er tilpasset Kundens krav til håndtering av endringsanmodning i bilag 6 punkt 6.6, samt mal i bilag 6 vedlegg 4 og 5. Dette skal beskrives i bilag 6 punkt Produksjonssetting r Leverandøren skal ha etablerte releaseprosedyrer for nye tjenester eller nye endringer i tjenestene som skal settes i produksjon. Saksnummer 13/ / 44

31 ilag 1 Kundens kravspesifikasjon Leverandøren skal utarbeide og løpende oppdatere en driftsplan, jf. bilag 6 punkt Konfigurasjonsstyring Leverandøren har ansvaret for egen konfigurasjonsstyring av alle elementer og all infrastruktur som realiserer tjenestene. Konfigurasjonsstyring skal sikre at Leverandøren til enhver tid har oversikt og kontroll av gjeldende konfigurasjon av infrastruktur og alle komponenter som inngår i tjenestene. r Leverandøren skal ha prosesser, verktøy og eventuelt en database for å holde oversikt over fysisk plassering, status og endringer for alle komponenter som maskinvare og programvare, som inngår i driftsløsningen Leverandøren skal sikre at konfigurasjonsbeskrivelsene er detaljerte nok til å gi grunnlag for en fullstendig reetablering av systemet i en katastrofesituasjon Leverandøren skal dokumentere omfang og metode for utveksling av informasjon om konfigurasjonsendringer til Kunden Kapasitetsstyring Ved avtaleinngåelsen vil Kundens årsplan for ID-porten 2014/2015 vedlegges bilag 6. r Leverandøren skal ha en prosess for kapasitetsstyring for avtalte tjenester Leverandøren skal i all planlegging, realisering og forvaltning av tjenestene ta hensyn til høyvolumperioder og kritiske perioder Dersom en patching ikke kan eller ikke skal gjennomføres i et vedlikeholdsvindu, skal Leverandøren ha nok kapasitet til å midlertidig erstatte de aktuelle servere/tjenester, slik at det ikke er nedetid eller redusert nivå på tjenesten under patching Leverandøren skal utarbeide og vedlikeholde en kapasitetsplan som beskrevet i bilag 6 punkt 8.2. Saksnummer 13/ / 44

32 ilag 1 Kundens kravspesifikasjon Kontinuitet og beredskap Leverandøren bør gjennomføre en årlig fullskala kontinuitets- og beredskapsøvelse. Slike øvelser skal sikre at planverket er oppdatert og at nødvendige prosesser og prosedyrer fungerer etter hensikten. Kunden skal også gjennomføre kontinuitets- og beredskapsøvelse, og det forventes at Leverandøren bistår etter nærmere avtale. r Leverandøren skal ha etablert, dokumentert og vedlikeholdt kontinuitetsog beredskapsplan som dekker krisesituasjoner, håndtering av sikkerhetsbrudd, backup- og reservedriftsløsninger for tjenestene Leverandøren skal garantere at kontinuitets- og beredskapsplan holdes oppdatert gjennom regelmessig testing og øvelse Kunden skal etter nærmere avtale kunne delta på Leverandørens kontinuitets- eller beredskapsøvelse Leverandøren skal etter nærmere avtale delta på Kundens kontinuitetseller beredskapsøvelse Leverandøren skal etter nærmere avtale bistå med gjennomføring av prosessforbedring i Kundens planverk på området Leverandøren skal holde kontinuitets- og beredskapsplan løpende oppdatert gjennom regelmessig test og øvelse. et utgår pga duplikat med krav Leverandøren skal ved behov kunne delta i skrivebordsøvelser for å verifisere at nødvendige prosesser og prosedyrer fungerer i en krisesituasjon Leverandøren skal tilrettelegge for nødvendig beredskap for sine tjenester i høyvolumsperioder og kritiske perioder, jf. Kundens årsplan bilag 3 vedlegg Driftsrutiner r Leverandørens driftsrutiner skal følge anerkjente prinsipper, være dokumenterte, kvalitetssikret og godkjent internt hos Leverandøren. Saksnummer 13/ / 44

33 ilag 1 Kundens kravspesifikasjon Innsyn og revisjon til innsyn og revisjoner fremgår av SS-D punkt edenfor gis tilleggskrav og presiseringer. Kunden vil legge vekt på og benytte dette ved planlegging av egne revisjoner. r Leverandøren skal gi Kunden informasjon om alle planlagte revisjoner Kunden skal få innsyn i all informasjon fra relevante rapporter og resultater fra utførte revisjoner, inspeksjoner eller sertifiseringer utført av Leverandøren selv, av tilsynsmyndigheter eller av tredjepart. Innsynet kan begrenses til personer hos Kunden som Leverandøren på forhånd har godkjent (autorisert) Leverandøren skal dokumentere overfor Kunden resultater og konklusjoner fra revisjoner, tilsyn eller sertifiseringer, som vedkommer tjenestene. Eventuell avvikshåndtering inngår i oversikten. Dette skal skje fortløpende etter at slike er gjennomført Rapportering og varsling ilag 6 kapittel 3 beskriver den praktiske gjennomføringen av periodisk rapportering og behovet for varsling. I bilag 6 punkt beskrives de områder hvor det skal være periodisk rapportering. ilag 5 punkt 5.2 regulerer bestemte situasjoner hvor Kunden skal varsles. ilag 6 punkt 3.2 regulerer krav til driftsvarsling. r Leverandøren skal tilrettelegge sine systemer, slik at effektiv og relevant rapportering og varsling kan gjennomføres Ved konstaterte sikkerhetsbrudd eller andre påviste svakheter som har negativ påvirkning på tjenestene, Kunden, tjenesteeiere eller sluttbruker, skal Leverandøren umiddelbart varsle Kunden. For slik varsling gjelder egen prosedyre, jf bilag 5 punkt 5.2 og bilag 6 punkt Driftsløsningen skal tilrettelegge for at applikasjonen sitt administrative grensesnitt er tilgjengelig for Kunden. Saksnummer 13/ / 44

34 ilag 1 Kundens kravspesifikasjon 13. ST-3 TEST TEESTER 13.1 Testledelse Ved større tekniske endringer av plattformen ønsker Kunden at Leverandøren skal kunne levere testledelse som en tjeneste. r Leverandøren bør tilby bistand til planlegging, ledelse og dokumentasjon av tester i tjenestekatalogen, bilag 7 vedlegg Ytelsestest r Leverandøren skal gjennomføre og analysere ytelsestester etter behov fra Kunden. r. 14. ST-4 IFORMSOSSIKKERHETSTEESTER Leverandøren skal ha et styringssystem for informasjonssikkerhet etter internasjonal anerkjent standard for informasjonssikkerhet. Styringssystemet skal dekke alle organisasjonsenheter som inngår i leveranseprosessen. Sertifisering etter ISO/IE eller tilsvarende vil være tilstrekkelig dokumentasjon for at kravet er oppfylt Hvis Leverandørens styringssystem for informasjonssikkerhet ikke er sertifisert, skal Leverandøren i bilag 2 utarbeide en beskrivelse av avvik mellom eget styringssystem og anerkjente styringssystem for informasjonssikkerhet. Saksnummer 13/ / 44

KRAV TIL STYRING, SAMARBEID OG GJENNOMFØRING

KRAV TIL STYRING, SAMARBEID OG GJENNOMFØRING nr. 3.1.1.1 3.1.1.2 3.1.1.3 3.1.1.4 3.1.1.5 3.1.1.6 KRAV TIL STYRING, SAMARBEID OG GJENNOMFØRING All kommunikasjon med Kunden, både skriftlig og muntlig, skal skje på norsk og Leverandøren skal ha personell

Detaljer

Bilag 6 Vedlegg 3 Definisjoner

Bilag 6 Vedlegg 3 Definisjoner Bilag 6 Vedlegg 3 Definisjoner Saksnummer 13/00203 1 / 7 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 0.1 16.05.2013 Difi Dokument distribuert til tilbydere 02. 01.11.2013 Difi Ny definisjon

Detaljer

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Bilag 7 Vedlegg 2 - Tjenestekatalog med standardpriser

Bilag 7 Vedlegg 2 - Tjenestekatalog med standardpriser Bilag 7 Vedlegg 2 - Tjenestekatalog med standardpriser Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi Endret til ny

Detaljer

Bilag 7 Samlet pris og prisbestemmelser

Bilag 7 Samlet pris og prisbestemmelser Bilag 7 Samlet pris og prisbestemmelser 1 / 12 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi Endret

Detaljer

Foretakets navn : Dato: Underskrift :

Foretakets navn : Dato: Underskrift : Evalueringsskjema IT-virksomhet for filialforetak Foretakets navn : Dato: Underskrift : Versjon 1.0 24.11.2008 Side 1 av 16 Rangering av prosess Planlegging og organisering (POx): PO1 Definere en IT-strategi

Detaljer

Bilag 4 Prosjekt- og fremdriftsplan for migrering til ny plattform

Bilag 4 Prosjekt- og fremdriftsplan for migrering til ny plattform Bilag 4 Prosjekt- og fremdriftsplan for migrering til ny plattform Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi Dokument

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Konkurransegrunnlag Anskaffelse av driftstjenester for ID-Porten/MinID og Digitalt kontaktregister. Saksnr 13/00203

Konkurransegrunnlag Anskaffelse av driftstjenester for ID-Porten/MinID og Digitalt kontaktregister. Saksnr 13/00203 Anskaffelse av driftstjenester for ID-Porten/MinID og Digitalt kontaktregister Saksnr 13/00203 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 15.05.2013 Difi Distribuert til tilbydere 2.0

Detaljer

Referansearkitektur sikkerhet

Referansearkitektur sikkerhet NAV IKT Styring/Arkitektur Referansearkitektur sikkerhet Senior sikkerhetsarkitekt Robert Knudsen Webinar Den Norske Dataforening 22. Mai 2013 Agenda Har vi felles forståelse og oversikt på sikkerhetsområdet?

Detaljer

Bilag 5 - Tjenestenivå med standardiserte prisavslag

Bilag 5 - Tjenestenivå med standardiserte prisavslag Bilag 5 - Tjenestenivå med standardiserte prisavslag 1 / 29 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Bilag 8 Endringer i den generelle avtaleteksten

Bilag 8 Endringer i den generelle avtaleteksten Bilag 8 Endringer i den generelle avtaleteksten 1 / 16 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema for foretakets IT-virksomhet forenklet versjon basert på 12 COBIT prosesser Dato: 10.07.2012 Versjon 2.6 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no

Detaljer

Bilag 6 Vedlegg 6 Kundens organisering og prosesser

Bilag 6 Vedlegg 6 Kundens organisering og prosesser Bilag 6 Vedlegg 6 Kundens organisering og prosesser 1 / 6 Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013

Detaljer

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen ISO 27001 Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen Informasjonssikkerhet Visjon «Organisasjonen anerkjennes som ledende aktør innen informasjonssikkerhet» Oppdrag «Å designe, implementere,

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen Prosess for behandling av informasjonssikkerhetsmessige Side 1 av 6 Versjon 1.0 Prosess for behandling av informasjonssikkerhetsmessige Endringslogg: Versjon Dato Kapittel Beskrivelse av endring Utført

Detaljer

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett ID-Porten bruk av elektronisk ID i offentlige tjenester på nett NorStellas eid-gruppe Oslo, 22. juni 2010 Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av elektronisk

Detaljer

Status for arbeidet med ID-Porten, eid i markedet

Status for arbeidet med ID-Porten, eid i markedet Status for arbeidet med ID-Porten, eid i markedet Felles infrastruktur for eid i offentlig sektor Tor Alvik og Jon Ølnes, eid-programmet, Difi Difis mandat Etablere en felles infrastruktur for bruk av

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

BILAG 1 DATABEHANDLERAVTALE

BILAG 1 DATABEHANDLERAVTALE BILAG 1 DATABEHANDLERAVTALE Inngått iht.personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kap. 2 mellom UNINETT AS ("Databehandler") og Virksomheten ("den Behandlingsansvarlige") heretter

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt Standardiseringsrådsmøte 23.-24. november 2011 Prioriterings/informasjons -sak Om forprosjektet sett på de mest aktuelle anvendelsesområdene

Detaljer

SSA-V Bilag 1. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon

SSA-V Bilag 1. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon SS-V Bilag Vedlikeholdsavtalen (SS-V) Bilag : Kundens kravspesifikasjon SS-V Bilag Dokumenthistorikk Versjon Dato Beskrivelse av endring Forfatter(e) 0.8 08.2 20 Dokumentet som ble sendt ut på innspillsrunden

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Difis felleskomponenter. Nokios 27.10.2015

Difis felleskomponenter. Nokios 27.10.2015 Difis felleskomponenter Nokios 27.10.2015 Difis felleskomponenter ID-porten Digital postkasse til innbyggere Kontakt- og reservasjonsregisteret ID-porten 448 virksomheter 718 tjenester 52 522 900 transaksjoner

Detaljer

Veikart for nasjonale felleskomponenter

Veikart for nasjonale felleskomponenter Sesjon 3A Veikart for nasjonale felleskomponenter Nokios 2014 30.10.14 vidar.holmane@difi.no Introduksjonen Felleskomponenter som tema 2006 2007 2008 2009 2010 2011 Hva det handler om Noen digitale tjenester

Detaljer

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014

2010 One Voice AS. CIM-seminar for kommunale beredskapsmedarbeidarar 2014 CIM-seminar for kommunale beredskapsmedarbeidarar 2014 One Voice AS 27 ansatte 100% norskeid selskap etablert i 2006 Ansatte er sikkerhetsklarert på nivå hemmelig Eget beredskapsplanverk og beredskapsorganisasjon

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane.

1-2. Virkeområde Forskriften gjelder for jernbanevirksomheter på det nasjonale jernbanenettet og for jernbanevirksomheter som driver tunnelbane. Forskrift om sikring på jernbane Kapittel 1. Innledende bestemmelser 1-1. Formål Formålet med denne forskriften er at jernbanevirksomheten skal arbeide systematisk og proaktivt for å unngå tilsiktede uønskede

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Public 360 Online Datasikkerhet

Public 360 Online Datasikkerhet Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet Bakgrunn Utredningen av standarder for informasjonssikkerhet har kommet i gang med utgangspunkt i forprosjektet

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Delavtale mellom Sørlandets sykehus HF og Lund kommune

Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale mellom Sørlandets sykehus HF og Lund kommune Delavtale nr. 9 Samarbeid om IKT-løsninger lokalt Enighet om hvilke plikter og ansvar som partene er ansvarlig for, knyttet til innføring og forvaltning

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Endepunktsikkerhet Dato: 24.11.2008 Versjon 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets sluttpunktsikkerhet Antivirus

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING

RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING RETNINGSLINJE FOR SAMARBEID MELLOM..KOMMUNE OG ST. OLAVS HOSPITAL OM IKT- LØSNINGER OG ELEKTRONISK SAMHANDLING Hjemlet i lov om kommunale helse- og omsorgstjenester av 14.6.2011 3-5 tredje ledd, 6-2 siste

Detaljer

Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS

Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS Retningslinjer for pasientrelatert elektronisk meldingsutveksling mellom Oslo kommune og sektorsykehusene Ahus, Diakonhjemmet, Lovisenberg og OUS Retningslinjene er hjemlet i Samarbeidsavtale mellom Oslo

Detaljer

Mobilbank kontrollspørsmål apper

Mobilbank kontrollspørsmål apper Egenevalueringsskjema Mobilbank DATO: 31.10.2014 Evalueringsskjema Mobilbank apper Del 1 Del 2 Strategi og sikkerhetspolicy Kost-nytte og ROS-analyser Utvikling og oppdatering Avtaler Driftsrelaterte spørsmål

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Rettslige krav til informasjonssikkerhet i offentlig forvaltning Rettslige krav til informasjonssikkerhet i offentlig forvaltning Advokat dr. juris Rolf Riisnæs WIKBORG REIN rri@wr.no DRI1010 11. mars 2010 1 Informasjonssikkerhet Hvem, hva og hvorfor Det velkjente og

Detaljer

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS Agenda Hva skal vi beskytte? Hvilke krav stilles? Forskrift om beredskap i kraftforsyningen

Detaljer

Bilag 6 - Administrative bestemmelser

Bilag 6 - Administrative bestemmelser Bilag 6 - Administrative bestemmelser Versjonshåndtering Versjon Dato Initiert av Endringsårsak 1.0 16.05.2013 Difi Dokument distribuert til tilbydere 2.0 20.08.2013 Difi Endret til ny versjon uten endringer

Detaljer

Nasjonalt ID-kort og eid Sikker e-forvaltning

Nasjonalt ID-kort og eid Sikker e-forvaltning Nasjonalt ID-kort og eid Sikker e-forvaltning Statens dataforum 8.12.2009 eid på sikkerhetsnivå 4 Hva er PKI? = Public Key Infrastructure eid-er som muliggjør: Autentisering Elektronisk signatur Medlingskryptering

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) 25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT) Opplysninger om fylkeskommunen Fylkenr Fylkeskommunens navn Navn skjemaansvarlig Tlf nr E-post skjemaansvarlig Strategi 1 Har fylkeskommunen

Detaljer

Digitaliseringsprogrammet - hva blir utfordringene for arkivet?

Digitaliseringsprogrammet - hva blir utfordringene for arkivet? Digitaliseringsprogrammet - hva blir utfordringene for arkivet? Geir Magnus Walderhaug leder av Norsk Arkivråds Region Øst Norsk Arkivråds seminar 5. november 2012 En erkjennelse Jeg er kunde hos Norsk

Detaljer

Tjenesteavtale mellom. IKA Øst. Serviceenheten IKT om leveranse av IKT-tjenester

Tjenesteavtale mellom. IKA Øst. Serviceenheten IKT om leveranse av IKT-tjenester Tjenesteavtale mellom IKA Øst Serviceenheten IKT om leveranse av IKT-tjenester Innhold 1 Om avtalen... 3 1.1 Parter... 3 1.2 Hensikt og Formål... 3 1.3 Definisjoner... 3 1.4 Avtalens varighet... 4 1.5

Detaljer

MRS Medisinsk registreringssystem Drift av kvalitetsregistre.

MRS Medisinsk registreringssystem Drift av kvalitetsregistre. MRS Medisinsk registreringssystem Drift av kvalitetsregistre. HEMIT skal etablere felles tekniske løsninger I Hovedsak innebærer dette: Videreutvikle MRS som en felles nasjonal plattform Etablere registre

Detaljer

Gode råd til sikkerhetsansvarlige

Gode råd til sikkerhetsansvarlige Gode råd til sikkerhetsansvarlige Lillian Røstad, PhD Leder, seksjon for informasjonssikkerhet Difi Lillian.Rostad@difi.no Seksjon for informasjonssikkerhet Difi skal i 2013 etablere en permanent enhet

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Dataforeningens kontraktsstandard for IT-drift. Del III - Bilag

Dataforeningens kontraktsstandard for IT-drift. Del III - Bilag Dataforeningens kontraktsstandard for IT-drift Del III - Bilag DEN NORSKE DATAFORENING Versjon : 1.0 Dato oppdatert : 03.12.2008 Kunde: Leverandør:USIT Driftsavtale nr.: Parafering: / Dataforeningens kontraktsstandard

Detaljer

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management - ITIL v3 Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no IT Service Management Definisjon: Implementasjon og håndtering av IT-tjenester med kvalitet som fyller kommunens

Detaljer

Nye felles løsninger for eid i offentlig sektor

Nye felles løsninger for eid i offentlig sektor Nye felles løsninger for eid i offentlig sektor BankID konferansen 2010 Tor Alvik Tor.alvik@difi.no Difi skal Bidra til å utvikle og fornye offentlig sektor Styrke samordning og tilby fellesløsninger Målet

Detaljer

Technical Integration Architecture Teknisk integrasjonsarkitektur

Technical Integration Architecture Teknisk integrasjonsarkitektur Kap. 6 Technical Integration Architecture Studentpresentasjon av Cato Haukeland Oversikt Introduksjon -spesifikasjon Krav Beskrivelse Servicenivå Sikkerhet Plan Best practices Introduksjon Masterdokument

Detaljer

Nærmere informasjon om endringer i forvaltningsloven og eforvaltningsforskriften

Nærmere informasjon om endringer i forvaltningsloven og eforvaltningsforskriften Nærmere informasjon om endringer i forvaltningsloven og eforvaltningsforskriften Vedlegg til brev fra KMD til forvaltningen Digital kommunikasjon som hovedregel Digital kommunikasjon er nå hovedregelen

Detaljer

SSA 2015. Gjennomføring av leveransen i SSA-T og SSA-D. seniorrådgiver Mari Vestre, Difi

SSA 2015. Gjennomføring av leveransen i SSA-T og SSA-D. seniorrådgiver Mari Vestre, Difi SSA 2015 Gjennomføring av leveransen i SSA-T og SSA-D seniorrådgiver Mari Vestre, Difi Mål med endringene i gjennomføring av leveransen i SSA-T og SSA-D Legge til rette for mindre detaljerte kravspesifikasjoner

Detaljer

Regelverk. Endringer i regelverk for digital forvaltning

Regelverk. Endringer i regelverk for digital forvaltning Regelverk Endringer i regelverk for digital forvaltning Offentlig sektors dataforum Oslo 28. november 2013 Nina Fladsrud Sikkerhet, robusthet og personvern rege Sikkerhet, robusthet og personvern Digital

Detaljer

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglementet skal fremme god samhandling, god orden, gode arbeidsvaner og bidra til et stabilt og sikkert driftsmiljø slik at det legges

Detaljer

Rutiner for pasientrelatert elektronisk meldingsutveksling mellom kommunene på Romerike, i Follo, Rømskog kommune og Ahus

Rutiner for pasientrelatert elektronisk meldingsutveksling mellom kommunene på Romerike, i Follo, Rømskog kommune og Ahus Rutiner for pasientrelatert elektronisk meldingsutveksling mellom kommunene på Romerike, i Follo, Rømskog kommune og Ahus Rutinene er hjemlet i delavtale 9 samarbeid om lokale IKT-løsninger 1. Rutinene

Detaljer

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Avmystifisere internkontroll/styringssystem - informasjonssikkerhet Difis veiledningsmateriell Jan Sørgård, seniorrådgiver Difi Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser Organisering

Detaljer

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13

Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Informasjonssikkerhet i Norge digitalt Teknologiforum 07.11.13 Trond Skyseth, sikkerhetsleder, Kartverket Plan for innspill Hensikt Prinsipper for informasjonssikkerhet i ND Hvorfor er sikkerhet viktig

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

IKT-reglement for Norges musikkhøgskole

IKT-reglement for Norges musikkhøgskole IKT-reglement for Norges musikkhøgskole Norges musikkhøgskole (NMH) er forpliktet til å kontrollere risiko og håndtere informasjon og tekniske ressurser på en sikker måte. Når du får tilgang til disse

Detaljer

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften Vår saksbehandler Simon Kiil Vår dato Vår referanse 2013-09-10 A03 - S:13/02202-5 Deres dato Deres referanse 2013-06-11 13/1249 Antall vedlegg Side 1 av 5 Fornyings-, administrasjonskirkedepartementet

Detaljer

Bilag 1: Kundens kravspesifikasjon

Bilag 1: Kundens kravspesifikasjon Bilag 1: Kundens kravspesifikasjon I bilaget skal Kunden spesifisere driftstjenester som skal leveres etter avtalen. Kunden skal på bakgrunn av sine formål og behov fremstille sine krav som en kravspesifikasjon.

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 10/06/2015 SAK NR 36-2015 Resultater fra gjennomgang av internkontroll 1. halvår 2015 og plan for gjennomgang

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

SvarUt Offentlig digital post

SvarUt Offentlig digital post SvarUt Offentlig digital post eller Thor Kvatningen - it-rådgiver / /byarkivet Thor.kvatningen@trondheim.kommune.no Hva er SvarUt? En løsning for å kunne sende digital utgående post fra kommunen i et elektronisk

Detaljer

Felles IKT-arktiektur med vekt på sikker tilgang til elektroniske tjenester - presentasjon for Norsk kommunal teknisk forening

Felles IKT-arktiektur med vekt på sikker tilgang til elektroniske tjenester - presentasjon for Norsk kommunal teknisk forening Felles IKT-arktiektur med vekt på sikker tilgang til elektroniske tjenester - presentasjon for Norsk kommunal teknisk forening 15.juni 2010 Lise Nilsen Difi, prosjektleder Nasjonal eid Lise.Nilsen@Difi.no

Detaljer

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Evalueringsskjema Foretakets nettbankvirksomhet Foretakets navn : Dato: Underskrift : Dato: 13.11.2007 Versjon: 1.0 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema

Detaljer

Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: 2002-08-23 Veiledning til 5-25: Utarbeidelse av driftsinstruks Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag-

Detaljer

Tekniske forutsetninger - fakturadistribusjon. Drift torsdag 17. sept 1030-1115

Tekniske forutsetninger - fakturadistribusjon. Drift torsdag 17. sept 1030-1115 Tekniske forutsetninger - fakturadistribusjon Drift torsdag 17. sept 1030-1115 Elektronisk fakturadistribusjon, oversikt efaktura og Avtalegiro - NETS Andre selskap internt (Epost faktura sendes på epost)

Detaljer

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi Sentrale krav til IKT-anskaffelser Gardermoen, 16. januar 2014 Kristian Bergem, Difi Poenget Det finnes en liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Alle kravspesifikasjoner

Detaljer

Risikoanalysemetodikk

Risikoanalysemetodikk Risikoanalysemetodikk Mars 2012 Eva Henriksen, eva.henriksen@telemed.no Eva Skipenes, eva.skipenes@telemed.no Sikkerhetsrådgivere NST www.telemed.no/sikkerhet Metodikk for Risikoanalyse Risikovurdering

Detaljer

IT ServiceDesk i Møre og Romsdal fylkeskommune

IT ServiceDesk i Møre og Romsdal fylkeskommune IT ServiceDesk i Møre og Romsdal fylkeskommune IT i Møre og Romsdal fylkeskommune er ikke bare teknologi; Det handler også om mennesker og prosesser på tvers av IT IT Service Management er en mulighet

Detaljer

Egenevalueringsskjema

Egenevalueringsskjema Egenevalueringsskjema Service Level Management - ITIL Dato: 12.02.2009 Versjon 1.1 Finanstilsynet Tlf. 22 93 98 00 post@finanstilsynet.no www.finanstilsynet.no Evalueringsskjema for foretakets Service

Detaljer

Difis veiledningsmateriell, ISO 27001 og Normen

Difis veiledningsmateriell, ISO 27001 og Normen Difis veiledningsmateriell, ISO 27001 og Normen Jan Sørgård, seniorrådgiver Difi Jan Gunnar Broch, seniorrådgiver Helsedirektoratet Difi Visjon: Vi utvikler offentlig sektor Digitalisering Anskaffelser

Detaljer