Bilag 6 - Administrative bestemmelser

Transkript

1 Bilag 6 - Administrative bestemmelser

2 Versjonshåndtering Versjon Dato Initiert av Endringsårsak Difi Dokument distribuert til tilbydere Difi Endret til ny versjon uten endringer i innholdet Difi Endret punkt 4.6 om endringsråd fra beslutningsforum til å gi råd <Tilbyders navn> 2 / 26

3 Veiledning til Leverandørens utfylling av bilaget og underliggende vedlegg Avtaleteksten angir en rekke punkter angående samarbeid mellom partene. Leverandøren skal i sitt tilbud gjennomgå, endre og komplettere dette bilaget og tilhørende vedlegg. Dersom Leverandøren har ønske om å supplere eller endre beskrivelsen eller reguleringene i dette bilaget og underliggende vedlegg, skal dette klart fremgå av besvarelsen. Endringer eller endret tekst skal merkes særskilt med RØD skriftfarge. Forslag til slettinger skal markeres med RØD skriftfarge og gjennomstrekningsfunksjon. I eventuelle forhandlinger og før kontraktsinngåelse skal Leverandøren og Kunden gjennomgå bilaget og underliggende vedlegg og samlet oppdatere dette. SORT = OPPRINNELIG TEKST RØD = LEVERANDØRENS TILLEGGSTEKST <Tilbyders navn> 3 / 26

4 Innhold 1. INNLEDNING Definisjoner Kostnader SAMARBEID MELLOM PARTENE Generelt Styringsmodell Strategisk nivå Operativt nivå Samarbeidsorganisasjon Rolle- og funksjonsbeskrivelse Partenes representanter Kontraktsansvarlig Serviceleder Teknisk løsningsansvarlig Kundens bestillere OVERVÅKNING, VARSLING OG RAPPORTERING Overvåking og logging Driftsvarsling Rapportering Innledning Driftsrapport Drifts- og bruksstatistikker Driftsstatistikker Bruksstatistikker Hendelsesrapport Ordinær sluttrapport Utvidet sluttrapport Miljøplan Revisjons- og tilsynsrapporter Sikkerhetsrapport Risikoanalyse MØTER <Tilbyders navn> 4 / 26

5 4.1 Møtestruktur Møter og møtefora Ledermøter Forvaltningsmøter Statusmøte endringsprosjekter Endringsråd Sikkerhetsforum AKTØRER OG PERSONELL Nøkkelpersonell Krav til personell og kompetanse Tilgang personell utvidet beredskap Leverandørens bruk av underleverandører Kundens bruk av tredjeparter RUTINER, PROSEDYRER OG DOKUMENTASJON RELATERT TIL SAMARBEIDET Innledning Prosess for konfigurasjonsstyring Prosess for håndtering av hendelser og problem Eskalering Prosess for endringshåndtering Endringslogg Prosedyrer for endringsanmodninger Prosedyrer for endringsprosjekter Leverandørens teststrategi Henvendelser fra media PLANER OG ØVELSER FOR BEREDSKAP OG KATASTOFER DOKUMENTASJON Driftsspesifikasjon Dokumentoversikt Dokumenthåndtering INNSYN OG REVISJON VEDLEGG <Tilbyders navn> 5 / 26

6 1. INNLEDNING Bilag 6 inneholder administrative bestemmelser i samhandling mellom Kunde og Leverandør i kontraktsperioden. Samarbeid og samhandling mellom partene skal understøtte tjenestene og leveranseprosessene. Bilaget detaljerer krav til avtalte rutiner, prosedyrer og prosesser mellom Leverandøren og Kunden. Samarbeidsmodellen tar utgangspunkt i ITIL som rammeverk og det forutsettes at Leverandøren kan fylle de roller som er definert innenfor dette. Organisasjon for etablering av driftstjenestene og gjennomføring av migreringsprosjektet er beskrevet i bilag Definisjoner Definisjoner av ord og uttrykk benyttet i avtalen er samlet i bilag 6 vedlegg Kostnader Alle kostander som leverandøren har ved å gjennomføre sine forpliktelser etter bilag 6 skal inngå i «grunnprisen» slik den er definert i bilag SAMARBEID MELLOM PARTENE 2.1 Generelt For å få til en effektiv samhandling mellom Kunden og Leverandøren, skal det etableres ulike samarbeidsfora og rutiner for samarbeidet i forbindelse med oppfølging av avtaler og leveranser. Leverandøren skal delta med relevante ressurser, og skal tilpasse sin organisasjon og sine prosesser slik at det sikres effektiv samhandling. Bilag 6 vedlegg 6 viser Kundens organisering og prosesser. Samhandlingsmodellen skal første gang gjennomgås med Leverandør og detaljeres som et ledd i planleggingen av migreringsprosjektet. Samhandlingsmodellen skal detaljeres og videreutvikles i hele avtaleperioden. Samarbeid mellom partene skal skje på to nivåer: Forvaltning av avtaleforholdet og overordnet samarbeid mellom Kunde og Leverandør. Dette følges opp gjennom ledermøter som beskrevet i punkt 4.3. Styring av leveranser og oppfølging av driftstjenestene skjer som beskrevet i kapittel 3 og 4 gjennom rapportering og forvaltningsmøter, og gjennom dag til dag arbeid med tjenestene. Kommunikasjonen foregår på brukernivå gjennom servicedesk (brukerstøtte) og mot teknisk personell hos Leverandøren. <Her skal Leverandøren beskrive samhandling på strategisk og operativt nivå.> <Tilbyders navn> 6 / 26

7 2.2 Styringsmodell Det legges opp til en styringsmodell på to nivåer mellom Kunde og Leverandør Strategisk nivå På strategisk nivå møtes Kundens og Leverandørens ledelse. Her vil Kunden blant annet kunne informere om strategiske mål og føringer, og partene kan sammen diskutere overordnede føringer for planlegging av gjennomføringen av alle tjenestene og funksjonalitet i disse. Leverandøren vil blant annet kunne informere om status på markedstrender, sikkerhets- og risikovurderinger og miljøplan. I tillegg vil det være naturlig å ta opp eventuelle avtalemessige forhold, og eksempelvis mulige endringsønsker i henhold til SSA-D kapittel Operativt nivå På operativt nivå møtes Kunden og Leverandøren for å planlegge gjennomføringen av tjenestene - produksjonsplaner, vedlikeholdsplaner og den daglige avtalte leveransen. På operativt nivå behandles også gjennomgang og analyse av rapporter med oppnådd tjenestenivå, og forhold som hendelser, feil, avvik, samt endringsanmodninger og miljømessige tiltak. Det samme gjelder varsel fra tjenesteeiere om kritiske perioder og høyvolumperioder, samt behov for utvidet driftsberedskap. Oppgaver på dette nivået ledes av serviceleder hos partene med ansvar fordelt ut på de ulike prosessansvarlige som beskrevet i dette bilaget. 2.3 Samarbeidsorganisasjon Partene skal i driftsperioden etablere en organisasjon for samarbeid mellom partene. Leverandørens organisasjon er beskrevet nedenfor. <Her skal Leverandøren gi en overordnet beskrivelse av sin egen organisasjon. Beskrivelsen skal gi Kunden trygghet om at Leverandørens organisasjon er i stand til å påta seg oppgavene knyttet til driftstjenestene.> <Leverandøren skal beskrive sin organisasjon for leveranse av avtalte tjenester i avtaleperioden. Leverandøren skal ha definerte funksjoner/roller med beskrivelse av oppgaver og ansvar.> <Leverandøren skal vise figur, og beskrive sentrale roller i Leverandørens kundeteam for levering av tjenestene og faglig nøkkelpersonell.> Kunden skal godkjenne valg av personer til rollene som er beskrevet nedenfor. En og samme person kan inneha flere roller. Sentrale roller hos Leverandøren i driftsperioden er beskrevet nedenfor. <Tilbyders navn> 7 / 26

8 2.4 Rolle- og funksjonsbeskrivelse Partenes representanter Partenes representanter er de som til enhver tid representerer partene når det gjelder avtalemessige forhold. Partenes representanter fremgår av tabellen i bilag 6 Vedlegg 1 Nøkkelpersonell Kontraktsansvarlig Leverandøren skal ha en kontraktsansvarlig som har det overordnede ansvaret for Leverandørens tjenesteleveranser. Kontraktsansvarlig har et særlig ansvar for blant annet å behandle og følge opp at: det avholdes ledermøter, jf. punkt 4.3 omtvistede endringsanmodninger blir behandlet nødvendige beslutninger blir tatt ved behov for avklaringer eller ved avdekkede problemer det gjennomføres forhandling i forbindelse med eventuelle tvister mellom partene Alle henvendelser som ikke gjelder forhold som det i bilag 6 vedlegg 1 er utpekt særskilte roller for, skal rettes til kontraktsansvarlig. Kontraktsansvarlig skal bidra til at driftsavtalen etterleves av partene Serviceleder Leverandøren skal ha en serviceleder med en definert rollebeskrivelse, med ansvar og myndighet for den operative styring og daglige oppfølging av tjenestene. Rolleinnehaver skal til enhver tid ha en helhetsoversikt over Kundens driftssituasjon og er Kundens eskaleringspunkt ved eventuelle avvik i forhold til avtalt leveranse. Serviceleder er ansvarlig for kommunikasjon mot Kunden ved initiering av endringer, nyanskaffelser, serviceoppfølging med videre. Serviceleder er ansvarlig for oppfølging av økonomiske forhold i henhold til avtalen. Det er Leverandørens serviceleders ansvar å kalle inn til forvaltningsmøter og andre samarbeidsmøter hvor avtalt rapportering blir presentert. Serviceleder har et særlig ansvar for blant annet å behandle og følge opp at: driftsorganisasjonen er bemannet med nøkkelpersonale i henhold til dette bilaget og utfører tjenestene i henhold til kravene i bilag 1 og bilag 2 kravene til tjenestekvalitet etterleves og at refusjoner håndteres i henhold til bilag 5 forslag til forbedring av driftstjenestene blir behandlet implementering av endringsanmodninger gjennomføres som avtalt Teknisk løsningsansvarlig Leverandøren skal ha en teknisk løsningsansvarlig som har et overordnet ansvar for Kundens tekniske plattform og løsning som kjører på denne. <Tilbyders navn> 8 / 26

9 Rolleinnehaver har ansvar for å vurdere trender og foreta jevnlige risikovurderinger knyttet til drift av miljøene, samt foreslå løsningsdesign for endringer i miljøer eller i Kundens løsning forøvrig Kundens bestillere Kunden vil ha autorisert personell for å kunne bestille tjenester fra Leverandøren. Leverandøren skal ikke godta bestillinger fra andre personer hos Kunden enn autorisert personell. Oversikt over autorisert personell er gitt i bilag 6 vedlegg OVERVÅKNING, VARSLING OG RAPPORTERING 3.1 Overvåking og logging Leverandøren har ansvaret for overvåking av tjenestene og skal rapportere til Kunden om avvik eller hendelser som indikerer at hele eller deler av tjenestene er utilgjengelig eller står i fare for å bli utilgjengelig. Leverandøren skal sørge for at det ikke er mangel på kapasitet i teknisk infrastruktur (som for eksempel CPU, minne og lagring) som hindrer Kunden i å kjøre sine applikasjoner eller utføre sine IT arbeidsoppgaver med avtalt ytelse/kapasitet, jf. bilag 1 punkt I tilfeller kapasitetsproblemer er i ferd med å oppstå, skal Leverandøren utarbeide forslag til kapasitetsendring og sørge for at forslaget blir behandlet gjennom vedtatt endringsprosess. Leverandøren har ansvar å komme med forslag til Kunden om å redusere kapasitet hvis avtalt kapasitet ikke lenger er nødvendig. Forslaget skal behandles gjennom vedtatt endringsprosess. Ved gjentakelse av hendelser eller ved eskalering til problem, skal Leverandøren utarbeide en plan med forbedringstiltak, samt tiltaksplan, for å redusere sannsynligheten for gjentakelse. Partene skal gjennom migreringsprosjektet avtale hva som overvåkes, hva som skal logges og i hvilke situasjoner Kunden skal varsles. Typiske elementer som skal overvåkes er blant annet: nettverkskomponenter og kommunikasjonslinjer maskinvare (CPU, minne, tråder, disk, I/O, DBMS, nettverksbruk) operativsystem og standard programvare kritiske prosesser avtalte applikasjoner gjennomføring av sikkerhetskopiering og automatiserte jobber Leverandøren skal overvåke tjenestene og leveranseprosessene blant annet med hensyn til: <Tilbyders navn> 9 / 26

10 tilgjengelighet og responstider, jf. bilag 5 Leverandørens infrastruktur prosesser, prosedyrer og rutiner sikkerhet (drift og informasjon) Leverandøren skal, for å kunne dokumentere opplysninger avgitt til Kunden, føre logg. Logging skal minimum omfatte: Logg Drift- og sikkerhetslogger Transaksjonslogger Hendelseslogger Problemlogger Endringslogg Formål Relevante forhold av betydning for en stabil og sikker drift skal logges, og det skal være mulig å avdekke eksempelvis unormal drift eller forsøk på sikkerhetsbrudd. Etter nærmere avtale skal disse være tilgjengelig for kunden. Opplysninger om gjennomførte transaksjoner og påbegynte men avbrutte transaksjoner. Alle hendelser skal journalføres og saksgangen skal være sporbar. Alle problemer skal journalføres og saksgangen skal være sporbar. For krav til innhold og format på endringslogg, se punkt Driftsvarsling Leverandøren skal uten ugrunnet opphold varsle Kunden ved hendelser som påvirker tilgjengeligheten, responstider eller sikkerheten i løsningen, som gir brudd på tjenestenivå eller har andre driftsmessige konsekvenser for Kundens løsning. Varslingen kan være basert på alarmer fra overvåkningsløsningene spesifisert i bilag 1 kapittel 11, eller driftsmessige hendelser/problemer oppdaget av driftspersonell hos Leverandøren. Status skal som minimum oppdateres etter frekvens angitt for hendelseshåndtering i bilag 5 for de ulike hendelseskategoriene. Driftsvarslingen skal skje løpende gjennom integrasjon med Kundens saksflytverktøy. Driftsvarsling skal blant annet omfatte: Overskridelse av kritisk terskelnivå på maskinvare-kapasitet (CPU, minne, disk). Fastsettelse av terskelnivåene skal gjøres i migreringsprosjektet. Driftsstans på en (eller flere) servere som skjer uten at løsningen som helhet er utilgjengelig. Utilgjengelighet til løsningen. Unormale responstider på ett eller flere definerte bruksmønster Hendelser og problemer oppdaget av Leverandøren Planlagt vedlikehold (løpende og periodisk) <Tilbyders navn> 10 / 26

11 Opplysnings- og varslingsplikt fremgår for øvrig av SSA-D punkt 5.3 og bilag 5 punkt 5.2. Gjennom migreringsprosjektet skal det utarbeides detaljerte prosesser for driftsvarslinger og hvordan de vil behandles gjennom integrasjonen med Kundens saksflytverktøy. 3.3 Rapportering Innledning Leverandøren er ansvarlig for å rapportere månedlig tjenestenivå, avvik i tjenestenivå og refusjoner som er oppnådd for de ulike tjenestene. Leverandøren er også ansvarlig for at refusjoner blir utbetalt. Nedenfor følger en overordnet oversikt, samt beskrivelse av de skriftlige rapporter som utarbeides for å ivareta behov for styring og koordinering av tjenester knyttet til driftsavtalen. Rapporter og data skal være tilgjengelig i et webgrensesnitt. Kunden og Leverandøren skal i samarbeid videreutvikle målrettet rapportering etter Kundens behov. Leverandøren skal kunne levere fra seg data i elektronisk form etter spesifikasjoner for bearbeiding i Kundens egne rapporteringssystemer. Nedenfor følger en oversikt og beskrivelse av de skriftlige rapporter som skal utarbeides: Rapport Driftsrapport Bruks og driftsstatistikk Hendelsesrapport Ordinær sluttrapport Utvidet sluttrapport Sikkerhetsrapport Risikoanalyse Miljøplan Revisjons- og tilsynsrapporter Frekvens Månedlig Løpende Ved kritiske eller alvorlige hendelser Ved kritiske eller alvorlige hendelser Ved kritiske eller alvorlige hendelser Årlig (minimum) Årlig (minimum) Årlig Ved gjennomførte revisjoner og tilsyn Driftsrapport Driftsrapporten er Leverandørens rapport over oppnådd tjenestenivå og nøkkeltall for driftstjenestene for en periode på en måned. <Tilbyders navn> 11 / 26

12 Rapporten skal også inneholde responstider og transaksjonsvolum for SMS-løsningen, også dersom SMS-løsningen leveres av tredjepart, jf. bilag 5 punkt 3.3. Rapporten skal oversendes Kunden innen 7 virkedager etter månedsslutt og skal minimum inneholde følgende opplysninger dersom ikke annet blir avtalt: SLA-rapportering med oppnådd tjenestenivå på avtalte tjenester/ytelser, inklusive SMS-løsningen Oppsummering av alle brudd på tjenestenivå Oppsummering av driftsovervåking Status på drift- og vedlikeholdstjenester/-ytelser i perioden Serviceforberedende tiltak Nye og lukkede hendelser i perioden, samt gjenstående hendelser fra perioden Nye og lukkede problemer i perioden, samt gjenstående problemer fra perioden før Gjennomførte endringer Detaljering av planlagt vedlikehold og øvrige aktiviteter neste periode Timeregnskap for eventuelle tilleggstjenester Status på kapasitet og kapasitetsplaner/-prognoser Endringer i kontrakt eller leveranseorganisasjonen Beregning av standardisert prisavslag for perioden (når Kunden er berettiget et avslag) Status på eventuelle tiltak/aksjonspunkter overføres til forvaltningsmøte for operativ oppfølging. Driftsrapportene skal ha en slik form/format at det kan tas ut rullerende 12-måneders rapporter på forespørsel fra Kunden Drifts- og bruksstatistikker Leverandøren skal løpende gjøre tilgjengelig drifts- og bruksstatistikker for Kunden. Det er beskrevet i avsnittene under hva som ligger i de ulike typer drifts- og bruksstatistikker og hvilke krav som gjelder for tilgjengeliggjøring av statistikkene, samt krav til overføring av rådata/måledata Driftsstatistikker Med driftsstatistikker menes løpende informasjon om ytelse, kapasitet og tjenestenivå i løsningen. Driftsstatistikkene omfatter målinger som er interessante ut fra et drifts- og forvaltningsperspektiv, som for eksempel CPU-bruk, utnyttelse av linjekapasitet, minnebruk og så videre. Driftsstatistikkene skal også omfatte responstider i løsningen, samt transaksjonsvolumer for SMS-tjenesten. Driftsstatistikkene skal gjøres tilgjengelig for Kunden ved at informasjonen (rådata) legges ut på Leverandørens kundeweb, jf. bilag 1 punkt Driftsstatistikkene vil følges opp i servicedialogen mellom Kunden og Leverandøren, og vil bli benyttet ved revisjon av Leverandørens driftsrapport. <Tilbyders navn> 12 / 26

13 Bruksstatistikker Alle rådata (fra drifts- og bruksstatistikker) lagret i løsningen overføres til egen statistikkløsning hos Kunden, slik at Kunden kan lage nødvendige rapporter. Løsning for uttrekk og overføring av slike rådata vil innarbeides av Kunden i samarbeid mellom Leverandøren og Kunden. Driftsleverandøren skal overvåke overføringen av rådata til Kundens statistikkløsning, og Kunden skal produsere ønskede bruksstatistikker og publisere dette til tjenesteeierne. Kunden har følgende behov/krav til denne løsningen: Datagrunnlaget skal benyttes til ledelsesinformasjon, SLA-kontroll og fakturakontroll. Kvaliteten må derfor være høy. Kunden ønsker i utgangspunktet så mye data som mulig for å ha en mest mulig fleksibel løsning slik at nye krav til statistikk kan dekkes. Kunden ønsker ikke data som inneholder brukerspesifikke data som for eksempel fødselsnummer. Kunden ønsker kontroll på innholdet i statistikkløsningen og skal selv ha drift- og forvaltningsansvaret for løsningen. Leverandøren må mellomlagre ønskede data fra driftsløsningen og replikere disse over til statistikkløsningen hos Kunden Hendelsesrapport Ved kritiske eller alvorlige hendelser, skal Leverandøren utarbeide en kort dokumentasjon av hendelsesforløp, mulige konsekvenser og tiltak, og informasjon om berørte parter, jf. krav i bilag Ordinær sluttrapport Etter at kritiske og alvorlige hendelser er lukket, skal det alltid utarbeides en ordinær sluttrapport om hendelsen. En slik ordinær sluttrapport skal utarbeides uten ugrunnet opphold. Den skal som et minimum inneholde følgende: a) Utdypende dokumentasjon av hendelsesforløpet. b) En kort analyse og identifikasjon av årsaken til hendelsen. c) Konsekvenser (økonomiske og omdømmemessige). d) Tiltak i forbindelse med hendelsen, samt løsningstid, jf. bilag 5. e) Vurdering av om dette krever videre analyse for å finne tiltak, dvs. om den skal videre i problemprosessen Utvidet sluttrapport Hvis hendelsen går videre til problemprosessen og problemet anses som uavklart, skal det utarbeides en utvidet sluttrapport. Utvidet sluttrapport utarbeides parallelt med analysen av problemet og legges inn som et vedlegg til problemet i Kundens saksflytverktøy. Den skal som et minimum inneholde følgende: a) En detaljert beskrivelse av konsekvenser hendelsen hadde og en vurdering av hvilke konsekvenser den kan få om dette ikke gjøres noe med. b) Dersom mulig: en komplett analyse og identifikasjon av årsaken til hendelsen. <Tilbyders navn> 13 / 26

14 c) Beskrivelse av tiltak for å løse problemet slik at hendelsen ikke gjentar seg Miljøplan Leverandøren skal i hele kontraktsperioden ha fokus på å levere en minst mulig miljøbelastende driftstjeneste, og skal derfor årlig levere en oversikt over de miljøtiltak som har blitt innført, og hvilke miljøtiltak som planlegges gjennomført neste periode. Herunder for eksempel utskifting av hardware til mer energieffektive maskiner, mer effektiv kjøling, resirkulering av restvarme, måling/benchmarking av energiforbruk, styringssystemer for energiforbruk, resirkulering av hardware og andre miljøtiltak Revisjons- og tilsynsrapporter Kunden skal ha tilgang til slike relevante rapporter som grunnlag for Kundens revisjon og innsyn, jf. SSA-D punkt og bilag 1 punkt Relevante sertifiseringsrapporter omfattes også. Leverandøren skal holde en oppdatert oversikt over planlagte og gjennomførte tilsyn, revisjoner, sertifiseringer og lignende Sikkerhetsrapport Leverandøren skal minimum gjennomføre en årlig sikkerhetsrevisjon. I gjennomgangen skal det dokumenteres at krav til sikkerhet og forebygging av sårbarhet er ivaretatt. Resultatet fra sikkerhetsrevisjonen skal dokumenteres og forelegges Kunden Risikoanalyse Leverandøren skal periodisk, men minimum en gang i året, gjennomføre en risikoanalyse som dekker alle deler av leveransen og Leverandørens ansvarsområde. Rapport fra risikoanalysen skal fremlegges for Kunden. 4. MØTER 4.1 Møtestruktur Leverandøren må kunne stille til møter og lignende på kort varsel, minimum neste arbeidsdag etter at møtet blir initiert av Kunde. Møter for samhandling og oppfølging av driftstjenestene skal primært foregå via telefon- eller videokonferanse hvis ikke annet er avtalt. Det etableres faste fora hvor rapportering og diskusjon, samt løsning av felles utfordringer kan gjennomføres. Disse fora har fastsatt mandat, agenda og møtefrekvens. Deltakerne i foraene er i utgangspunktet faste, men andre roller kan delta ved behov. Partenes deltakelse er illustrert i figuren under: <Tilbyders navn> 14 / 26

15 Figur 1 Overblikk over tjenester 4.2 Møter og møtefora Leverandøren skal bidra aktivt til samarbeid om spørsmål og utfordringer som gjelder tjenestene. Dette gjøres gjennom hensiktsmessige og effektive samarbeidsfora både på strategisk og operativt nivå. Leverandøren skal på forespørsel fra Kunden stille opp i andre samarbeidsforum, for eksempel med tjenesteeiere. Omfanget av dette anslås til maksimalt 1-2 ganger per år. Møteoversikt for regelmessige møter mellom Kundens kontaktpersoner og Leverandør: Nivå jf. punkt 2.2 styringsmodell Møter Frekvens Møtested Deltakere Strategisk nivå Ledermøte 1-2 ganger per år Bestemmes ved innkalling (alternerer mellom Kunde og Leverandør) Kundens avdelingsdirektør, kontraktsansvarlig, serviceleder Leverandørens tilsvarende roller Operativt nivå Forvaltningsmøter Månedlig Normalt telefon- eller videokonferanse Kundens serviceleder, driftsleder Leverandørens tilsvarende roller <Tilbyders navn> 15 / 26

16 Nivå jf. punkt 2.2 styringsmodell Møter Frekvens Møtested Deltakere Statusmøte endringsprosjekter Etter behov i henhold til prosjektplan Normalt telefon- eller videokonferan se Deltagere i henhold til prosjektorganisasjon og styringsmodell Endringsråd Etter behov Kundens lokaler, telefon- eller videokonferan se Endringsansvarlig/prosjektleder Sikkerhetsforum Kvartalsvis Bestemmes ved innkalling Kundens IT sikkerhetsleder Leverandørens tilsvarende roller 4.3 Ledermøter Det skal avholdes jevnlige møter mellom partenes ledelse for oppfølging av driftstjenestene. Leverandøren er forpliktet til å stille på slike møter minimum en gang per år. Dersom Kunden ikke innkaller til slikt møte, kan Leverandøren likevel kreve at det skal avholdes. Partenes ledelse skal få referat fra forvaltningsmøtene og behandle disse. Oversikt over partenes representanter og referat fra ledermøtene skal være tilgjengelig på Leverandørens kundeweb. I ledermøtene informerer Kunden om strategiske mål og føringer, og partene kan sammen diskutere overordnede føringer for planlegging av gjennomføringen av alle ytelser (herunder også overordnede føringer for produksjonsplan, vedlikeholdsplan og miljøplan). Resultatet av dette vil gi føringer for planleggingen av leveransene som gjøres på operativt nivå. Kunden og Leverandøren alternerer om å innkalle til møtet. Den part som kaller inn er ansvarlig for å sette opp og få godkjent møteplan. Om ikke annet er avtalt, skal den part som kaller inn skrive referater fra møtene og sende dette til medlemmene i møtet senest en uke etter at møtet er avholdt. 4.4 Forvaltningsmøter Partene skal holde hverandre løpende informert om utførelsen av driftstjenestene. I forvaltningsmøtene vil Leverandørenes driftsrapport gjennomgås og eventuelle korrigerende tiltak besluttes. <Tilbyders navn> 16 / 26

17 Forvaltningsmøtene skal avholdes i 2. uke hver måned. Leverandøren er ansvarlig for å innkalle til møtet. Leverandøren er ansvarlig for å sette opp og få godkjent møteplan. Forvaltningsmøtene skal være basert på Leverandørens driftsrapport og Kundens vurdering av de utførte driftstjenestene. Leverandøren skal skrive referater fra forvaltningsmøtene og sende dette til medlemmene i møtet senest 1 uke etter at møtet er avholdt. Om ikke annet er avtalt mellom partene, skal agenda for møtene være: Gjennomgang og godkjenning av møtereferat fra siste møte Oppfølging av driftsrapporten Driftsstatus Endringsstatus Oppfølging av servicenivå og eventuelle refusjoner Kontroll og godkjenning av fakturagrunnlag Arbeidsoppgaver i neste arbeidsperiode (med ansvarlig person og tidsfrist) Eventuelt Det skal utarbeides en mal for forvaltningsmøtene. Møtereferatet skal inneholde: Distribusjonsliste Deltagere med angivelse av referent Møtetidspunkt Agenda Ansvarlig for arbeidsoppgaver og tidsfrister Beslutninger tatt i møtet Godkjenning av referat <Her skal Leverandør fylle ut forslag til roller som skal være representert på forvaltningsmøtene.> 4.5 Statusmøte endringsprosjekter Dersom Leverandøren eller Kunden ønsker det, kan møtefrekvenser avtales særskilt i endringsprosjekter. Møtene skal dekke operativ oppfølging av prosjektleveranser innen drift og forvaltning. Begge parter plikter å delta. 4.6 Endringsråd Dersom Leverandøren eller Kunden ønsker det, kan endringsråd ved behov gjennomføres for endringsønsker. Endringsrådet skal gi råd ved vurdering, prioritering og tidfesting av endringer. som beslutningsforum for endringsønsker. Begge parter plikter å delta. 4.7 Sikkerhetsforum Sikkerhetsforum skal fortrinnsvis avholdes en gang per kvartal. Kunden kaller inn og setter agenda i samarbeid med Leverandøren. Partene kan innkalle til møte i sikkerhetsforumet etter behov. Leverandør skal i sikkerhetsforum gi en kort oversikt over gjennomførte revisjoner, sertifiseringer og andre tilsyn i siste periode. <Tilbyders navn> 17 / 26

18 Sikkerhetsforum har en spesielt viktig funksjon ved eksempelvis større sikkerhetshendelser og endret risikobilde for eller ved beredskapssituasjon for løsningen. Ved behov kan sikkerhetsforum utvides med andre leverandører og tjenesteeiere. Det forutsettes at kun generelle utfordringer og problemstillinger som vedkommer løsningen vil bli diskutert. Det kan i regi av sikkerhetsforum gjennomføres konferanser hvor ulike aktuelle sikkerhetsspørsmål tas opp med preventivt fokus. 5. AKTØRER OG PERSONELL <Leverandøren skal i bilag 6 vedlegg 1 beskrive de viktigste rollene knyttet til leveransene og gi en oversikt over nøkkelpersoner som skal inngå i leveranseorganisasjonen og som vil være sentrale i utførelsen av tjenester til Kunden i driftsperioden. Det skal også beskrives i hvilken grad ressursene har anledning til å jobbe dedikert for Kunden dersom det oppstår alvorlige eller kritiske hendelser. Leverandøren skal også gi en beskrivelse av hvordan man håndterer frafall av nøkkelpersonell, eller der mengden nøkkelpersonell er mindre enn 2 (kriseberedskap).> 5.1 Nøkkelpersonell Partene har definert og avtalt de viktigste rollene/funksjonene i samarbeidet som «nøkkelpersonell». Navngitte nøkkelpersoner, deres funksjoner og ansvarsområde skal være tilgjengelig i Leverandørens webgrensesnitt. For personer eller roller som er utpekt som nøkkelpersonell, kan hver av partene bytte ut sitt personell i henhold til SSA-D punkt 5.2. Ved utskiftning av nøkkelpersonell skal det tilbys tilsvarende kompetanseprofil med hensyn til antall års relevant erfaring, relevante sertifiseringer og nøkkelkompetanse relevant for levering av driftstjenestene. Eventuelle kostnader med skifte av personell dekkes av Leverandøren. Nødvendig opplæring av ny person som kreves for at skiftet ikke skal innebære kvalitetsforringelse av driftstjenesten eller forsinkelse i henhold til fremdriftsplan, bekostes av Leverandøren. Dersom en navngitt nøkkelressurs blir borte (for eksempel ved langvarig sykdom), skal en stedfortreder kunne tre inn i rollen innen maksimum fem virkedager, dersom dette er nødvendig for å opprettholde driftstjenestene. For serviceleder skal en stedfortreder kunne tre inn i rollen innen maksimum tre virkedager. Nødvendig opplæring av ny person som kreves for at skiftet ikke skal innebære kvalitetsforringelse av tjenesten eller forsinkelse i henhold til fremdriftsplan, bekostes av Leverandøren. Det skal for ferier og annet kortere fravær alltid utpekes en kontaktperson som overtar oppgavene til den navngitte nøkkelressurs. Denne personen trenger ikke å være den samme som angitt stedfortreder, men skal kunne overta arbeidsoppgavene på en tilfredsstillende måte for en kortere periode. <Tilbyders navn> 18 / 26

19 5.2 Krav til personell og kompetanse Leverandøren skal ha kompetent personale tilgjengelig i hele kontraktsperioden, og forplikter seg til å tilstrebe et stabilt nøkkelpersonell gjennom hele avtaleforholdet. Alle tjenester skal utføres av personer som har en inngående kjennskap til Kunden og den teknologi Kunden til en hver tid har valgt å standardisere seg på. Personer som skal utføre driftstjenester fra Leverandøren, skal ha nødvendige kvalifikasjoner og erfaring for øvrig, tilfredsstillende de krav som er stilt i avtalen, og ha god kompetanse og erfaring knyttet til planlegging og gjennomføring av driftstjenester for tilsvarende virksomheter. Leverandøren skal sørge for at alt involvert personell hos Leverandøren er kjent med avtalen, inkludert krav til tjenestenivå. 5.3 Tilgang personell utvidet beredskap Kunden vil i perioder ha behov for ekstra beredskap (heretter «utvidet beredskap») utover avtalt tjenestenivå. Leverandøren skal i perioder med utvidet beredskap, ha beredskapspersonell med nødvendig kompetanse og erfaring i forhold til oppgavene. Utvidet driftsberedskap kan både gjelde 2. og 3. linjestøtte. Disse ressursene vil overvåke løsningen og kunne foreta nødvendig tiltak for å sikre stabil drift i en kritisk periode og/eller en periode med stor trafikk. Det kan være aktuelt å avtale økt tilgjengelighet helt opp til døgnkontinuerlig bemanning. Ved bestilling av utvidet driftsberedskap, skal Leverandøren kunne stille med beredskapspersonell tilstede i driftslokalene og ha bemannet servicedesk for mottak og håndtering av eventuelle hendelser knyttet til tjenestene. Forespørsler om utvidet beredskap tas opp i forvaltningsmøte eller direkte med serviceleder i skriftlig form. Utvidet beredskap skal bestilles innen 10 virkedager, jf. bilag 5 punkt Leverandørens bruk av underleverandører Leverandør skal være kontaktpunkt mellom Kunde og Leverandørens underleverandører, med mindre direkte kommunikasjon mellom Kunde og en underleverandør er avtalt særskilt. 5.5 Kundens bruk av tredjeparter Kunden kan fritt engasjere tredjepart til å bistå seg i forbindelse med sine oppgaver under avtalen (jf. SSA-D punkt 6.3). All samhandling skjer mellom Leverandøren og Kunden, med mindre direkte kommunikasjon mellom Leverandøren og Kundens tredjeparter er avtalt særskilt. Leverandøren forplikter seg til å samarbeide med tredjepart i den utstrekning Kunden finner det nødvendig for leveranse av tjenesten. <Tilbyders navn> 19 / 26

20 6. RUTINER, PROSEDYRER OG DOKUMENTASJON RELATERT TIL SAMARBEIDET 6.1 Innledning Leverandøren og Kunden skal i fellesskap utarbeide rutiner, prosedyrer eller andre prosessbeskrivelser knyttet til samarbeidet. Prosesser for hendelses-, problem-, og endringshåndtering skal samordnes mellom Leverandøren og Kunden. 6.2 Prosess for konfigurasjonsstyring Leverandøren har ansvaret for egen konfigurasjonsstyring av alle elementer og all infrastruktur som realiserer tjenestene. Konfigurasjonsstyring skal sikre at Leverandøren til enhver tid har oversikt og kontroll av gjeldende konfigurasjon av infrastruktur og alle komponenter som inngår i tjenestene. <Her skal Leverandøren beskrive sin prosess for konfigurasjonsstyring.> 6.3 Prosess for håndtering av hendelser og problem Alle hendelser som vil få betydning for avtalt leveranse, sikkerhet eller tjenestekvalitet på de tjenester som denne avtalen regulerer, skal rapporteres til Kunden uten ugrunnet opphold. Ved kritiske hendelser, skal Leverandøren alltid vurdere om det er nødvendig å etablere et kriseteam for å løse hendelsen på en raskest mulig måte. Leverandøren skal utarbeide prosedyre for varsling av sikkerhetshendelser. Leverandøren plikter å bekrefte mottak, oppdatere status og løse hendelser med basis i de kategorier som Kunden har definert på hendelsen. Dersom tidsfrister for hendelseshåndtering ikke overholdes, skal saken eskaleres i henhold til operativ eskalering, jf. bilag 5 punkt 5.3. Leverandøren skal foreta en undersøkelse for å avklare om hendelsen er en kjent feil og om det finnes en midlertidig løsning på hendelsen. Alternativt må Leverandøren gjennomføre en diagnose for å finne frem til en midlertidig eller permanent løsning for å gjenopprette normal situasjon. Hvis en løsning (midlertidig eller permanent) krever en endring, gjennomføres prosess for hasteendringer, jf. bilag 5 punkt I de tilfeller hvor den underliggende årsak til hendelsen ikke er identifiserbar eller hendelsen har vært gjentakende og videre undersøkelser er nødvendig for å finne en permanent løsning, opprettes en sak eller et problem i problemløsningsprosessen. Hendelsesprosessen skal resultere i at feilen er rettet eller at det etableres en workaround. I siste tilfelle gjennomføres problemløsning og rettinger som følge av denne må følge vanlig prosedyre for produksjonssetting. Leverandøren skal beskrive hvordan hendelser som eskaleres til problemløsningsprosessen, håndteres. Når nødvendige tiltak/endringer for å løse problemet er identifisert, er problemet definert som en «kjent feil». Har det avtalemessige konsekvenser, skal Leverandøren gjøre en kost/nytte/risiko-analyse av «kjente feil» for å vurdere om nødvendige endringer skal utføres som en del av <Tilbyders navn> 20 / 26

21 endringsprosessen. Endringer som følge av «kjente feil» inngår alltid i en prosjekt- eller ordinær endring (ikke hasteendring) og styres alltid av den vanlige produksjonssettingsprosessen. Leverandøren skal forebygge problemer gjennom trendanalyser og identifisering av preventive tiltak, samt registrere alle «kjente feil» i en egen erfaringsdatabase Leverandøren skal i periodiske endringsmøter eller månedlige forvaltningsmøter rapportere status på slike tiltak til Kunden. <Her skal Leverandøren beskrive sin prosess for hendeslseshåndtering og problemhåndtering i et flytdiagram. Detaljer rundt hvert prosessteg skal beskrives.> 6.4 Eskalering Ved hendelser som medfører et behov for å iverksette kontinuitets- og beredskapsplan som beskrevet i kapittel 7 er det viktig at prosedyre for eskalering er klart definert og fungerer i praksis. Krav til eskalering er beskrevet i bilag 5. Tvister på operativt nivå skal alltid rapporteres til serviceleder hos den respektive avtalepart, og søkes løst på dette nivået. Alle åpne tvister skal behandles på førstkommende forvaltningsmøte og behandlingen av tvistene skal referatføres. Hvis man ikke kommer til enighet på dette nivå, skal serviceleder eskalere saken videre. Kundens eskaleringspunkter vil først og fremst være kontraktsansvarlig, siden seksjonssjef, avdelingsdirektør og direktør. Leverandøren plikter å stille med bemyndiget personell på tilsvarende nivå fra sin organisasjon. Begge parter har rett til å kalle inn til forhandlingsmøter, men fortrinnsvis etter at saken er behandlet i forvaltningsmøtet. <Her skal Leverandøren beskrive sine prosesser for eskalering på operativt nivå.> 6.5 Prosess for endringshåndtering Leverandørens endringshåndtering skal følge retningslinjene i SSA-D kapittel 2 og skal sikre effektiv registrering og behandling av endringer i tjenestene. Leverandøren er ansvarlig for å dokumentere prosessen for endringshåndtering. Kunden vil benytte eget saksflytverktøy for oppfølging og kontroll med endringsprosessen for ulike type endringer. Alle endringer skal loggføres i endringsloggen, jf. punkt 3.1. <Leverandøren skal beskrive sin prosess for endringshåndtering i et flytdiagram. Detaljer rundt hvert prosessteg skal beskrives.> <Dokumentasjon av ulike type endringer og hvordan ulike typer endringer skal være dokumentert, må beskrives av Leverandøren.> Endringslogg Alle endringer relatert til driftstjenestene skal loggføres i en endringslogg (jf. SSA-D punkt ) som er et eget vedlegg til driftsspesifikasjonen. Leverandøren er ansvarlig for å føre endringsloggen (jf. punkt 3.1) og for å ajourføre relevante deler av driftsspesifikasjonen. <Tilbyders navn> 21 / 26

22 Oppdateringen skal skje fortløpende, og det skal registreres i endringsloggen når oppdateringen fant sted. Endringsloggen skal minimum inneholde følgende: a) Av hvem inkludert dato og klokkeslett b) Hvem endringen er meldt til c) Prioritet på endringen d) Type endring e) Hva endringen gjelder f) Når endringen har skjedd g) Hvor endringen er dokumentert Kunden skal ha lesetilgang til endringsloggen. <Leverandøren skal beskrive innhold og format på endringsloggen.> 6.6 Prosedyrer for endringsanmodninger Dersom tjenesten innebærer en endring av avtalen, skal skriftlig forespørsel om tjenesteendring sendes til Leverandøren via Leverandørens saksflytverktøy. Leverandøren skal, basert på forespørselen, utarbeide en endringsutredning i samsvar med SSA-D punkt 3.2 og basert på Kundens mal, jf. bilag 6 vedlegg 4. Utredningen skal omfatte beskrivelse av tjenesteendringen. Alle punktene i malen skal være utfylt av Leverandøren, eventuelt med svaret «ingen/ikke relevant». Etableringstidspunkt, etableringskostnad, varighet og eventuell påvirkning på grunnprisen, skal være oppgitt. For det arbeid Leverandøren har med å utarbeide endringsutredningen, gjelder standardpris som oppgitt i tjenestekatalogen i bilag 7 vedlegg 2. Kunden skal ved mottak av endringsutredningen, ta stilling til omfang og pris, jf. SSA-D punkt 3.3. Dersom Kunden ønsker å iverksette endringen, skal dette bestilles på Kundens mal, jf. bilag 6 vedlegg 5. Endring skal iverksettes uten ugrunnet opphold etter endringsordre. Dersom tjenesteendringen krever det, sørger Leverandøren for at bestillingen av tjenesteendring blir innarbeidet i avtalen, jf. SSA-D punkt 3.4. Leverandøren skal holde oversikt over bestilte tjenesteendringer, oppdatere bilag 9 og ajourføre driftsspesifikasjonen når endringen er utført. Kundens retningslinjer for endringsanmodninger er dokumentert i: Bilag 6 vedlegg 4 Mal for EA Bilag 6 vedlegg 5 Bestillingsskjema for EA. <Tilbyders navn> 22 / 26

23 <Her skal Leverandøren beskrive prosedyrene for endringsanmodninger med utgangspunkt i Kundens etablerte praksis.> 6.7 Prosedyrer for endringsprosjekter Leverandøren skal kunne lede prosjekter knyttet til innføring av nye tjenester og optimalisering av teknisk plattform i samarbeid med Kunden og eventuelle tredjeparter. <Leverandøren skal i tabellen i bilag 6 vedlegg 1 gi en oversikt over personell som vil være aktuelle for å lede endringsprosjekter i driftsperioden, samt deres erfaringer, kompetanse, sertifiseringer og lignende innen dette området. Det skal angis om disse er Leverandørens eget personell eller innleid fra tredjepart.> 6.8 Leverandørens teststrategi Leverandøren skal levere en strategi for utførelse av nødvendige driftstester. Strategien skal være samordnet med Kundens teststrategi, jf. bilag 6 vedlegg 7, for å sikre effektivt samarbeid ved idriftssetting av endringer. <Leverandøren skal i bilag 6 vedlegg 8 beskrive sin teststrategi.> 6.9 Henvendelser fra media Alle henvendelser fra media vedrørende løsningen, markedsføring, driftssituasjoner og lignende skal henvises til Kunden. Dersom Leverandøren mottar slike henvendelser, skal Leverandøren uten unntak henvise til Kunden ved avtalte kontaktpersoner. Spørsmål knyttet til tjenesteeiernes tjenester henvises til den aktuelle tjenesteeier. 7. PLANER OG ØVELSER FOR BEREDSKAP OG KATASTOFER Leverandøren skal utarbeide kontinuitets- og beredskapsplan, jf. SSA-D punkt I denne planen skal Leverandøren dokumentere håndtering av krisesituasjoner og sikkerhetsbrudd, backupløsning og reservedriftsløsninger for å sikre kontinuitet i tjenesteleveransene. Leverandøren skal gjennomføre beredskapsøvelser. Beredskapsøvelsene skal være en del av i årlig produksjonsplan. Om ikke det oppnås enighet om tidspunkt skal beredskapsøvelse legges til september måned. Beredskapsøvelsen skal minimum være en type papirøvelse der administrative rutiner gjennomgås og etterprøves for berørte deler av Leverandøren som for eksempel servicedesk, kundeteam og vaktapparat. Leverandøren skal etter nærmere avtale delta på Kundens kontinuitets- eller beredskapsøvelse. <Tilbyders navn> 23 / 26

24 8. DOKUMENTASJON 8.1 Driftsspesifikasjon Driftsspesifikasjonen skal være oppdatert og tilgjengeliggjort for Kunde etter avtale (teknisk miljø, operative rutiner med mer), jf. SSA-D punkt Ved endringer som påvirker driftsspesifikasjonen, skal relevante deler av driftsspesifikasjonen fremstilles på egnet format og overleveres Kunden på første leveransemøte etter oppdatering. Leverandøren har ansvar for å vedlikeholde dokumentasjonen gjennom avtaleperioden. 8.2 Dokumentoversikt Leverandøren forplikter seg til å levere følgende: Dokument Driftsspesifikasjon Beskrivelse Leverandøren skal utarbeide en driftsspesifikasjon som skal inneholde dokumentasjon av Kundens driftsløsning og Leverandørens driftstjenester, jf. SSA-D punkt Driftsspesifikasjonen skal være ferdig før oppstart av Kundens akseptansetest, og ajourføres i løpet av godkjenningsperioden, jf. SSA-D punkt Driftsspesifikasjonen skal oppdateres og vedlikeholdes i hele avtaleperioden. Driftsplan Overvåkingsplan Kapasitetsplan Under hensyn til Kundens årsplan skal Leverandøren utarbeide en årlig driftsplan med planlagte vedlikeholdsoppgaver (periodisk vedlikehold), jf. bilag 5 punkt 1.5, og forestående versjonsoppdateringer. Leverandøren skal utarbeide og vedlikeholde dokumentasjon for hvordan overvåking skal planlegges og gjennomføres. Leverandøren skal utarbeide en kapasitetsplan som ivaretar Kundens planlagte behov over året. Kapasitetsplanen skal revideres ved varsling av ytterligere høyvolumperioder eller kritiske perioder. Innholdet i kapasitetsplanen skal minimum omfatte: Kapasitetsplanleggingsprosessen. Detaljert oversikt over alle kritiske komponenter for kapasitetsplanleggingen. Denne skal beskrive gjeldende bestykning, aktuelle skaleringsveier per komponent, samt referanse <Tilbyders navn> 24 / 26

25 Dokument Beskrivelse til driftsrutiner for håndtering av overskridelse på definerte terskelverdier. Ytelsesmodell. Applikasjonens kapasitetstall. Denne skal beskrive applikasjonens kapasitet i tall med gjeldende maskinvare/bestykning. Skaleringsmekanismer for applikasjonen. Prosess for avvikshåndtering. Prosess for ytelsestest. Som vedlegg til kapasitetsplanen skal alle kapasitetsendringer dokumenteres. Leverandørens sikkerhetspolicy Sikkerhetsdokumentasjon Dokumentasjon av kvalitetssikringssystem Oversikt over aktiva Dokumentasjon for sikker sletting Tilgangsoversikt Dokumentasjon ekstraordinære sikkerhetstester Leverandøren skal legge frem sin dokumenterte sikkerhetspolicy. Dette er Leverandørens dokumenterte styringssystem for informasjonssikkerhet - ISMS. Dokumentasjonen skal være utarbeidet i samsvar med kapittelpunkt i ISO/IEC og inneholde retningslinjer, rutiner og prosedyrer, inkludert krise- og beredskapsplan for tjenestene. Valgt sikkerhetsnivå bør være harmonisert med Kundens eget styringssystem. Leverandøren skal til enhver tid ha en oppdatert beskrivelse av kvalitetssikrings- og styringssystemet. Beskrivelsen skal være tilgjengelig for Kunden i Leverandørens webgrensesnitt. Kunden skal få innsyn i de kvalitetsrevisjoner og tiltak som gjøres, jf. bilag 1 punkt 4.3. Leverandøren skal dokumentere og vedlikeholde oversikt over aktiva for Kundens gjennomsyn og godkjenning. Leverandøren skal dokumentere rutiner for sikker sletting. Leverandøren skal dokumentere og vedlikeholde oversikt over personer med tilganger til kommunikasjonog driftsadministrasjon. Leverandøren skal dokumentere og vedlikeholde oversikt over kriterier for iverksetting av ekstraordinære sikkerhetstester, jf. bilag 1 punkt <Tilbyders navn> 25 / 26

26 For en samlet oversikt over all dokumentasjon Leverandøren er forpliktet til å levere, både i migreringsfasen og driftsfasen, se bilag 6 vedlegg Dokumenthåndtering <Her skal Leverandøren beskrive sine rutiner for dokumenthåndtering.> 9. INNSYN OG REVISJON Omfang og revisjons- eller testmetodikk skal avtales for hver revisjon eller test der dette er hensiktsmessig. Revisjoner skal ta utgangspunkt i informasjon om tjenesten som fremgår av rapporter fra offentlige tilsynsmyndigheter og revisjon utført av eller på oppdrag fra Leverandøren og ved gjennomførte sertifiseringer. Kundens revisjon skal basere seg på foretatte sertifiseringer så langt sertifiseringen rekker, jf. SSA-D punkt Revisjon er en systematisk gjennomgang av for eksempel informasjonssikkerheten. Revisjon kan omfatte fysisk befaring hos Leverandør, gjennomføring av sikkerhetstester, dokumentgjennomgang av rapporter og lignende, intervju og stikkprøvekontroll, samt en gjennomgang av forrige års erfaringer og sikkerhetshendelser. Kunden kan benytte eget personell, eller kan velge å benytte tredjeparts revisor eller firma for sikkerhetstesting eller revisjon. Leverandøren skal på forhånd få uttale seg som foreslåtte personer. Ved reelle og begrunnede (konkretiserte) innsigelser, som konkurranseforhold, behovet for konfidensialitet og lignende, har Leverandøren rett til å avvise foreslåtte revisorer eller firma. Revisjonen skal avtales og planlegges på forhånd med Leverandøren, for i minst mulig grad å forstyrre virksomhetsprosessene og daglig drift. 10. VEDLEGG Vedlegg 1 Nøkkelpersonell Vedlegg 2 Underleverandører Vedlegg 3 Definisjoner Vedlegg 4 Mal for EA Vedlegg 5 Bestillingsskjema for EA Vedlegg 6 Kundens organisering og prosesser Vedlegg 7 Kundens teststrategi Vedlegg 8 Leverandørens teststrategi Vedlegg 9 Oversikt over dokumentasjon og rapporter <Tilbyders navn> 26 / 26