Digitale arbeidsflater med tilhørende tjenester for Trondheim kommune

Transkript

1 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement Digitale arbeidsflater med tilhørende tjenester for Trondheim kommune SSA-D ilag 1 Kundens kravspesifikasjon Service anagement SIDE 1 av 36

2 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement Innhold 1 INNLEDNIN KRAV Arkitektur Overordnede bestemmelser Service Portfolio anagement Demand anagement Financial anagement Service Catalogue anagement Service Level anagement (SL) Capacity anagement Availability anagement IT Service Continuity anagement Information Security anagement Transition, Planning and Support (Project anagement) Change anagement Service Asset and Configuration anagement Asset Administrasjon av lisenser og lisensregnskap Asset og Configuration anagement til administrasjon av lisenser og lisensregnskap Release and Deployment anagement Service Validation and Testing Knowledge anagement Event anagement Incident anagement Request Fulfillment Problem anagement SIDE 2 av 36

3 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.22 Access anagement Continual Service Improvement (CSI) ens Service Desk SIDE 3 av 36

4 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 1 INNLEDNIN ilaget omhandler krav til IKT Service management med kvalitet som tilfredsstiller forretningsbehovet for Kunden. IKT Service management utøves av en ved å ha riktig sammensetning av mennesker, prosesser og informasjonsteknologi. 2 KRAV 2.1 Arkitektur Kunden har utarbeidet en overordnet arkitektur for de viktigste applikasjoner i SSA-D ilag 3 vedlegg 12 Referansearkitektur, og beskrevet arkitekturprinsipper i SSA-D ilag 3 vedlegg 10 Arkitekturprinsipper for Trondheim kommune og SSA-D ilag 3 vedlegg 09 - Sikkerhetsprinsipper for Trondheim kommune. Kunden har etablert et permanent arkitekturarbeid for å vedlikeholde og realisere målbildet og beskrivelser, samt kjøre fortløpende arkitekturprosesser i forbindelse med prosjekter og aktuelle problemstillinger. I arkitekturarbeidet ønsker Kunden å benytte TOAF 9-rammeverket, som Kunden håper kan bidra til å øke modenheten i virksomheten på dette området. Det vil være viktig at en kan støtte Kunden i en slik utvikling. eskrivelse av krav 1 en skal levere IKT-tjenester, løsninger og produkter som er i tråd med Kundens til enhver tid gjeldende styringsdokumenter innen IKT-området slik som IT-strategi og arkitekturdokumenter. 2 en skal bidra til realisering av Kundens målbilde for hovedarkitektur gjennom initiell leveranse. 3 en skal delta i Kundens arkitekturprogram med relevant kompetanse og bidra til utvikling av arkitekturarbeidet. ens skal beskrive hvilken kompetanse som tilbys Kunden i arkitekturarbeidet. 4 en skal stille i arkitekturråd/- forum sammen med Kundens andre leverandører på forespørsel. 5 en skal bidra med løsningsforslag i prosjekter slik at Kunden får realisert de til enhver tid eventuelt gjeldende arkitekturmålbildene. en skal beskrive sitt arkitekturarbeid. kode skal svare J/N/T om oppfylles eskrives i Priselement knyttet til (,) (J/N/T) (J/N) //O ilag skal beskrive sin oppfyllelse av SIDE 4 av 36

5 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.2 Overordnede bestemmelser 1 eskrivelse av krav en skal ha et rammeverk som sikrer at leveransen skjer som avtalt, og at samhandlingsprosesser og rutiner som er avtalt med Kunden, etterleves og forbedres en skal utarbeide en samhandlingsplan som er nødvendig for alle avtalte leveranser/tjenester i samarbeid med Kunden. kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag 2 Kunden har utarbeidet samhandlingsplaner med sine andre tjenesteleverandører. Samhandlingsplanene skal gjenbrukes ved utarbeidelse av avtalens samhandlingsplan. Samhandlingsplanen skal beskrive hvordan en og Kunden skal utføre Service management gjennom koordinering og kontroll på tvers av forskjellige prosesser, funksjoner og systemer. eskrivelser av prosesser og rutiner internt hos de ulike aktørene skal ikke være en del av samhandlingsplanen 3 en skal stille med ressurser slik at Kunde og kan dokumentere og forvalte hensiktsmessige samhandlingsprosesser og rutiner i grensesnittet mellom Kunden og en i henhold til Kundens maler Kunden benytter oogle som verktøy til samhandling, og Hangout skal benyttes for videomøter der partene finner dette hensiktsmessig 4 en skal bruke Kundens oogle tjenester (Team Disk) som felles samhandlingsportal for en og Kunden. en må selv sørge for de nødvendige oogle lisenser for sine prosjektmedarbeidere 5 en skal bemanne alle roller i samhandlingsprosessene med Kunden 6 skal stille med tekniske ressurser ved behov, som må samhandle med teknisk personell fra Kundens andre tjenesteleverandører, eksempelvis ved feilhåndtering og etablering av nye tjenester SIDE 5 av 36

6 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 7 en har ansvar for at tjenestene og leveransene til enhver tid leveres av kvalifisert personell som har kunnskap om Kundens og ens tjenesteleveranse og prosessamhandling 8 en skal samhandle med Kunden og Kundens andre tjenesteleverandører ved alle aktiviteter i IKT-tjenestenes livssyklus 9 en skal rapportere på alle prosesser etter avtale med Kunden og etter Kundens behov 10 en skal benytte Kundens maler og prosessmetodikk som til enhver tid benyttes for beskrivelse av samhandlingsprosessen, herunder mal for tjeneste 11 en skal benytte Kundens maler, slik som mal for tjenestekatalog og bestillingskatalog 12 en skal gi Kunden forutsigbarhet med tanke på konsekvenser av hendelser som inntreffer i avtaleperioden. Dette kan være med bakgrunn i endring av Kundens brukeradferd og organisasjon, med konsekvenser som endringer, utløp av lisenser/vedlikeholdsavtaler og kapasitetsplanlegging 13 en skal bidra ved konsekvensvurdering og risikovurdering ved design/endringer av tjenester, og bistå med både drifts-, design- og merkantil kompetanse. 14 en skal ved endringsanmodninger samhandle med, koordinere og kontrollere Kundens andre tjenesteleverandører gjennom hele endringens livssyklus 15 en er ansvarlig for å utarbeide, vedlikeholde og etterleve alle rutiner og retningslinjer, i samarbeid med Kunden 16 Det skal minst årlig og ved vesentlige endringer gjennomføres risiko- og sårbarhetsanalyse knyttet til alt som omfatter leveransen av tjenesten. Dersom tjenesteleveransen inkluderer bruk av underleverandører skal deres leveranser også inkluderes, eller egen risikoanalyse skal være gjennomført. Risikovurderingen skal som minimum identifisere kritiske aktiva, trusler og sårbarheter og resultere i en formell dokumentert risikoanalyse Risikovurderingen skal spesifikt identifisere komponenter og tjenester hvor Kunden deler eller samkjører SIDE 6 av 36

7 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement med andre kunder, og beskrive hvordan tilstrekkelig separasjon mellom Kunden og andre kunder er oppnådd Oppgi dato for siste risikoanalyse, og om utfører var intern eller ekstern Utestående tiltak som adresserer uakseptabel risiko skal dokumenteres og gjøres tilgjengelig for Kunden, uten ugrunnet opphold. en skal dokumentere og tilgjengeliggjøre risikoanalysene for Kunden. 2.3 Service Portfolio anagement Prosess som styrer administrasjon av tjenesteporteføljen. Prosessen sikrer vurdering av tjenester med tanke på hvilken forretningsverdi den gir. Porteføljen inneholder tjenester som leveres, er under utvikling/planlegging eller skal utfases. eskrivelse av krav kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av 1 Service Portfolio anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. (,) (J/N/T) (J/N) //O ilag SIDE 7 av 36

8 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.4 Demand anagement Prosessen innebærer analyse av aktivitetsmønstre for virksomheten og brukergrupper. Demand fungerer som en brobygger mellom strategisk nivå og Capacity anagement. eskrivelse av krav kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av 1 Demand anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. (,) (J/N/T) (J/N) //O ilag 2.5 Financial anagement Prosessen som styrer produksjon av fakturaunderlag og grunnlag for kompensasjon. Se for øvrig ilag 5 Tjenestenivå med standardiserte kompensasjoner og ilag 7 Pris og prisbestemmelser. 1 2 eskrivelse av krav Financial anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. en skal dokumentere og vedlikeholde rutine som skal sørge for et korrekt underlag til periodiske faktura (månedsfaktura) i samarbeid med Kunde kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag 3 en skal dokumentere og vedlikeholde rutine som skal sørge for at faktura på enkeltbestillinger er korrekt i samarbeid med Kunde 4 en skal ha ansvar for å forvalte en prosess for håndtering av prisavslag knyttet til SIDE 8 av 36

9 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement tjenesteleveransene. Prosessen har som hensikt å produsere et grunnlag for prisavslag 2.6 Service Catalogue anagement Prosessen styrer presentasjon og vedlikehold av tjenestekatalogen. eskrivelse av krav Service Catalogue anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. 1 en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal forvalte prosess for godkjenning av produkter på Kundens gjeldende e-handelssystem 3 en skal presentere og vedlikeholde informasjon om bestillbare produkter og tjenester i bestillingskatalogen. Katalogen inneholder produkter og tjenester fra alle Kundens tjenesteleverandører 4 en skal vedlikeholde og tilgjengeliggjøre informasjon om bestillbare produkter og tjenester. Retningslinjer utarbeides i samarbeid med Kunde. 5 en skal i samarbeid med Kunden bli enige om innhold i produktkatalogen 6 en skal utarbeide produktbeskrivelser i produktkatalogen som gir god beslutningsstøtte for bruker. Kunden godkjenner produktbeskrivelsene der det er behov for dette 7 en skal via webgrensesnitt gi Kunden oversikt over blant annet bestillinger, statistikk, trender, avvik i forhold til avtalte rutiner og forslag til forbedringstiltak kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 9 av 36

10 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.7 Service Level anagement (SL) Prosessen styrer oppfølging og rapportering på levert tjenestenivå. Den styrer også avtaleendringer, regelmessige kvalitetsgjennomganger og identifiserer nødvendige forbedringstiltak. eskrivelse av krav kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag 1 Service Level anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal samhandle med Kunden på operativt nivå i oppfølging av tjenesteleveransene 3 en skal samhandle med Kunden på taktisk nivå (avtalen) i oppfølging av tjenesteleveransene 4 en skal tilgjengeliggjøre tjenestemålinger og gjennomføring av leveranser og tjenester med tilhørende datagrunnlag fra alle tjenestemålinger. Rapporten skal tilgjengeliggjøres via web for Kunden og rapporteres akkumulert i tjenesterapport i månedlig tjenesterapporteringsmøte. Det skal benyttes en egen mal for tjenesterapportering SLA Tjenesterapportering. al og periode avtales og utarbeides i samarbeid med Kunde. 5 en skal forvalte prosess for håndtering av nye, endrede og utfasing av tjenester 6 en skal motta, registrere og kategorisere endringsanmodningene etter retningslinjer utarbeidet i samarbeid med Kunden 7 en skal forvalte oversikt over alle endringsanmodninger, fra endringsanmodning til ny tjeneste er levert, samt avslåtte endringsanmodninger Oversikten skal gi informasjon om endringsanmodningenes status med hensyn til fremdrift (endringsanmodning - endringsoverslag - endringsordre) og ferdigstillingstidspunkt 8 en skal utarbeide endringsoverslag som inneholder oversikt over risiko- og endringskonsekvenser, samt når endringen kan SIDE 10 av 36

11 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement implementeres. Av risiko- og endringskonsekvenser nevnes installasjon- og gjennomføringsplan risiko ressurstilgang konsekvens for sikkerhet og kontinuitet behov for avtaleendringer lisensiering kostnader Oversikt må også inkludere informasjon om endringens livssyklus slik som hvem har forespurt endringen bakgrunn relasjoner 9 en har ved behov ansvar for også å innhente opplysninger fra Kundens andre tjenesteleverandører slik at risiko- og endringskonsekvenser blir synliggjort for Kunden. en skal ved behovsopptak fra prosessene utarbeide endringsanmodninger med endringsoverslag som Kunden skal godkjenne 2.8 Capacity anagement Prosessen styrer at IKT-tjenester og tilhørende infrastruktur har kapasitet god nok til å levere definerte mål for tjenestenivå til rett tid og på en kostnadseffektiv måte. Kapasitetsstyring vurderer samtlige ressurser som er nødvendige for å kunne levere IKT-tjenester, samt virksomhetens nåværende og fremtidige kapasitets- og ytelsesbehov. eskrivelse av krav 1 Capacity anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal overvåke kapasiteten på IKT-tjenester og infrastruktur i drift, rapportere på utvikling av kapasitet og foreslå tiltak for å håndtere endringer i kapasitetsbehov 3 en skal samhandle med Kunden og Kundens andre tjenesteleverandører med fokus på konsekvenser ved kapasitetsendringer kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 11 av 36

12 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement som påvirker Kundens andre tjenesteleveranser 4 en skal levere kapasitetsstyring på virksomhetsnivå, tjenestenivå og komponentnivå 5 en skal samhandle i en overordnet prosess for Capacity anagement 2.9 Availability anagement Prosessen definerer, analyserer, planlegger, måler og forbedrer samtlige aspekter av IKT-tjenesters tilgjengelighet. Availability anagement er ansvarlig for å sikre at all IKT-infrastruktur, prosesser, verktøy, roller etc. er passende for de avtalte mål for tjenestenivå. eskrivelse av krav kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av 1 Availability anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. (,) (J/N/T) (J/N) //O ilag en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. SIDE 12 av 36

13 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.10 IT Service Continuity anagement Prosessen styrer håndtering av risiko som kan ha alvorlig innvirkning på IKT-tjenestene. Kontinuitetsstyring av IKT-tjenester skal sikre at en alltid er i stand til å tilby det avtalte minimum av tjenestenivå ved å redusere risiko til et akseptabelt nivå samt legge planer for gjenoppretting av IKT-tjenestene. eskrivelse av krav 1 IT Service Continuity anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal utarbeide, tilgjengeliggjøre og vedlikeholde kontinuitets- og beredskapsplaner for alle tjenester som leveres. en skal forestå nødvendig koordinering med Kunden, og Kundens øvrige tjenesteleverandører. 3 en skal ha ansvar for at alle leveranser er vurdert med tanke på kritikalitet 4 en skal håndtere risiko som kan ha alvorlig innvirkning på tjenestene 5 en skal ha automatiske målinger som understøtter driftsstabilitet og rapportering av driftsstatus 6 en skal registrere hendelser som er en trussel for eller har påvirket kontinuitet i tjenestene og gjøre disse tilgjengelig for Kunden via web 7 en skal gjennomføre risikovurderinger før endringer som kan påvirke kontinuitet i tjenestene 8 en skal gjennomføre risikovurderinger etter hendelser som har påvirket kontinuitet i tjenestene 9 en skal delta i Kundens risikovurderinger med relevant teknisk kompetanse 10 en skal sikre kontinuitetsplanen mot uautorisert tilgang 11 en skal bistå Kunden med å gjennomføre revisjoner for å forbedre kontinuitet i tjenestene 12 en skal informere Kunden om resultat og plan fra ens egne CSI revideringer knyttet til kontinuitet kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 13 av 36

14 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 13 en skal bidra i Kundens kontinuitets- beredskapsplanlegging, og delta i Kundens øvelser og krisehåndtering. en skal delta i øvelser med, og koordinere med Kunden og Kundens andre tjenesteleverandører ved håndtering av, og test av rutiner for beredskapshendelser 14 en skal holde kontinuitets- og beredskapsplan løpende oppdatert ved endringer og gjennom regelmessig test og øvelse. jenopprettingsprosedyrer skal oppdateres ved alle endringer som har betydning for gjenoppretting ved driftsstans. et kan dekkes ved installasjon i Kundens driftsmiljø, eller ved dokumentert etterlevelse av i eksternt driftsmiljø/skytjeneste. 15 en skal på forespørsel delta i øvelser for å verifisere at nødvendige prosesser og prosedyrer fungerer i en krisesituasjon 16 en skal koordinere med Kunden og Kundens andre tjenesteleverandører ved håndtering av beredskapshendelser SIDE 14 av 36

15 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.11 Information Security anagement eskrivelse av krav 1 Information Security anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 Roller og ansvarsfordeling for informasjonssikkerhet skal være klart definert i ens organisasjon og skal involvere alle som utfører arbeid i forbindelse med leveranse av tjenesten. Prosessen styrer sikring av konfidensialitet, integritet og tilgjengelighet til Kundens eiendeler, informasjon, data og IKTtjenester. kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag Følgende skal som minimum være definert og dokumentert: Ansvar for å fungere som ens sikkerhetsansvarlig mot Kunden Ansvar for å etablere, dokumentere og distribuere sikkerhetspolicyer og prosedyrer Ansvar for å monitorere og analysere sikkerhetsvarsel og informasjon, og fordele til riktig personell Ansvar for å etablere, dokumentere og distribuere respons- og eskaleringsprosedyrer for sikkerhetshendelser Ansvar for å administrere brukerkontoer under leverandørens kontroll, inkludert opprettelse, sletting og modifisering Ansvar for å monitorere og kontrollere sikkerhetslogger i henhold til avtalens krav til sikkerhetslogging 3 en skal innen 12 måneder etter kontraktsinngåelse ha et styringssystem for informasjonssikkerhet basert på ISO/IEC eller tilsvarende anerkjent standard for informasjonssikkerhet. Styringssystemet skal dekke alle organisasjonsenheter og fysiske lokasjoner som inngår i leveranseprosessen, og skal sertifiseres eller godkjennes av uavhengig tredjepart. SIDE 15 av 36

16 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement Oppdatert beskrivelse av kvalitetssikrings- og styringssystemet skal til enhver tid være tilgjengelig for Kunden. 4 Det skal fremgå av styringssystemet for informasjonssikkerhet hvordan sikkerhets- og prosesskrav i lov og forskrift om behandling av personopplysninger og annet relevant regelverk tilfredsstilles. Tjenesten skal tilfredsstille krav til behandling av sensitive personopplysninger iht. Personopplysningsloven og Personopplysningsforskriften. en skal ha et aktivt forhold til endringer i regulative forhold, og tilpasse tjenesten til endringer i lov og forskrift som berører Kunden. 5 en skal iverksette egnede tekniske og organisatoriske sikkerhetstiltak for å kunne håndtere de opplysninger Kunden har beskrevet at tjenesten skal behandle. Tiltakene skal gi et sikkerhetsnivå som står i forhold til risikoen for Kunden og som følger etablert beste praksis på området. 6 Ved avvik på personopplysningsforskriftens 2-6 (uautorisert utlevering av personopplysninger) skal dette meldes umiddelbart av en til Kunden 7 en skal ikke overlate personopplysninger til andre for lagring eller bearbeidelse uten etter avtale med Kunden 8 en skal melde forespørsler om innsyn i henhold til Personopplysningsloven, til Kunden 9 Alle sikkerhetshendelser og feil skal spores i ens system for hendelseshåndtering og kategoriseres i henhold til kritikalitet 10 en skal ha dokumenterte prosesser og en plan for deteksjon og håndtering av sikkerhetsbrudd. Det skal eksistere dokumenterte tiltaksplaner for alle relevante sikkerhetshendelser som tjenestenektangrep, systeminntrengning, virusutbrudd, uautorisert utprøving av sårbarheter, tap og eksponering av personopplysninger mv. Plan for håndtering av sikkerhetshendelser skal minimum omfatte: Roller, ansvar og informasjonsrutiner Spesifikke rutiner for håndtering av hendelser Planer for gjenoppretting og kontinuitet Prosesser for backup av data Rutiner for varsling av Kunden og eskalering Rapportering av sikkerhetsbrudd Dekning og respons for alle kritiske systemkomponenter Samhandling med Kunde og Kundens andre tjenesteleverandører SIDE 16 av 36

17 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement Samhandling med eksterne sikkerhetsmiljø, som JustisCSIRT og NS Norcert 11 en skal ha dokumenterte rutiner for dokumentasjon og rapportering av sikkerhetsrelaterte hendelser 12 Plan for håndtering av sikkerhetshendelser skal testes årlig. Testingen skal inkludere kommunikasjon med Kunden, og resultat fra testingen skal gjøres tilgjengelig for Kunden 13 en skal bistå med relevant kompetanse ved tilsyn fra offentlige tilsynsmyndigheter 14 en skal bistå etterforskende myndighet, når Kunden som databehandleransvarlig beslutter at dette er i tråd med de lover og forskriftsmessige føringer Kunden opererer under 15 en er ansvarlig for å rette alle feil og sikkerhetshendelser som har oppstått som konsekvens av feil eller mangler i sikkerhetsoppdateringer og sikkerhetsmekanismer under leverandørens kontroll 16 en må samarbeide med Kunden og Kundens andre tjenesteleverandører og kontaktnett (CERT-organisasjoner mv.) og oppdatere sikkerhetsløsningene basert på informasjon fra disse (nettverkssperrer, angrepsindikatorer mv.) 17 en skal rapportere status og endring i risiko, trusler og sårbarheter månedlig og på forespørsel, herunder: Sikkerhetshendelser siste periode Alvorlige hendelser varslet gjennom IDS/IPS, antivirus og andre sikkerhetsløsninger Sikkerhetshendelser registrert i ens Service Desk Alvorlige brudd på tilgjengelighet Avtalte risikovurderinger og oppfølging av tiltak Resultat fra sårbarhetsskanning og utestående sikkerhetspatcher Resultat fra beredskapstester Resultat fra sikkerhetsrevisjoner Forslag til forbedringer i sikkerheten i tjenesteleveransen 18 en skal delta med sikkerhetsansvarlig og andre relevante ressurser i Kundens sikkerhetsforum mellom Kunden og Kundens leverandører 19 en skal legge frem sin sikkerhetspolicy for Kunden og informere Kunden om vedtatte endringer i sikkerhetspolicyen 20 ens sikkerhetspolicy skal omfatte hele verdikjeden for tjenesteleveransen for Kunden 21 Det skal finnes etablerte prosesser for jevnlig revisjon og oppdatering av sikkerhetspolicyen, minimum årlig og ved vesentlige endringer SIDE 17 av 36

18 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 22 en skal dokumentere sin etterlevelse av sikkerhetskravene i avtalen gjennom revisjon. Revisjonen skal minimum skje årlig og i tillegg ved signifikante endringer av sikkerhetsregimet 23 en skal tilgjengeliggjøre avvik som avdekkes ved intern eller ekstern revisjon for kunden uten ugrunnet opphold. Avvik skal tilgjengeliggjøres for Kunden også om dette berører forhold knyttet til felles infrastruktur som berører andre kunder 24 Kunden, eller tredjepart utpekt av Kunden kan gjennomføre sikkerhetsrevisjoner knyttet til alle sider av driftsavtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. en plikter å gi nødvendig bistand til dette. 25 Kunden eller tredjepart utpekt av Kunden skal ha rett til å gjennomføre sikkerhetstester hos leverandøren og implementere egne overvåkningsverktøy og skanningverktøy på driftsløsningen så lenge dette ikke innebærer unødig risiko eller uforholdsmessig påvirker løsningens kapasitet SIDE 18 av 36

19 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.12 Transition, Planning and Support (Project anagement) eskrivelse av krav 1 Transition, Planning and Support skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal planlegge alle prosesser for tjenesteoverganger (prosessene er Change anagement, Service Asset and Configuration anagement, Release and Deployment anagement, Service Validation and Testing, og Knowledge anagement) ved endring av en tjeneste eller en konfigurasjonsenhet 3 en skal koordinere nødvendige ressurser ved gjennomføring av Service Transition-fasen 4 en skal identifisere, styre og kontrollere risiko gjennom hele Service Transition-fasen 5 en skal overvåke ytelsen i Service Transition-fasen, og benytte dataene til kontinuerlig forbedring kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 19 av 36

20 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.13 Change anagement en har ansvar for Change anagement for endringer relatert til avtalen. Prosessen har til hensikt å kontrollere endringers livssyklus slik at endringen gjennomføres uten at IKT-tjenesten avbrytes. Prosessen omfatter alle endringer initiert av Kunden eller av en, herunder også endringer på prosesser og organisasjonsendringer. Figuren under viser livsløpet til endringer og på hvilke tidspunkt de ulike CA-ene skal gjennomføres. eskrivelse av krav 1 Change anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal ved behov i de tilfeller Kunden eller Kundens andre kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 20 av 36

21 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement tjenesteleverandører avholder endringsråd (CA), stille med relevant ressurs 2 en skal gjøre all nødvendig dokumentasjon tilgjengelig for CAmedlemmene 3 Kundens Change anager og representant for Kundens Service Desk skal delta i alle CA. Kundens andre leverandører og Kundens ansvarlige for IKT-tjenesten skal innkalles etter behov 4 en skal utarbeide varsel og informasjon knyttet til endringer som sendes Kunden/Kundens Service Desk for godkjenning før dette gjøres tilgjengelig for brukerne 5 Kunden skal godkjenne alle endringer før de produksjonssettes. Endringer i tilganger, systemkontoer, brannmuråpninger eller andre komponenter som er relevant for sikkerheten skal godkjennes av sikkerhetsansvarlig hos Kunde og. 6 en skal definere standardendringer i samhandling med Kunden, slik at prosessen blir så effektiv som mulig og bidra til at flest mulige endringer defineres som standardendringer 7 en skal utarbeide og forvalte kategorier for typer av endringer i samhandling med Kunden og angi forventet implementeringstid for de ulike typene endringer 8 Hasteendringer skal benyttes i de tilfeller der det er strengt nødvendig for å unngå eller løse en kritisk feil, eller fjerne et potensielt sikkerhetsproblem 9 Hasteendringer (Emergency Changes) skal varsles som ordinært planlagt arbeid, men uten varslingsfristen. Hasteendringer skal så langt som mulig utføres i angitte tidspunkter for vedlikeholdsvindu og fortrinnsvis på gunstigste tidspunkt for Kunden 10 Hasteendringer skal utføres så fort som mulig for å løse en ajor Incident eller implementere en sikkerhetspatch. Hasteendringer skal varsles brukerne øyeblikkelig via Kundens Service Desk. 11 en skal gi Kunden og Kundens Service Desk tilgang, via web, til informasjon om endring som meldes inn til CA, slik som forventet behandlingstid, ansvarlig behandler, status, estimert og godkjent tidspunkt for gjennomføring, dokumentasjon av endringen og lignende. 12 en skal gi Kunden tilgang til månedsoversikter som viser slik som antall endringer, antall avvik på endringer med årsak og forbedringstiltak og lignende. 13 en skal ha overordnet ansvar for CA for test. CA for test skal sikre at det er utarbeidet testplaner, informasjon, organisering og ressurser er avklart og lignende. SIDE 21 av 36

22 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 14 en skal ha overordnet ansvar for CA for driftssetting. CA for drift skal sikre at endringen gjennomføres som planlagt og med minst mulig påvirkning på tjenesteleveransen eller leveranseavvik i forhold til tjenesteavtale samt sikre at Service Desk har underlag til introduksjon, veiledning, brukerstøtte ved gjennomføring av planlagte endringer innen områder Service Desk har brukerstøtte på. 15 en skal gi Kundens Service Desk underlag til introduksjon, veiledning og brukerstøtte ved gjennomføring av planlagte endringer 16 en skal samhandle med Kundens Service Desk om innholdet i informasjon/varslinger om endringer på tjenester 17 en har ansvar for å utarbeide, vedlikeholde og forvalte endringskalender med et årshjul for faste endringer og perioder med endringsbegrensninger, med perspektiv på et år av gangen i samhandling med Kunden 18 en har ansvar for å bidra i utarbeiding og forvaltning av Kundens endringskalender med et årshjul for faste endringer og perioder med endringsbegrensninger, i samhandling med Kunden og Kundens andre tjenesteleverandør 19 en skal utarbeide og vedlikeholde plan for kommende endringer med perspektiv på avtalt frekvens i samhandling med Kunden 2.14 Service Asset and Configuration anagement Prosess som styrer at alle eiendeler som er nødvendige for å levere en tjeneste er underlagt kontroll, og at nøyaktig og pålitelig informasjon om disse er tilgjengelig når og hvor det er nødvendig. Informasjonen omfatter detaljer for hvordan eiendelene er konfigurert, og avhengighetene mellom disse Asset Asset anagement er prosessen som er ansvarlig for å spore og rapportere verdien av og eierskapet til økonomiske midler gjennom deres livssyklus. Asset anagement er en del av en samlet prosess for tjenesteeiendels- og konfigurasjonsprosessen Administrasjon av lisenser og lisensregnskap Det er av stor økonomisk betydning at antall lisenser som er distribuert stemmer overens med de avtaler som er inngått. Det er også av stor betydning at Kunden får rådgivning i valg av lisenser som gir økonomisk gevinst. en har ansvaret for å etablere og forvalte en prosess som håndterer livssyklusen for lisenser en er ansvarlig for. en har ansvar for å rapportere om Kundens lisensforbruk ved revisjon for de lisenser en er ansvarlig for Asset og Configuration anagement SIDE 22 av 36

23 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement eskrivelse av krav 1 Asset and Configuration anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en har ansvar for å identifisere konfigurasjonsenheter med tilhørende relasjoner som er nødvendig for å styre og kontrollere tjenester som leveres 3 en skal identifisere, opprette og vedlikeholde informasjon om konfigurasjonsenheter som Kunden eier eller leier gjennom hele livssyklusen (historikk) innenfor tjenesteområdet i en Asset base 4 en skal definere hvilke utstyr/komponenter og relasjoner mellom disse som skal registreres i ens CD i samarbeid med Kunden 5 en skal vedlikeholde informasjon om avtalte konfigurasjonsenheter som denne leveransen er avhengig av. Relasjoner mellom konfigurasjonsenhetene er en del av denne informasjonen. 6 en skal registrere alle konfigurasjonsenheter og dens attributter automatisk gjennom SoftWare og dware agenter for å sikre riktig informasjon. 7 en skal gi tilgang for Kunden til alle registrerte midler, konfigurasjonsenheter, relasjoner og deres endringslogger og historikk via web. Kunden skal ha mulighet også til å lage egne rapporter. en skal gi opplæring og brukerstøtte. 8 en skal sørge for å etablere nødvendige styringsrapporter og konfigurasjonsenhetsrapporter for Kunden slik at kontroll kan utøves. Rapportene skal være underlag ved endringer knyttet til tjenester og lignende. 9 en har ansvar for å gjennomføre regelmessig sjekk på status av CD mot installerte systemer, foreta konfigurasjonsrevisjoner, overvåke unntak og gjennomføre forbedringer 10 en skal avgi informasjon om konfigurasjonsenheter, relasjoner og midler til Kundens Service Desk 11 en skal integrere assetinformasjon (applikasjoner, servere, databaser etc) med kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 23 av 36

24 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement Kundens Service Desk sitt støtteverktøy 12 en skal oppdatere CD med sikkerhetsklassifisering av komponenter og relevante relasjoner mellom konfigurasjonsenheter og driftsdokumentasjon. Oversikten skal gjøre det mulig å knytte sikkerhetshendelser og historikk for disse opp mot systemkomponentene. 13 Configuration anagement skal gi underlag til alle Kundens prosesser 14 Informasjon om Kundens konfigurasjonsenheter, og eventuelt relasjoner og historikk som registreres i Asset base, CD og for Lisensadministrasjon, eies av Kunden til administrasjon av lisenser og lisensregnskap Kunden håndterer selv SA (Software Asset angement) funksjonen, som innbefatter oversikt over lisenser og bruken av disse. Kunden benytter Snow Software som verktøy for å detektere programvareinstallasjoner og holde oversikt over alle lisensavtaler og lisenser. Det vil være et krav om installasjon av Snow klient på alle servere og PC-er som benyttes i produksjonen mot Kunde. Det kan gjøres unntak fra dette der har det totale ansvaret for lisensiering av maskinvare. Driftsleverandør vil ha et ansvar for å avgi informasjon som er nødvendig som underlag i en lisenstelling. eskrivelse av krav 1 en har ansvar for at Kunden er lovlig og riktig lisensiert til enhver tid innenfor tjenesteområdet 2 en skal sørge for å installere Kundens Software Asset anagement klient (for tiden Snow) for detektering av installert programvare på all maskinvare som benyttes i produksjonen mot Kunde. kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag 3 Alle endringer skal godkjennes av Kundens Software Asset anager før løsning blir etablert 4 en skal motta informasjon fra Kundens tjenesteleverandører som gir underlag for lisenstelling. Eksempel her kan være antall PC-er, antall brukere og lignende 5 en skal avgi informasjon til Kundens tjenesteleverandører som gir underlag til lisenstelling. Eksempel her kan være antall brukere og lignende SIDE 24 av 36

25 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 6 en har ansvar for å fjerne tilganger og programvareinstallasjoner når avvik avdekkes, eksempelvis applikasjoner som benyttes uten gyldig lisens. Oppgaven skal utføres etter godkjenning fra Kunden. 7 en skal legge til rette for og avgi informasjon ved gjennomføring av lisensrevisjon 8 en skal gi råd i valg av lisenser slik at disse gir økonomisk gevinst for Kunden 9 en har ansvar for å synliggjøre lisenskonsekvenser ved den løsningen en tilbyr for Kundens applikasjoner/tjenester. Dette kan være kostnader knyttet til serverlisenser, valg av terminalservere og lignende SIDE 25 av 36

26 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.15 Release and Deployment anagement Prosessen styrer leveransehåndtering og produksjonssetting. eskrivelse av krav 1 Release and Deployment anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal ha prosedyrer for å rulle ut ny eller endret maskinvare, programvare, dokumentasjon, prosesser og lignende 3 en skal før produksjonssetting av alle endringer, gjennomføre risikovurderinger. kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag Risikovurderingene skal omfatte både gjennomføringsrisiko og forhold som påvirker sikkerheten i løsningen. Hvis leverandøren oppdager forhold ved en planlagt endring som påvirker sikkerheten for løsningen skal dette varsles Kunden umiddelbart. 4 en skal gi Kundens Service Desk underlag til introduksjon, veiledning og brukerstøtte ved gjennomføring av planlagte endringer 5 en skal samhandle med Kundens Service Desk om innholdet i informasjon/varslinger om endringer på tjenester 2.16 Service Validation and Testing Prosessen styrer validering og testing av ny eller endret IKT-tjeneste. Prosessen sikrer at IKT-tjenesten stemmer overens med tjenestens designspesifikasjon og at den imøtekommer forretningssidens behov. eskrivelse av krav kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av SIDE 26 av 36

27 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 1 Service Validation and Testing skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal ha prosedyrer for validering som sikrer at en ny eller endret IKT-tjeneste, prosess, plan eller annen leveranse møter Kundens krav. Validering skal sikre at Kundens krav møtes selv om disse kan være endret siden det opprinnelige designet 3 en skal ha prosedyrer som verifiserer at en konfigurasjonsenhet, IKTtjeneste, prosess eller tilsvarende tilfredsstiller spesifikasjon av krav 4 en skal sikre at alle risikoer er håndtert og bistå i avgjørelsen om hvorvidt man bør fortsette med endringen eller ikke 5 en skal utforme test- og godkjenningsprosedyrer i samarbeid med Kunden 6 en skal planlegge, koordinere og dokumentere Kundens akseptansetester. Akseptansetester gjennomføres der det er formålstjenlig og etter avtale med Kunden. 7 en skal stille med egen ressurs som testansvarlig som møter Kunden 8 en skal gi tilgang til testverktøy via web for Kunden og Kundens andre leverandører når test gjennomføres 9 en skal dokumentere alle tester slik at disse gjenbrukes hver gang løsningen eller tjenesten endres 10 en skal teste avtalte responstider som berører endringen før endringen settes i produksjon (,) (J/N/T) (J/N) //O ilag SIDE 27 av 36

28 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.17 Knowledge anagement Prosessen styrer innsamling, lagring og deling av informasjon innen organisasjonen. Det primære målet for Knowledge anagement er å øke evnen til å nå målet ved å redusere behov for gjenoppdagelse av kunnskap. eskrivelse av krav 1 Knowledge anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en har ansvar for å samle og dokumentere kunnskap på en strukturert måte slik at man reduserer behovet for gjenoppdagelse av kunnskap. Relevant informasjon skal avgis til Kundens Service desk kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag 2.18 Event anagement Prosessen håndterer automatisk varslede hendelser gjennom hele deres livssyklus. Prosessen er en av IT-drifts hovedaktiviteter. eskrivelse av krav kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av 1 Event anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal håndtere Eventen gjennom hele dens livssyklus. 3 en skal kategorisere hvilke Eventer som defineres som Incident. (,) (J/N/T) (J/N) //O ilag SIDE 28 av 36

29 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.19 Incident anagement Prosessen styrer livssyklusen til alle hendelsene. Det primære målet med hendelsesstyringen er å gjenopprette tilgangen til IKT-tjenester for brukerne så raskt som mulig. eskrivelse av krav 1 Incident anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal håndtere livssyklusen til alle Incidenter slik at IKT-tjenestene gjenopprettes til avtalt tjenestenivå så raskt som mulig 3 en skal integrere sitt støtteverktøy for Incident anagement med Kundens Service Desk sitt verktøy 4 en skal motta Incident tildelt av Kundens Service Desk uten tidsforsinkelse 5 en skal gi tilgang til informasjon om Incidenter for Kundens Service Desk, slik som saksnummer, forventet løsningstid og status og informer Kundens Service Desk straks saken er løst 6 en skal registrere statusinformasjon om hver Incident i hele Incidentens livsløp 7 en skal registrere informasjon om status, videre fremdrift og forventet løsningstid på Incidenter når avtalt løsningstid er passert 8 en skal registrere årsak og løsning på Incidenten og lukke Incidenten 9 en skal definere kategorier for årsak og løsning for Incidenter 10 en skal dokumentere kjente feil og workarounds og informere Kundens Service Desk om løsning av disse 11 en skal gi tilgang til informasjon om Incidenter for Kundens Service Desk, slik som saksnummer, forventet løsningstid og status og informer Kundens Service Desk straks saken er løst 12 en skal gi brukere, enhetsledere, IT-tjenesten, kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 29 av 36

30 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement tjenesteforvaltere og Kundens IT-personell tilgang til informasjon om sine Incidenter, slik som saksnummer, forventet løsningstid, status og lignende. 13 en skal gi Kunden tilgang til Incident- og ajor Incident-rapporter via web 14 en skal gi Kunden tilgang til oversikter over behandlede ajor Incidenter. Oversikten skal minst inneholde tidspunkt for når Incidenten oppsto, klassifisering av Incidenten i forhold til risiko, behandlingsløp, årsak og forslag til tiltak 15 en skal varsle Kunden ved Incidents og ajor Incidents som berører Kundens brukere. Retningslinjer utarbeides i samarbeid med Kunden 16 en skal forebygge feil som kan knyttes til leveransen og tjenestene 17 en skal proaktivt rette kjente feil og mangler før eventuelle Incidents oppstår 18 en skal samhandle kontinuerlig med Kundens Service Desk i forbedringsarbeid knyttet til håndtering av Incidenter 19 en skal koordinere involverte parter for å få løst Incidenten der en har hovedansvar for Incidenten knyttet til tjenesteleveransen 20 en skal foreta en administrativ eskalering av Incident og Problemsaker dersom en ikke har en løsning på Incidenten og Problemsaken innen avtalt tid 2.20 Request Fulfillment eskrivelse av krav 1 Request Fulfillment skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 30 av 36

31 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2 en skal integrere sitt støtteverktøy for Request Fulfillment med Kundens Service Desk sitt verktøy for mottak av bestilling og informasjonsflyt gjennom bestillingens livssyklus 2.21 Problem anagement Prosessen styrer alle aktiviteter gjennom hele livssyklusen til et problem. Prosessen sitt primære mål er å forhindre hendelser i å gjenoppstå samt å minimere konsekvensene av hendelser som ikke kan forhindres. Problemløsning sikrer at livssyklusen til alle problemsaker håndteres. Forekomst av hendelser forhindres og effekten av hendelser som ikke kan forhindres minimeres. Det kan være flere parter involvert i behandling av en problemsak, slik som Kundens IT-personell og andre tjenesteleverandører. I enkelte situasjoner vil det være uavklart hvilken leverandør som har ansvar for behandling av Problemsaken. eskrivelse av krav 1 Problem anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 en skal forhindre forekomst av Incidenter og Problemsaker og minimere effekten av Incidenter og Problemsaker som ikke kan forhindres 3 en skal koordinere involverte parter for å få løst problemsaken 4 Kunden og Kundens Service Desk skal ha mulighet til å opprette Problem-saker 5 en skal integrere sitt støtteverktøy for Problem anagement med Kundens Service Desk sitt verktøy 6 en skal gi Kundens Service Desk og Kunden tilgang til informasjon under hele livssyklusen for Problemsaken, slik som saksnummer, forventet løsningstid og status og informere disse straks Problemsaken er løst 7 en skal gi tilgang til oversikter via web over Problemsaker med tiltak fortløpende. Oversikten skal vise tiltak for å hindre og redusere forekomsten av Incidenter. kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 31 av 36

32 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement 2.22 Access anagement Prosessen styrer at brukere får tilgang til IKT-tjenester, data eller andre ressurser. Tilgangsstyring bidrar til å beskytte konfidensialitet, integritet og tilgjengelighet. til Drift og forvaltning eskrivelse av krav 1 Access anagement skal utføres i henhold til ITIL, eller tilsvarende rammeverk. en skal beskrive sin prosess slik de skal fungere i praksis. rensesnitt mellom og Kunden må være en del av beskrivelsen. 2 Tildeling av rettigheter skal være dokumentert og utført av autorisert personell. 3 en skal definere nødvendige tilgangsrettigheter for ulike roller, og tildele rettigheter iht. minste nødvendige sett rettigheter for å utføre pålagte oppgaver (least privilege-prinsippet og rollebasert administrasjon) 4 en er ansvarlig for at bare de av Kundens brukere som skal ha tilgang til avtalte kundespesifikke applikasjoner og tjenester får dette 5 en skal beskytte dataenes konfidensialitet, integritet og tilgjengelighet ved å sikre at kun autoriserte brukere har tilgang til eller rettigheter til å endre ressurser 6 en skal ha rutine for ajourhold av autorisasjon og tilganger, herunder tilbaketrekking av autorisasjon og tilganger når en person fratrer driftsoppgaver knyttet til løsningene. en skal tilgjengeliggjøre en oversikt over hvilke brukere som har tilgang til spesifikke tjenester 7 en skal til enhver tid holde antall personer som har tilganger for kommunikasjons- og driftsadministrasjon på et minimum 8 skal ha dokumentert oversikt over personell som har driftsmessig/administrativ tilgang til Kundes system, og deres rettigheter. Ved hvert kvartal og ved store endringer skal oversikten gjøres tilgjengelig for Kunden 9 en skal sikre tilgang til interne nettverkskomponenter 10 en skal gi enhetsleder tilgang til informasjon om enhetens brukere og deres kode skal svare J/N/T om oppfylles eskrives i skal beskrive sin oppfyllelse av (,) (J/N/T) (J/N) //O ilag SIDE 32 av 36

33 SSA-D ilag 1 Kundens kravspesifikasjon Service anagement tilganger via selvbetjening 11 skal ha dokumentert oversikt over personell som har driftsmessig/administrativ tilgang til Kundes system, og deres rettigheter. Ved hvert kvartal og ved store endringer skal oversikten gjøres tilgjengelig for Kunden 12 en skal sikre at all administrasjon av løsningen skjer med unike personlige bruker-ider så langt dette er mulig. Herunder også bruker-id-er som benyttes av tredjeparter 13 For systemer som ikke støtter personlige brukerkontoer og for system/applikasjonskontoer skal en ha mekanismer som sikrer at kun autorisert personell har tilgang til passord ved behov og at tilgang kan spores til enkeltbruker, eksempelvis ved hjelp av innsjekk/utsjekk av passord. en skal vedlikeholde en oppdatert oversikt over gyldige system- og applikasjonskontoer og deres rettigheter. 14 en skal sikre bruker-ider benyttet av tredjeparter for tilgang, support og vedlikehold via fjerntilgang slik at disse er: Tilgjengelig kun i nødvendig tidsperiode Overvåket når de er i bruk. 15 All fjerntilgang til driftsløsningen over internett skal beskyttes med sterk autentisering 16 en skal sikre at alle administrative brukerkontoer og system/applikasjonskontoer er underlagt en dokumentert passordpolicy som sikrer at: De har en forsvarlig lengde og kompleksitet yttes iht. en regelmessig frekvens Ikke kan gjenbrukes Passordpolicy for system/applikasjonskontoer og kontoer med administrative rettigheter i løsningen skal godkjennes av Kunden. 17 en skal ha standarder for nettverkssikkerhet som omfatter: En formell prosess for å godkjenne og teste alle endringer i brannmur- og nettverkskonfigurasjon Oppdatert nettverksdiagram som identifiserer alle forbindelser mellom nettverkssoner, trådløse soner, eksterne nettverk. rupper, roller og ansvar for nettverkskomponenter Dokumentasjon av begrunnelse for alle tjenester, protokoller og porter som er åpne. et kan dekkes ved installasjon i Kundens driftsmiljø, eller ved dokumentert etterlevelse av i eksternt driftsmiljø/skytjeneste. 18 en skal sikre at eventuelle brannmur- og ruterkonfigurasjoner som benyttes i driftsløsningen: SIDE 33 av 36