Innhold: Veiledende bilag til SSA-D Driftsavtalen versjon 2015

Transkript

1 Veiledende bilag til Veiledende bilag til Driftsavtalen versjon 2015 Innhold: Bilag 1: Kundens kravspesifikasjon Bilag 2: Leverandørens løsningsspesifikasjon Bilag 3: Beskrivelse av det som skal driftes Bilag 4: Prosjekt- og fremdriftsplan for etableringsfasen Bilag 5: Tjenestenivå med standardiserte kompensasjoner Bilag 7: Samlet pris og prisbestemmelser Bilag 8: Endringer i den generelle avtaleteksten Bilag 9: Endringer av driftstjenesten etter avtaleinngåelsen Bilag 10: Standardvilkår for tredjepartsleveranser 1

2 Veiledende bilag til Bilag 1: Kundens kravspesifikasjon Avtalens punkt 1.1 Avtalens omfang Avtalen omfatter sikker og stabil drift og vedlikehold av løsning for «Ressurs- og ProsesStyring med eldingstjenester (RPS)». Det tegnes en egen avtale (SSA-T) som regulerer prosjektperioden for tilpasning av løsningen som skal driftes og vedlikeholdes. Denne avtalen () er gjeldende for drifts- og vedlikeholdsperioden, samt etablering av dette. Dersom leverandøren tilbyr en SaaS-tjeneste skal den inkludere følgende tjenester: Tilgang til tjenesten, vedlikehold og drift av SaaS-tjenesten i henhold til avtalte tjenestenivåer, herunder ivaretakelse av informasjonssikkerheten. Brukerstøtte Feilretting Bistand i avtaleperioden Dersom leverandøren tilbyr en applikasjon med drift hos Kunden, skal avtalen omfatte: Vedlikehold Brukerstøtte Feilretting Bistand i avtaleperioden Kravtabeller Under kolonnen kategori er det to typer av krav: inimumskrav (definert som krav) og evalueringskrav (definert som E krav). Hvordan disse kravene skal besvares må sees i sammenheng med hva som er definert i etterfølgende kolonne utdypes. i kolonnen kategori betyr at kravet er et minimumskrav som må oppfylles av Leverandøren. -krav uten krav til Leverandørens utdypning vil vurderes som oppfylt eller ikke (ja/nei). -krav med krav til Leverandørens utdypning vil også vurderes som oppfylt eller ikke (ja/nei), og utdypningen vil dokumentere om kravet er oppfylt eller ikke. -krav som ikke er oppfylt kan medføre avvisning av tilbudet. E i kolonnen kategori betyr at kravet er et evalueringskrav, dvs. at besvarelsen av kravet vil inngå i evalueringen av tilbudet i henhold til tildelingskriteriene, jf. konkurransegrunnlaget. 2

3 Veiledende bilag til Nedenfor er det tabeller som Leverandør svarer opp i bilag 2. Tabellene er kravtabeller og knyttet til ulike punkter i avtalen. Felles for alle tabellene er at de omfattes av det som er Kundens kravspesifikasjon. Tabell D-1 Krav til leveransen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav Beskrivelse Kategori Utdypes nr D-1.1 Løsningen videreutvikles med hensiktsmessig bruk av tilgjengelige funksjonelle byggeklosser som er etablert i Oslo kommune og ITAS for grensesnitt mellom ulike systemer. Se SSA-T Bilag 3. E D-1.2 Forholdet til underleverandører og tredjeparter som Leverandøren benytter til oppfyllelse av avtalen: Leverandøren plikter å påse at alle underleverandører og alle tredjeparter er kjent med og etterlever alle kravene som påhviler leverandøren iht. avtalen. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparter som benyttes i avtalen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-2 Krav til åpningstider, ytelse, tilgjengelighet: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Krav nr D-2.1 D-2.2 D-2.3 D-2.4 D-2.5 Beskrivelse Tjenestenivået kan for enkelte perioder utvides til også å gjelde utenfor ordinær arbeidstid som beskrevet av Leverandøren. Dette vil bestilles av Kunden etter behov. Løsningen er døgnåpen men avtalt tilgjengelighet reguleres i bilag 5. Kunden ønsker å benytte Leverandørens standard tjenestenivåavtale, og ber Leverandøren fylle ut bilag 5 som del av sitt tilbud. Tjenesten skal være tilgjengelig for brukerne i 99,5% pr. måned (ref. bilag 5). Leverandørens Reaksjonstid skal på A feil være umiddelbart i arbeidstiden, for B feil maksimalt 15 minutter i arbeidstiden og for C feil maksimalt 60 min i arbeidstiden (ref. bilag 5). Kategori 3

4 Veiledende bilag til Tabell D-3 Krav til sikkerhet, rutiner og metoder (tildelingskriterium nr. 2 Gjennomføring) Gjelder SaaS-leverandører: Krav nr Beskrivelse Kategori Utdypes D-3.1 Leverandøren etterlever Kundens instruks for informasjonssikkerhet. Se Del C, vedlegg 2 Instruks for informasjonssikkerhet i Oslo Kommune. E D-3.2 Leverandøren har dokumenterte rutiner for opplæring av personell som sikrer at personellet til enhver tid har oppdatert kunnskap og kompetanse for å utføre sine oppgaver på en sikkerhetsmessig forsvarlig måte. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.3 Leverandøren forsikrer seg om at det er implementert tilstrekkelige fysiske sikringstiltak for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon. Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.4 Løsningen har mekanismer som sikrer at en systemmessig feilsituasjon eller en krisesituasjon ikke skal påvirke tilgjengelighet av løsningen. D-3.5 Leverandøren benytter en anerkjent drifts- og forvaltningsmetodikk. Det er beskrevet i bilag 4 som viser hvordan metodikken benyttes. D-3.6 Leverandøren overvåker og monitorerer driftsløsningen for å forebygge, oppdage og redusere skade som følge av feil, manipulering og uautoriserte handlinger. Uønskede hendelser logges av Leverandøren og meldes uten opphold til Kunden. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.7 Løsningen skal være tilgjengelig i henhold til tjenestenivå definert i Bilag 5 (Responstider). E D-3.8 Leverandøren har dokumenterte rutiner for autorisasjon av Leverandørens personell som skal ha tilgang til Kundens data. Som et minimum skal autorisasjonen angi hvilke IT-systemer, programrutiner og dataelementer Leverandørens ansatte til enhver tid har lovlig tilgang til og hvilke operasjoner disse har lov til å utføre. D-3.9 Leverandøren har fysiske sikringstiltak og rutiner for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon, for å sikre seg mot uønsket fysisk tilgang til områder og utstyr som benyttes for å utføre tjenesten for kunden 4

5 Veiledende bilag til Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskrivelse: Leverandøren beskriver etablerte sikringstiltak. D-3.10 Leverandøren har tiltak som sikrer at kundens data er adskilt fra andre kunders data, og at andre enn kunden ikke har tilgang til kundens data. Beskrivelse: Leverandøren beskriver hvordan D-3.11 Leverandøren har dokumenterte rutiner for autorisasjon og tilbaketrekking av autorisasjon av Leverandørens personell og personell til underleverandører eller andre som opptrer på vegne av underleverandøren og som skal ha tilgang til Kundens data og annen informasjon av betydning for informasjonssikkerheten. Fellesbrukere skal aldri benyttes. Oppdatert liste over hvilke type rettigheter og tilganger Leverandørens personell har til Kundens data og informasjon, skal fremlegges Kunden på forespørsel. Dokumentasjon skal inneholde opplysninger om tidsintervaller, hvem som er autorisert, type privilegier o.l. Beskrivelse: Leverandøren beskriver D-3.12 Leverandøren må være forberedt på at driftspersonell for deler av kundens driftsmiljøer vil måtte kunne fremvise politiattest eller måtte kunne sikkerhetsklareres. Dette vil f.eks. gjelde hvis nåværende eller fremtidig lovregulering som regulerer den virksomhet som driftes i det aktuelle driftsmiljøet forutsetter politiattest/sikkerhetsklarering for personell som gis innsyn i virksomhetens lagret informasjon. D-3.13 Leverandøren skal ha funksjonalitet som sikrer at så vel oppslag/lesetilgang til data som editering og sletting av data som utføres av Leverandøren eller andre som opptrer på vegne av underleverandøren logges. Beskrivelse: Leverandøren beskriver D-3-14 Leverandøren, underleverandører eller andre som opptrer på vegne av underleverandøren, skal ha en prosess for feilretting og utbedring av sårbarheter, inkludert sikkerhetstiltak og sikkerhetspatching, som beskriver hvordan leverandør sikrer at nødvendige sikkerhetstiltak og sikkerhetspatching til enhver tid gjennomføres uten ugrunnet opphold jf i. Beskrivelse: Leverandøren beskriver prosessen. D-3.15 Leverandøren har rutine for å sikre samspillet og 5

6 Veiledende bilag til ansvarsdelingen mellom Kunde og Leverandør, herunder underleverandører eller andre som opptrer på vegne av underleverandøren, ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D-3.16 Leverandøren sørger for at integrasjon mot andre systemer og andre kundespesifikke tilpasninger i løsningen blir ivaretatt ved vedlikehold/endringer/oppgraderinger av tjenesten. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D-3.17 Ved vedlikehold/endringer/oppgraderinger av tjenesten oppdateres all tilhørende dokumentasjon. D-3.18 Eventuelle feil og mangler i dokumentasjon likestilles med feil og mangler i programvaren og gir tilsvarende rett til standardisert prisavslag jfr. Bilag 5. D-3.19 Leverandør gir Kunden tid og mulighet for å teste endringer /feilrettinger / ny funksjonalitet i løsningen før driftssetting. Beskrivelse: Leverandøren beskriver. D-3.20 Leverandøren skal ha en prosess og løsning som sikrer tilgjengelighet til data, og mekanismer for til enhver tid å kunne gjenopprette data. anglende gjenoppretting av data, etter fristen medfører rett til standardisert prisavslag, jfr. Bilag 5. Beskrivelse: Leverandør beskriver prosess og løsning inkludert garanti for gjenopprettingstid av data. D-3.21 Leverandøren rapporterer månedlig på følgende parametere: Tilgjengelighet til løsningen (tjenesten tilgjengelig for brukerne): Nedetid i antall timer pr. måned Leverandør dokumenterer tilgjengelighet, og hvorfor leverandør eventuelt mener at nedetid ikke skyldes leverandøren. Retting av feil og håndtering av uønskede hendelser Tid fra mottatt feilmelding til start av løsningsarbeid Løsningstid Endringsforespørsler Tid for tilbud med løsningstid Brukerstøtte 6

7 Veiledende bilag til Svartid for henvendelser Risikovurderinger av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. Interne revisjoner av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. gjennomføringen av tiltak som er nødvendige for å etablere og opprettholde forsvarlig informasjonssikkerhet med utgangspunkt i leverandørens informasjonssikkerhetspolicy og resultatet av de risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. D-3.22 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-4 Krav til bistand (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-4.1 Leverandøren tilbyr utvidet beredskap i kritiske faser mot vederlag som spesifiseres i Bilag 7. Tabell D-5 Krav til vedlikehold av løsning (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-5.1 Leverandøren sikrer at løsningen holder tritt med teknologiutviklingen og beskriver hvilke planer som foreligger mht. løsningens fremtidige videreutvikling. Beskriver: Leverandøren beskriver hvordan dette er 7

8 Veiledende bilag til tenkt gjennomført. D-5.2 Dersom utviklet funksjonalitet ikke inngår som en del av et standardsystem, tilbyr Leverandøren vedlikehold på utviklet funksjonalitet slik at løsningen/tjenesten fungerer som forutsatt under hele avtalens varighet. D-5.3 Leverandøren holder Kunden løpende oppdatert med hensyn til sine utviklingsplaner. D-5.4 Leverandøren holder seg orientert om endringer innen aktuelle lover, forskrifter og myndighetskrav, samt sikrer at Kunden kan overholde relevante lover, forskrifter og føringsskriv fra sentral myndighet løpende gjennom kontraktstidens varighet. D-5.5 Ved videreutvikling av løsningen har oppfyllelse av myndighetskrav høyeste prioritet. Kunden skal tilbys ny funksjonalitet slik at det gis rimelig tid til testing, opplæring og implementering før nye krav trer i kraft. D-5.6 Løsningen videreutvikles for å beholde god ytelse med responstider i henhold til etablert baseline. D-5.7 Leverandøren beskriver prosessen, samspillet og ansvarsfordelingen mellom Kunde og Leverandør ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.8 Leverandøren sørger for at integrasjon mot andre systemer blir ivaretatt ved oppgradering/endringer i tjenesten. D-5.9 Ved oppdatering av løsningen er også all nødvendig dokumentasjon oppdatert. D Leverandøren yter brukerstøtte overfor Kunden i avtaleperioden, se bilag 5. Leverandøren beskriver sin brukerstøttetjeneste inkludert ev. støtteverktøy som brukes i denne forbindelsen. D Leverandøren håndterer alle avvik som meldes fra Kunden i henhold til avtalt tjenestenivå, og alle feil skal rettes i henhold til krav i bilag 5. E D Leverandør gir Kunden tilgang til verifisering og godkjenning av funksjoner og endringer før drifts-setting av nye versjoner. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D Leverandør gir Kunden tilgang til å gjenskape hendelser som kan kreve feilretting. D- Ved oppslag fra et bilde/felt vises hjelpeinformasjon knyttet 8

9 Veiledende bilag til 5.14 til aktuelt bilde/felt. Avtalens punkt 4.4 Avslutning av avtalen Dersom Kunden ønsker å spesifisere hvilken informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje, skal dette fremkomme her. Informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje: Kunden skal eie alle data og kunne få disse utlevert eller slettet på forespørsel. Ved avslutning av avtaleforholdet skal alle data overføres kostnadsfritt til Kunden, på et anerkjent og standard avtalt format som egner seg for enklest mulig dataoverføring til Kunden og/eller tredjepart. Leverandøren skal slette data på en sikker måte. Se ellers Del C, Vedlegg 12 Databehandleravtale for behandling av personopplysninger. Tabell D-6 Avslutning av avtalen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-6.1 Ved utløpet av avtalen skal Kundens data og tilhørende dataarkitektur overleveres til Kunden på et åpent format kunde og leverandør blir enige om. Kunden skal videre gis tilgang til nødvendige versjoner av aktuell programvare for å kunne lese og behandle dataene. E D-6.2 Ved avslutning av avtalen skal leverandør slette alle data som har vært registrert i løsningen på Leverandørens utstyr, etter at krav D-6.1 er bekreftet gjennomført av Kunde. E Avtalens punkt 5.1 Leverandørens ansvar for sine ytelser Dersom Kunden ønsker å stille krav til at Leverandøren skal følge gitte standarder eller kvalitetssystemer, skal dette fremgå her. Det samme gjelder eventuelle krav om Leverandørens dokumentasjon av hvordan standarder eller kvalitetssystemer følges. Kunden skal beskrive krav til Leverandørens samordning, styring og koordinering av arbeidet mellom de ulike aktører/leverandører som har betydning for driftstjenesten i forbindelse med etablering, testing og drift. 9

10 Veiledende bilag til Dersom Leverandøren ikke skal ha totalansvar for livssyklusforvaltning av utstyr, programvare og andre ytelser som er nødvendig for å opprettholde avtalt tjenestenivå, skal Kunden spesifisere dette her. Kunden skal spesifisere hvilke tredjepartsleveranser som Leverandøren skal administrere på vegne av Kunden her. Lisensbetingelsene skal vedlegges i bilag 10. Tabell D-7 Krav til standarder eller kvalitetssystemer som Leverandøren skal følge. (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-7.1 Løsningen må støtte de dominerende nettleserne i markedet. Kunden benytter i dag hovedsakelig IE10/11, Firefox og Google Chrome som oppdateres jevnlig. Beskrivelse: Leverandør beskriver hvilke nettlesere som støttes. D-7.2 D-7.3 D-7.4 Leverandøren og løsningen tilfredsstiller kravene i norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Se Del C, vedlegg 11. Løsningen er basert på åpne eller godkjente tekniske standarder og tilfredsstiller gjeldende godkjente produkter, GPL, i Oslo kommune infrastruktur (se Bilag 3,). Løsningen tilfredsstiller standarder spesifisert i Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. E Avtalens punkt 9.1 Eksterne rettslige krav og tiltak generelt Kunden skal identifisere hvilke rettslige eller partsspesifikke krav som har relevans for inngåelse og gjennomføring av denne avtalen. Kunden skal konkretisere relevante krav her. Tabell D-8 Krav vedr. eksterne rettslige krav og tiltak (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-8.1 Løsningen driftes og vedlikeholdes med det formål at Oslo kommune over tid kan oppfylle de forpliktelser som påhviler dem gjennom lov og forskriftsmessige krav. Leverandøren er ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med generell krav i norsk lovgivning som gjelder for IKT systemer. Oppdateringer skal gjøres slik at disse er 10

11 Veiledende bilag til D-8.2 D-8.3 D-8.4 D-8.5 implementert innen aktuell lovgivnings ikrafttredelse. Leverandøren er tilsvarende ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med spesielle krav som gjelder for den aktuelle virksomhet i Oslo kommune, dog slik at Kunden er ansvarlig for å opplyse Leverandøren om de aktuelle kravene. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Forholdt til ny Sikkerhetslov I den grad ny Sikkerhetslov jf.nou 2016: 19 «Samhandling for sikkerhet» medfører endrede krav til drift av Oslo kommunes IKT virksomhet, vil Leverandøren og dennes underleverandører måtte forholde seg til de endrede kravene og plikter bistå til å oppfylle disse. Leverandøren har et styringssystem for informasjonssikkerhet (ISO27001 eller tilsvarende 1 ) som dokumenterer leverandørens rutiner og tiltak for internkontroll og etterlevelse av personopplysningsforskriften kapittel 2 og Norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Styringssystemet skal på anmodning gjøres tilgjengelig for Kunden. Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Leverandøren skal regelmessig gjennomføre risikovurdering av tjenesteleveransen iht. leverandørens styringssystem. Dokumentet forelegges Kunden, senest innen 10 dager fra avtalt halvårsgjennomgang, hendelser mv E Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. D-8.6 Leverandøren skal gjennomføre jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos alle underleverandører eller andre som opptrer 1 Styringssystemet gir som minimum en beskrivelse av: Sikkerhetsorganisasjon med oversikt over ansvar og roller for sikkerhet hos Leverandøren Sikkerhetsmål og strategi for informasjonssikkerhet Krav og tiltak for informasjonssikkerhet, herunder bl.a. sikkerhetsledelse, risikostyring, tilgangskontroll, fysisk sikkerhet, forhold til andre virksomheter, sikkerhetsdokumentasjon, personellsikkerhet, oppfølging og kontroll Styringssystemet omfatter relevante underleverandører. 11

12 Veiledende bilag til på vegne av underleverandøren. Revisjonene gjennomføres minimum en gang per år, samt i forbindelse med utbedring etter alvorlige hendelser, større endringer av betydning for informasjonssikkerhet, avdekking av alvorlige nye sårbarheter mv. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avdekker revisjon eller risikovurderinger avvik i forhold til forsvarlig informasjonssikkerhet og gjeldende norsk rett, plikter Leverandøren å utbedre disse snarest og senest innen 30 dager. D-8.7 Kravene til informasjonssikkerhet gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalens punkt 9.2 informasjonssikkerhet Tabell D-9 Særskilte krav til dokumentasjon i forbindelse med informasjonssikkerhet (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kategori Utdypes D-9.1 Leverandørens kontrollerende sikkerhetsledelse er ansvarlig for at det gjennomføres jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos eventuelle underleverandører generelt, og spesielt for det som berører tilbudt løsning. Revisjonene gjennomføres minimum en gang per år. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.2 Leverandøren gjennomfører risikovurderinger minimum en gang per år, samt i forbindelse med særskilte hendelser som sikkerhetsbrudd, endringer av betydning for informasjonssikkerhet, nye sårbarheter mv. Resultatet av risikovurderinger gjøres tilgjengelig for Kunden på forespørsel, og ved resultat som avdekker risiko utover fastsatt akseptabelt nivå. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.3 Leverandøren gir Kunden, eller en 3. part valgt av Kunden, tilgang til å gjennomføre risikovurdering og/eller revisjon av informasjonssikkerhet relatert organisering, 12

13 Veiledende bilag til forvaltning og drift av egen løsning. D-9.4 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå og forelegger Kunden dette ved forespørsel. Avtalens punkt 9.3 Personopplysninger Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv, angis her. Tabell D-10 Krav til personopplysninger (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kategori Utdypes D-10.1 Leverandøren behandler personopplysninger iht. personopplysningsloven og personopplysningsforskriften. E D-10.2 Leverandøren, underleverandør eller andre som opptrer på vegne av underleverandøren er databehandler på Kundens vegne i den grad de behandler data på kundens vegne.. Leverandøren behandler personopplysninger iht. EUs personvernlovgivning, personopplysningsloven og personopplysningsforskriften, samt iht. ny personvernforordning (tekst godkjent av EU den ) etter implementering av denne. Leverandøren vil implementere eventuelle endringer/tillegg etc. som er nødvendig for å oppfylle evt. nye krav i EUs personvernforordning før denne trer i kraft. E D-10.3 Ved inngåelse av avtalen forplikter Leverandøren seg til å signere selvstendig databehandleravtale som gjengitt i Del C_Vedlegg 12. Leverandøren behandler personopplysninger i henhold til vilkår i denne avtale. Eventuelle underleverandører/tredjeparter som opptrer på vegne av Leverandør, forplikter seg til å underskrive en likelydende databehandleravtale. Databehandleravtalen skal være mottatt og godkjent av Kunde før data kan overføres til underleverandør/tredjepart. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparter som benyttes i avtalen. Etterlevelse av databehandleravtalen og de krav som E 13

14 Veiledende bilag til påhviler databehandler iht. databehandleravtalen er i sin helhet å betrakte som obligatoriske krav. D-10.4 D.10.5 All behandling av/aksessering til data/personopplysninger og lagring av data/personopplysninger skal foretas i/fra lokasjoner innenfor EØS-området, og kun i land som har gjennomført EU-direktiv 95/46/EF. Dette inkluderer også teknisk support, brukerstøtte og evt. reserveløsning. Beskrivelse: Leverandøren beskriver sin lokalisering av servere og lagringsenheter, samt hvor fra og av hvem (leverandør eller eventuelt underleverandører) data behandles. Kravene til vern av personopplysninger gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalen punkt 11.6: Rekonstruksjon av data Tabell D-11 Rutiner for sikkerhetskopiering: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kategori Utdypes D-11.1 Leverandøren har sikkerhetskopieringsløsninger som forhindrer at data går tapt i driftsløsningen. E D-11.2 Leverandøren verifiserer jevnlig innhold i sikkerhetskopier og tester gjenoppretting av data for å verifisere kvaliteten på sikkerhetskopiene. Leverandøren varsler kunden umiddelbart ved avvik. Leverandøren beskriver hvordan dette blir ivaretatt. D-11.3 Sikkerhetskopiert informasjon gis nødvendig fysisk og miljømessig beskyttelse. 14

15 Veiledende bilag til Bilag 2: Leverandørens løsningsspesifikasjon Her skal leverandøren gi sin besvarelse stilt i kravene i bilag 1. Besvarelsen gis ved å fylle ut tabellene nedenfor. Dersom besvarelsen av et krav er for omfattende for tabellen, kan leverandøren vise til utførlige beskrivelse av kravet, som plasseres etter aktuelle tabell. Det er da viktig at det fremkommer tydelig i tabellen at mer utførlig besvarelse finnes etter tabellen, og besvarelsen etter tabellen må ha tydelig henvisning til aktuelt krav. Besvarelsene bør være så kortfattede som mulig. Under kolonnen kategori er det to typer av krav: inimumskrav (definert som krav) og evalueringskrav (definert som E krav). Hvordan disse kravene skal besvares må sees i sammenheng med hva som er definert i etterfølgende kolonne utdypes. i kolonnen kategori betyr at kravet er et minimumskrav som må oppfylles av Leverandøren. -krav uten krav til Leverandørens utdypning vil vurderes som oppfylt eller ikke (ja/nei). -krav med krav til Leverandørens utdypning vil også vurderes som oppfylt eller ikke (ja/nei), og utdypningen vil dokumentere om kravet er oppfylt eller ikke. -krav som ikke er oppfylt kan medføre avvisning av tilbudet. E i kolonnen kategori betyr at kravet er et evalueringskrav, dvs. at besvarelsen av kravet vil inngå i evalueringen av tilbudet i henhold til tildelingskriteriene, jf. konkurransegrunnlaget. Kolonnen Utdypes Dette er en hjelpekolonne for å vise leverandører hvilke krav som det er kreves en utdypende besvarelse på. Ved i denne kolonnen, skal leverandøren beskrive hvordan kravet løses i tilbudt løsning i bilag 2. Krav med i denne kolonnen trenger ingen ytterligere beskrivelse utover utfylt svarkode (neste kolonne). Kolonnen Svarkode 15

16 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til I dette feltet skal leverandøren besvare i hvilken grad det aktuelle kravet oppfylles. Som utgangspunkt foreslås det å benytte svarkoder som eller«delvis» eller knyttet til oppfyllelse av enkeltkrav, Følgende tolkning legges til grunn bak de angitte svarkoder: J betyr at Leverandøren leverer denne funksjonen, aksepterer dette kravet eller dekker behovet som er beskrevet. Dette svaret forplikter Leverandøren til å levere det omfanget som gir innfrielse som er inkludert i de priser som er oppgitt. D betyr at funksjonen eller kravet er delvis inkludert i tilbudet. Det kreves da en forklaring med spesifisering av hva som er inkludert og hva som ikke støttes. Kunden må deretter tolke besvarelsen opp mot det kravet, for å se om tilbudt løsning oppfyller/ikke oppfyller kundens behov og krav. Dersom må-krav besvares med «D», kan det medføre avvisning av tilbudet. N betyr at funksjonen, behovet eller kravet ikke støttes. Dersom et må-krav besvares med «N», kan det medføre avvisning av tilbudet. Kolonnen Kommentar/ ref. Dette er en hjelpekolonne for leverandør (for å sikre at alle krav og behov blir besvart). Er det korte enkle svar på et krav som skal utdypes kan leverandøren skrive dette direkte inn i denne kolonnen, er det mer omfattende svar, kan leverandøren her sette inn henvisning til hvor kravet er besvart som vist i konkurransegrunnlaget. Tabell D-1 Krav til leveransen: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-1.1 D-1.2 Løsningen videreutvikles med hensiktsmessig bruk av tilgjengelige funksjonelle byggeklosser som er etablert i Oslo kommune og ITAS for grensesnitt mellom ulike systemer. Se SSA-T Bilag 3. Forholdet til underleverandører og tredjeparter som Leverandøren benytter til oppfyllelse av avtalen: Leverandøren plikter å påse at alle underleverandører og alle tredjeparter er kjent med E 16

17 Kategori Utdypes Svarkode (J/D/N) Veiledende bilag til og etterlever alle kravene som påhviler leverandøren iht. avtalen. Leverandøren plikter fortløpende å føre en oversikt over alle underleverandører/tredjeparte r som benyttes i avtalen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-2 Krav til åpningstider, ytelse, tilgjengelighet: (tildelingskriterium nr. 4. forvaltning, drift og vedlikehold) Krav nr Beskrivelse Kommentar/Ref. D-2.1 Tjenestenivået kan for enkelte perioder utvides til også å gjelde utenfor ordinær arbeidstid som beskrevet av Leverandøren. Dette vil bestilles av Kunden etter behov. D-2.2 Løsningen er døgnåpen men avtalt tilgjengelighet reguleres i bilag 5. D-2.3 Kunden ønsker å benytte Leverandørens standard tjenestenivåavtale, og ber Leverandøren fylle ut bilag 5 som del av sitt tilbud. D-2.4 Tjenesten skal være tilgjengelig for brukerne i 99,5% pr. måned (ref. bilag 5). D-2.5 Leverandørens Reaksjonstid skal på A feil være umiddelbart i arbeidstiden, for B feil maksimalt 15 minutter i arbeidstiden og for C feil maksimalt 60 min i arbeidstiden (ref. bilag 5). 17

18 Kategori Utdypes Svarkode (J/D/N) Veiledende bilag til Tabell D-3 Krav til sikkerhet, rutiner og metoder (tildelingskriterium nr. 2.Gjennomføring) Gjelder SaaS-leverandører: Krav nr Beskrivelse Kommentar/Ref. D-3.1 Leverandøren etterlever Kundens instruks for informasjonssikkerhet. Se Del C, vedlegg 2 Instruks for informasjonssikkerhet i Oslo Kommune. E D-3.2 Leverandøren har dokumenterte rutiner for opplæring av personell som sikrer at personellet til enhver tid har oppdatert kunnskap og kompetanse for å utføre sine oppgaver på en sikkerhetsmessig forsvarlig måte. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.3 Leverandøren forsikrer seg om at det er implementert tilstrekkelige fysiske sikringstiltak for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon. Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.4 Løsningen har mekanismer som sikrer at en systemmessig feilsituasjon eller en krisesituasjon ikke skal påvirke tilgjengelighet av løsningen. D-3.5 Leverandøren benytter en anerkjent drifts- og forvaltningsmetodikk. Det er beskrevet i bilag 4 som viser hvordan metodikken benyttes. D-3.6 Leverandøren overvåker og monitorerer driftsløsningen for å forebygge, oppdage og redusere skade som følge av feil, manipulering og uautoriserte handlinger. Uønskede hendelser logges av Leverandøren og meldes uten opphold til Kunden. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-3.7 Løsningen skal være tilgjengelig i henhold til tjenestenivå definert i Bilag 5 E 18

19 Veiledende bilag til (Responstider). D-3.8 Leverandøren har dokumenterte rutiner for autorisasjon av Leverandørens personell som skal ha tilgang til Kundens data. Som et minimum skal autorisasjonen angi hvilke IT-systemer, programrutiner og dataelementer Leverandørens ansatte til enhver tid har lovlig tilgang til og hvilke operasjoner disse har lov til å utføre. D-3.9 Leverandøren har fysiske sikringstiltak og rutiner for de bygg og områder som gir fysisk adgang til Kundens informasjon eller utstyr med Kundens informasjon, for å sikre seg mot uønsket fysisk tilgang til områder og utstyr som benyttes for å utføre tjenesten for kunden Sikringstiltak skal være basert på en risikovurdering av trusselbildet. Beskrivelse: Leverandøren beskriver etablerte sikringstiltak. D Leverandøren har tiltak som sikrer at kundens data er adskilt fra andre kunders data, og at andre enn kunden ikke har tilgang til kundens data. Beskrivelse: Leverandøren beskriver hvordan D Leverandøren har dokumenterte rutiner for autorisasjon og tilbaketrekking av autorisasjon av Leverandørens personell og personell til underleverandører eller andre som opptrer på vegne av underleverandøren og som skal ha tilgang til Kundens data og annen informasjon av betydning for informasjonssikkerheten. Fellesbrukere skal aldri benyttes. Oppdatert liste over hvilke type rettigheter og tilganger Leverandørens personell har til Kundens data og informasjon, skal fremlegges Kunden på forespørsel. Dokumentasjon skal inneholde opplysninger om tidsintervaller, hvem som er autorisert, type privilegier o.l. Beskrivelse: Leverandøren beskriver 19

20 Veiledende bilag til D Leverandøren må være forberedt på at driftspersonell for deler av kundens driftsmiljøer vil måtte kunne fremvise politiattest eller måtte kunne sikkerhetsklareres. Dette vil f.eks. gjelde hvis nåværende eller fremtidig lovregulering som regulerer den virksomhet som driftes i det aktuelle driftsmiljøet forutsetter politiattest/sikkerhetsklarering for personell som gis innsyn i virksomhetens lagret informasjon. D Leverandøren skal ha funksjonalitet som sikrer at så vel oppslag/lesetilgang til data som editering og sletting av data som utføres av Leverandøren eller andre som opptrer på vegne av underleverandøren logges. Beskrivelse: Leverandøren beskriver D-3-14 Leverandøren, underleverandører eller andre som opptrer på vegne av underleverandøren, skal ha en prosess for feilretting og utbedring av sårbarheter, inkludert sikkerhetstiltak og sikkerhetspatching, som beskriver hvordan leverandør sikrer at nødvendige sikkerhetstiltak og sikkerhetspatching til enhver tid gjennomføres uten ugrunnet opphold jf i. Beskrivelse: Leverandøren beskriver prosessen. D Leverandøren har rutine for å sikre samspillet og ansvarsdelingen mellom Kunde og Leverandør, herunder underleverandører eller andre som opptrer på vegne av underleverandøren, ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D Leverandøren sørger for at integrasjon mot andre systemer og andre kundespesifikke tilpasninger i løsningen blir ivaretatt ved vedlikehold/endringer/oppgraderinger 20

21 Veiledende bilag til av tjenesten. Beskrivelse: Leverandøren beskriver forslag til rutine for denne avtalen. D Ved vedlikehold/endringer/oppgraderinger av tjenesten oppdateres all tilhørende dokumentasjon. D Eventuelle feil og mangler i dokumentasjon likestilles med feil og mangler i programvaren og gir tilsvarende rett til standardisert prisavslag jfr. Bilag 5. D Leverandør gir Kunden tid og mulighet for å teste endringer /feilrettinger / ny funksjonalitet i løsningen før driftssetting. Beskrivelse: Leverandøren beskriver. D Leverandøren skal ha en prosess og løsning som sikrer tilgjengelighet til data, og mekanismer for til enhver tid å kunne gjenopprette data. anglende gjenoppretting av data, etter fristen medfører rett til standardisert prisavslag, jfr. Bilag 5. Beskrivelse: Leverandør beskriver prosess og løsning inkludert garanti for gjenopprettingstid av data. D Leverandøren rapporterer månedlig på følgende parametere: Tilgjengelighet til løsningen (tjenesten tilgjengelig for brukerne): Nedetid i antall timer pr. måned Leverandør dokumenterer tilgjengelighet, og hvorfor leverandør eventuelt mener at nedetid ikke skyldes leverandøren. Retting av feil og håndtering av uønskede hendelser Tid fra mottatt feilmelding til start av løsningsarbeid Løsningstid 21

22 Veiledende bilag til Endringsforespørsler Tid for tilbud med løsningstid Brukerstøtte Svartid for henvendelser Risikovurderinger av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. Interne revisjoner av informasjonssikkerheten Det skal rapporteres på alle forhold av betydning for informasjonssikkerheten. Dette omfatter f.eks. gjennomføringen av tiltak som er nødvendige for å etablere og opprettholde forsvarlig informasjonssikkerhet med utgangspunkt i leverandørens informasjonssikkerhetsp olicy og resultatet av de risikovurderinger som er gjennomført av leverandør ifm med oppgraderinger, ny teknologi, ny software, changer, nye trusler (ransomware etc) NB: Listen er ikke uttømmende. D Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av 22

23 Kategori Utdypes Svarkod e(j/d/n) Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til nye sårbarheter mv. som er av betydning for tjenesteleveransen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Tabell D-4 Krav til bistand (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-4.1 Leverandøren tilbyr utvidet beredskap i kritiske faser mot vederlag som spesifiseres i Bilag 7. Tabell D-5 Krav til vedlikehold av løsning (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandører av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-5.1 Leverandøren sikrer at løsningen holder tritt med teknologiutviklingen og beskriver hvilke planer som foreligger mht. løsningens fremtidige videreutvikling. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.2 Dersom utviklet funksjonalitet ikke inngår som en del av et standardsystem, tilbyr Leverandøren vedlikehold på utviklet funksjonalitet slik at løsningen/tjenesten fungerer som forutsatt under hele avtalens varighet. D-5.3 Leverandøren holder Kunden løpende oppdatert med 23

24 Veiledende bilag til hensyn til sine utviklingsplaner. D-5.4 Leverandøren holder seg orientert om endringer innen aktuelle lover, forskrifter og myndighetskrav, samt sikrer at Kunden kan overholde relevante lover, forskrifter og føringsskriv fra sentral myndighet løpende gjennom kontraktstidens varighet. D-5.5 Ved videreutvikling av løsningen har oppfyllelse av myndighetskrav høyeste prioritet. Kunden skal tilbys ny funksjonalitet slik at det gis rimelig tid til testing, opplæring og implementering før nye krav trer i kraft. D-5.6 Løsningen videreutvikles for å beholde god ytelse med responstider i henhold til etablert baseline. D-5.7 Leverandøren beskriver prosessen, samspillet og ansvarsfordelingen mellom Kunde og Leverandør ved planlegging og implementering av ny funksjonalitet og større endringer i løsningen. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D-5.8 Leverandøren sørger for at integrasjon mot andre systemer blir ivaretatt ved oppgradering/endringer i tjenesten. D-5.9 Ved oppdatering av løsningen er også all nødvendig dokumentasjon oppdatert. D Leverandøren yter brukerstøtte overfor Kunden i avtaleperioden, se bilag 5. Leverandøren beskriver sin brukerstøttetjeneste inkludert ev. støtteverktøy som brukes i 24

25 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til denne forbindelsen. D Leverandøren håndterer alle avvik som meldes fra Kunden i henhold til avtalt tjenestenivå, og alle feil skal rettes i henhold til krav i bilag 5. E D Leverandør gir Kunden tilgang til verifisering og godkjenning av funksjoner og endringer før drifts-setting av nye versjoner. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. D Leverandør gir Kunden tilgang til å gjenskape hendelser som kan kreve feilretting. D Ved oppslag fra et bilde/felt vises hjelpeinformasjon knyttet til aktuelt bilde/felt. Avtalens punkt 4.4 Avslutning av avtalen Dersom Kunden ønsker å spesifisere hvilken informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje, skal dette fremkomme her. Informasjon Leverandøren som et minimum skal levere i forbindelse med forberedelsene til eventuell inngåelse av ny driftsavtale og når det skal skje: Kunden skal eie alle data og kunne få disse utlevert eller slettet på forespørsel. Ved avslutning av avtaleforholdet skal alle data overføres kostnadsfritt til Kunden, på et anerkjent og standard avtalt format som egner seg for enklest mulig dataoverføring til Kunden og/eller tredjepart. Leverandøren skal slette data på en sikker måte. Se ellers Del C, Vedlegg 12 Databehandleravtale for behandling av personopplysninger. Tabell D-6 Avslutning av avtalen: (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. 25

26 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til D-6.1 Ved utløpet av avtalen skal Kundens data og tilhørende dataarkitektur overleveres til Kunden på et åpent format kunde og leverandør blir enige om. Kunden skal videre gis tilgang til nødvendige versjoner av aktuell programvare for å kunne lese og behandle dataene. D-6.2 Ved avslutning av avtalen skal leverandør slette alle data som har vært registrert i løsningen på Leverandørens utstyr, etter at krav D-6.1 er bekreftet gjennomført av Kunde. E E Avtalens punkt 5.1 Leverandørens ansvar for sine ytelser Dersom Kunden ønsker å stille krav til at Leverandøren skal følge gitte standarder eller kvalitetssystemer, skal dette fremgå her. Det samme gjelder eventuelle krav om Leverandørens dokumentasjon av hvordan standarder eller kvalitetssystemer følges. Kunden skal beskrive krav til Leverandørens samordning, styring og koordinering av arbeidet mellom de ulike aktører/leverandører som har betydning for driftstjenesten i forbindelse med etablering, testing og drift. Dersom Leverandøren ikke skal ha totalansvar for livssyklusforvaltning av utstyr, programvare og andre ytelser som er nødvendig for å opprettholde avtalt tjenestenivå, skal Kunden spesifisere dette her. Kunden skal spesifisere hvilke tredjepartsleveranser som Leverandøren skal administrere på vegne av Kunden her. Lisensbetingelsene skal vedlegges i bilag 10. Tabell D-7 Krav til standarder eller kvalitetssystemer som Leverandøren skal følge. (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-7.1 Løsningen må støtte de dominerende nettleserne i markedet. Kunden benytter i dag hovedsakelig IE10/11, Firefox og Google Chrome 26

27 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til som oppdateres jevnlig. Beskrivelse: Leverandør beskriver hvilke nettlesere som støttes. D-7.2 D-7.3 D-7.4 Leverandøren og løsningen tilfredsstiller kravene i norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Se Del C, vedlegg 11. Løsningen er basert på åpne eller godkjente tekniske standarder og tilfredsstiller gjeldende godkjente produkter, GPL, i Oslo kommune infrastruktur (se Bilag 3,). Løsningen tilfredsstiller standarder spesifisert i Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. E Avtalens punkt 9.1 Eksterne rettslige krav og tiltak generelt Kunden skal identifisere hvilke rettslige eller partsspesifikke krav som har relevans for inngåelse og gjennomføring av denne avtalen. Kunden skal konkretisere relevante krav her. Tabell D-8 Krav vedr. eksterne rettslige krav og tiltak (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder både SaaS-leverandører og leverandør av applikasjon for intern drift hos Kunden: Krav nr Beskrivelse Kommentar/Ref. D-8.1 Løsningen driftes og vedlikeholdes med det formål at Oslo kommune over tid kan oppfylle de forpliktelser som påhviler dem gjennom lov og forskriftsmessige krav. Leverandøren er ansvarlig for å sikre at løsningen til 27

28 Veiledende bilag til D-8.2 D-8.3 enhver tid oppdateres slik at denne er i samsvar med generell krav i norsk lovgivning som gjelder for IKT systemer. Oppdateringer skal gjøres slik at disse er implementert innen aktuell lovgivnings ikrafttredelse. Leverandøren er tilsvarende ansvarlig for å sikre at løsningen til enhver tid oppdateres slik at denne er i samsvar med spesielle krav som gjelder for den aktuelle virksomhet i Oslo kommune, dog slik at Kunden er ansvarlig for å opplyse Leverandøren om de aktuelle kravene. Beskriver: Leverandøren beskriver hvordan dette er tenkt gjennomført. Forholdt til ny Sikkerhetslov I den grad ny Sikkerhetslov jf.nou 2016: 19 «Samhandling for sikkerhet» medfører endrede krav til drift av Oslo kommunes IKT virksomhet, vil Leverandøren og dennes underleverandører måtte forholde seg til de endrede kravene og plikter bistå til å oppfylle disse. Leverandøren har et styringssystem for informasjonssikkerhet (ISO27001 eller tilsvarende 2 ) som dokumenterer leverandørens rutiner og 2 Styringssystemet gir som minimum en beskrivelse av: Sikkerhetsorganisasjon med oversikt over ansvar og roller for sikkerhet hos Leverandøren Sikkerhetsmål og strategi for informasjonssikkerhet Krav og tiltak for informasjonssikkerhet, herunder bl.a. sikkerhetsledelse, risikostyring, tilgangskontroll, fysisk sikkerhet, forhold til andre virksomheter, sikkerhetsdokumentasjon, personellsikkerhet, oppfølging og kontroll Styringssystemet omfatter relevante underleverandører. 28

29 Veiledende bilag til tiltak for internkontroll og etterlevelse av personopplysningsforskriften kapittel 2 og Norm for informasjonssikkerhet i Helse-, omsorgs- og sosialsektoren. Styringssystemet skal på anmodning gjøres tilgjengelig for Kunden. D-8.4 D-8.5 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå minimum hvert halvår, samt i forbindelse med hendelser eller endringer av betydning for informasjonssikkerhet, avdekking av nye sårbarheter mv. som er av betydning for tjenesteleveransen. Leverandøren skal regelmessig gjennomføre risikovurdering av tjenesteleveransen iht. leverandørens styringssystem. Dokumentet forelegges Kunden, senest innen 10 dager fra avtalt halvårsgjennomgang, hendelser mv E Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. D-8.6 Leverandøren skal gjennomføre jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos alle underleverandører eller andre som opptrer på vegne av underleverandøren. Revisjonene gjennomføres minimum en gang per år, samt i forbindelse med utbedring etter alvorlige hendelser, større endringer 29

30 Kategori Utdypes Svarkod e(j/d/n) Veiledende bilag til av betydning for informasjonssikkerhet, avdekking av alvorlige nye sårbarheter mv. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avdekker revisjon eller risikovurderinger avvik i forhold til forsvarlig informasjonssikkerhet og gjeldende norsk rett, plikter Leverandøren å utbedre disse snarest og senest innen 30 dager. D-8.7 Kravene til informasjonssikkerhet gjelder tilsvarende for evt. testmiljøer som etableres. JA Beskrivelse: Leverandøren beskriver hvordan dette blir ivaretatt. Avtalens punkt 9.2 informasjonssikkerhet Tabell D-9 Særskilte krav til dokumentasjon i forbindelse med informasjonssikkerhet (Tildelingskriterium nr. 4 Forvaltning, drift og vedlikehold) Gjelder kun SaaS-leverandører. Krav nr Beskrivelse Kommentar/Ref. D-9.1 Leverandørens kontrollerende sikkerhetsledelse er ansvarlig for at det gjennomføres jevnlige interne revisjoner av informasjonssikkerhet i egen virksomhet og hos 30

31 Veiledende bilag til eventuelle underleverandører generelt, og spesielt for det som berører tilbudt løsning. Revisjonene gjennomføres minimum en gang per år. Resultatet av sikkerhetsrevisjoner skal gjøres tilgjengelig for Kunden. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.2 Leverandøren gjennomfører risikovurderinger minimum en gang per år, samt i forbindelse med særskilte hendelser som sikkerhetsbrudd, endringer av betydning for informasjonssikkerhet, nye sårbarheter mv. Resultatet av risikovurderinger gjøres tilgjengelig for Kunden på forespørsel, og ved resultat som avdekker risiko utover fastsatt akseptabelt nivå. Leverandøren beskriver hvordan dette blir ivaretatt. D-9.3 Leverandøren gir Kunden, eller en 3. part valgt av Kunden, tilgang til å gjennomføre risikovurdering og/eller revisjon av informasjonssikkerhet relatert organisering, forvaltning og drift av egen løsning. D-9.4 Leverandøren dokumenterer eget fastsatt og akseptabelt risikonivå og forelegger Kunden dette ved forespørsel. Avtalens punkt 9.3 Personopplysninger Nærmere bestemmelser om hvordan personopplysninger skal behandles, herunder relevante sikkerhetstiltak og krav til lagringstid og sletting mv, angis her. 31