Bilag 1 Kundens kravspesifikasjon

Transkript

1 ilag 1 Kundens kravspesifikasjon

2 ilag 1 Kundens kravspesifikasjon Versjonshåndtering Versjon Dato Initiert av Endringsårsak Difi Dokument distribuert til tilbydere Difi Endret kapittel 2, krav , og etter spørsmål fra tilbydere Difi nsvarsfordeling mellom Kunden og Leverandøren er blitt utdypet i punkt 1.1 «omfanget av anskaffelsen» Difi og krav utgår, da disse er duplikat av henholdsvis krav og krav utgår, da kravet dekkes av og Saksnummer 13/ / 44

3 ilag 1 Kundens kravspesifikasjon Innhold 1. ILEDIG akgrunn for anskaffelsen Omfanget av anskaffelsen VEILEDIG TIL KRVTELLE KRV TIL STYRIG, SMREID OG GEOMFØRIG OVERORDEDE KRV TIL TEESTER Generelle krav Overordnede tekniske krav Kvalitetssikrings- og styringssystem Etterlevelse av regelverk Miljø PT-1 DRIFTSPLTTFORM FOR ÅPE IFORMSO PT-2 DRIFTSPLTTFORM FOR SESITIV IFORMSO PT-3 DRIFTSPLTTFORM FOR FUKSOELLE TESTIG PT-4 DRIFTSPLTTFORM FOR YTELSESTESTIG PT-5 DRIFTSPLTTFORM FOR DRIFTS- OG ISTLLSOSTESTIG EKELTTEESTER ET-1 Housing, inkludert fysisk sikkerhet ET-2 ettverkstjenester ET-2-1 Lastbalansering ET-2-2 Lastbegrensing ET-2-3 Sikring mot DDOS ET-2-4 VP ET-2-5 Filoverføringstjenester ET-2-6 DS ET-2-7 rannmur ET-3 Lagringstjenester ET-3-1 Database ET-3-2 Filtjeneste ET-3-3 Filtjenester med integritetskontroll ET-3-4 ackup ET-3-5 Hardware Security Module (HSM) ET-4 Servertjenester ET-5 Operativsystemtjenester Saksnummer 13/ / 44

4 ilag 1 Kundens kravspesifikasjon 10.6 ET-6 Mellomvaretjenester ET-7 E-posttjeneste ET-8 pplikasjonsdrift ET-9 Sertifikattjenester ST-1 OVERVÅKIGSTEESTER asis overvåking og logging av driftsløsningen Overvåking av Kundens applikasjoner ST-2 SERVIELEDELSE OG SERVIELEDER Leveranseprosesser Serviceledelse Servicedesk Hendelseshåndtering Problemhåndtering Endringshåndtering Produksjonssetting Konfigurasjonsstyring Kapasitetsstyring Kontinuitet og beredskap Driftsrutiner Innsyn og revisjon Rapportering og varsling ST-3 TEST TEESTER Testledelse Ytelsestest ST-4 IFORMSOSSIKKERHETSTEESTER Sikkerhetspolicy Sikkerhetsorganisering Håndtering av aktiva Personellsikkerhet Kommunikasjons- og driftsstyring Tilgangskontroll Tilleggskrav for tilgangskontroll til produksjonsmiljøet nskaffelse, utvikling og vedlikehold av informasjonssystemer eskyttelse mot angrep Sikkerhetstester Saksnummer 13/ / 44

5 ilag 1 Kundens kravspesifikasjon Sikkerhetslogger og sporbarhet ST-5 KOMPETSETEESTER ST-6 DOKUMETSO DRIFTSRPPORTERIG MIGRERIGSPROSEKTET Gjennomføring av migreringsprosjektet Dokumentasjonskrav i migreringsprosjektet Test i migreringsprosjektet OPSOER SMS-tjeneste OEP Service Metadata Publishing (SMP ELM) Meldingsformidler for sikker digital postboks VEDLEGG FIGURLISTE FIGUR 1 SMSPILL EID-LEVERDØREE, ID-PORTE OG RUKERE... 6 FIGUR 2 OVERLIKK OVER TEESTER... 8 FIGUR 3 GRUPPERIG I DRIFTSPLTTFORMER... 8 FIGUR 4 OVERSIKT DRIFTSTEESTER Saksnummer 13/ / 44

6 ilag 1 Kundens kravspesifikasjon 1. ILEDIG 1.1 akgrunn for anskaffelsen Direktoratet for forvaltning og IKT (Difi) skal bidra til å styrke regjeringens arbeid med å fornye offentlig sektor og gjøre den effektiv og enklere tilgjengelig. Difi skal også medvirke til at staten er organisert og ledet på en god måte, med nødvendig samordning på tvers av sektorer. Difi har overordnet ansvar for ID-porten, MinID og Digitalt kontaktregister. ID-porten er et nav/tillitsanker for tjenesteeiere i offentlig sektor som skal dekke autentisering, signering, meldingskryptering og andre fremtidige funksjoner som naturlig hører inn under dette systemet. ID-porten knytter tjenesteeiere og e-id leverandører sammen og er en felleskomponent i offentlig sektor. På nåværende tidspunkt har systemet funksjonalitet for autentisering og er integrert mot eid Leverandørene MinID, uypass, ommfides og ankid. Løsningen ble etablert i 2009, og håndterte i 2012 i underkant av 30 millioner innlogginger til offentlige nettjenester, med om lag 3 millioner brukere. ID-porten er en felleskomponent i offentlig sektor og benyttes av mer enn 270 offentlige virksomheter. Figur 1 Samspill eid-leverandørene, ID-porten og brukerne ID-porten skal også kunne dekke andre fremtidige funksjoner som naturlig hører til og som kan bli del av løsningen som for eksempel pinkodegenerering, meldingskryptering, felles signeringsløsning, autentiseringsløsning for ansatte, støtte for utenlandske brukere, nasjonalt ID-kort, oppslagstjeneste, overtagelse av autentiseringsløsningene fra ltinn og endring av bruksområder for sms-tjenestene På nærværende tidspunkt har har ID-porten funksjonalitet for autentisering og er integrert mot eid-leverandørene MinID, uypass, ommfides og ankid. ID-porten er per i dag ikke definert som samfunnskritisk infrastruktur, men dette kan endre seg i kontraktsperioden. Saksnummer 13/ / 44

7 ilag 1 Kundens kravspesifikasjon MinID er en e-id på nivå tre, som tilbyr autentisering basert på engangskoder på SMS eller pinkoder på brev. Les mer om ID-porten og MinID på: Digitalt kontaktregister er en autoritativ kilde for elektronisk kontaktinformasjon for enkeltpersoner med fødselsnummer i orge. Kontaktregisteret ble etablert i 2012 og er planlagt tatt i bruk av offentlige virksomheter fortløpende.kontaktregisteret forvaltes som en felleskomponent i offentlig sektor. Til digitalt kontaktregister hører et reservasjonsregister som også skal inngå i driftsavtalen. 1.2 Omfanget av anskaffelsen Denne anskaffelsen omfatter drift og vedlikehold av ID-porten, MinID og Digitalt kontaktregister. Kunden skal kjøpe bruk av dataressurser (maskinvare og programvare) som blir levert som en tjeneste over internett. Leverandøren vil bli betrodd med data og applikasjoner fra Kunden som illustrert i figur 2. pplikasjoner, og eventuelt data, blir overlevert til Leverandøren gjennom en releaseprosess. Dagens releaseprosess er beskrevet i punkt 3.1 bilag 3. I ordinær drift vil en releaseprosess bli initiert av Kunden med en endringsanmodning. Leverandøren er ansvarlig for å drifte data og applikasjoner når Leverandøren har akseptert en leveranse fra Kunden, jf krav I løpet av releaseprosessen vil Leverandøren ha anledning til å gjøre en egen driftstest av leveransen. Hvis en leveranse fra Kunden er blitt installert i et produksjonsmiljø (PT-1 og PT-2) regnes den som akseptert av Leverandøren. Leverandøren er ansvarlig for å konfigurere Kundens applikasjoner mot Leverandørens driftsplattform. Kunden skal bistå Leverandøren i dette arbeidet. Leverandøren er ansvarlig for å fremskaffe, installere, konfigurere, oppgradere og drifte alle dataressursene som er nødvendig for å kunne kjøre Kundens applikasjoner i henhold krav til tjenestenivå. Disse dataressursene er illustrert i figur 2 med lagene fra lokasjon til mellomvare. Saksnummer 13/ / 44

8 ilag 1 Kundens kravspesifikasjon Figur 2 Overblikk over tjenester For å understøtte drift og vedlikehold av ID-porten, MinID og Digital kontaktregister skal Leverandøren levere seks testmiljø i tillegg til de to produksjonsmiljøene. lle disse miljøene er gruppert ut fra felles egenskaper i fem driftsplattformer: PT-1 Driftsplattform for åpen informasjon PT-2 Driftsplattform for sensitiv informasjon PT-3 Driftsplattform for funksjonelle testing PT-4 Driftsplattform for ytelsestesting PT-5 Driftsplattform for drift og installasjonsstesting De kravene som bilag 1 stiller til en driftsplattform, vil følgelig gjelde for de miljøene som er gruppert inn i den aktuelle driftsplattformen. Figuren nedenfor viser hvordan de enkelte miljø er gruppert i driftsplattformer: Figur 3 Gruppering i driftsplattformer Saksnummer 13/ / 44

9 ilag 1 Kundens kravspesifikasjon Driftsplattformene og miljøene er nærmere beskrevet i bilag 3. Kundens applikasjoner er under aktiv videreutvikling. Som en følge av det vil behovet for servere og miljø variere og endres over tid. Det kan dukke opp behov for server og miljø for kortvarige isolerte oppgaver. Leverandøren er ansvarlig for å sette opp driftsløsningen i henhold til Kundens behov beskrevet i bilag 3 og Kundens krav beskrevet i bilag 1. Kunden aksepterer en løsning basert på virtualisering så lenge Leverandøren kan dokumentere at krav til løsningen er ivaretatt. Figuren nedenfor gir en oversikt over hva som inngår i driftstjenesten hvor enkelttjenester, støttetjenester og plattformtjenester er overordnede typer av tjenester. Enkelttjenestene (ET) er de tjenestene som er knyttet til etablering, drift og forvaltning av dataressurser. En enkelttjeneste kan inngå som en del av en eller flere plattformtjenester. Støttetjenester (ST) er de tjenestene som er knyttet til rutiner, funksjoner, roller og lignende hos Leverandøren. Plattformtjeneste (PT) er de samlede ytelser som Leverandøren leverer med en gitt driftsplattform. Dette omfatter både driftsplattformen og alle de tilhørende tjenester som Leverandøren yter, som beredskap, informasjonssikkerhet tjenestenivå. Saksnummer 13/ / 44

10 ilag 1 Kundens kravspesifikasjon Figur 4 Oversikt driftstjenester I tillegg til det som er nevnt over, omfatter anskaffelsen opsjoner på tjeneste for SMSutsending, Offentlig elektronisk postjournal (OEP), Service Metadata Publishing (SMP ELM) og meldingsformidler for sikker digital postboks. Kunden forbeholder seg retten til å konkurranseutsette hver av disse tjenestene dersom opsjonen ikke utløses. Saksnummer 13/ / 44

11 ilag 1 Kundens kravspesifikasjon 2. VEILEDIG TIL KRVTELLE I de følgende kapitler fremgår hvilke krav som Kunden setter til Leverandøren og den tjenesten som skal leveres. Leverandøren skal besvare kravene i sitt løsningsforslag i bilag 2. ene er strukturert etter tre typer tjenester; plattformtjenester, enkelttjenester og støttetjenester. For hvert krav er det angitt til hvilken kategori kravet tilhører, samt om kravet skal utdypes. ene er delt inn i følgende kategorier: : Dette er minstekrav som Leverandøren i utgangspunktet skal oppfylle. Dersom Leverandøren svarer nei på ett eller flere krav vil Kunden vurdere hvilken betydning ikke-oppfyllelsen har for driftsløsningen. kravene evalueres ikke i forhold til tildelingskriteriene. Ikke-oppfyllelse av ett eller flere -krav som sammen anses som vesentlig vil medføre avvisning. Ikke-oppfyllelse av -krav som ikke anses som vesentlig vil medføre et skjønnsmessig trekk i forbindelse med evalueringen av tilbudene vurdert opp mot tildelingskriteriene. : Dette er krav med høy viktighet for oppdragsgiver, beskrevet i kravsmatrisene som skal krav. Leverandørens grad av oppfyllelse av disse kravene vil inngå i evaluering av tilbudene. : Dette er krav med lav viktighet for oppdragsgiver, beskrevet i kravsmatrisene som bør krav. Leverandørens oppfyllelse av disse kravene vil inngå i evaluering av tilbudet. For hvert krav er det angitt om Leverandøren skal utdype sitt svar på kravet: (): Leverandørens løsningsforslag må beskrives i bilag 2. (ei): Leverandøren skal ikke beskrive sitt løsningsforslag Instruksjoner om Leverandørens besvarelse av kravene er beskrevet i bilag 2 vedlegg 1. Definisjoner av ord og uttrykk benyttet i avtalen er samlet i bilag 6 vedlegg 3. Saksnummer 13/ / 44

12 ilag 1 Kundens kravspesifikasjon 3. KRV TIL STYRIG, SMREID OG GEOMFØRIG Kunden ønsker å etablere et samarbeid med Leverandøren som på best mulig måte sikrer gjennomføring og samhandling i avtaleperioden. Det er viktig at dette samarbeidet har basis i Kundens mål og føringer slik de fremkommer i avtalen. r ll kommunikasjon med Kunden, både skriftlig og muntlig, skal skje på norsk og Leverandøren skal ha personell som behersker norsk som arbeidsspråk i sin kontakt med Kunden Minimum en gang per år skal det avholdes møte mellom representanter for partenes ledelse, jf. bilag 6 punkt Leverandøren skal forplikte seg til avtalte SL krav i bilag 5, følge opp servicenivå på leverte tjenester i forhold til disse og gi prisavslag dersom avtalt servicenivå ikke oppfylles Leverandøren skal tilpasse sin leveranseorganisasjon til Kundens forvaltningsorganisasjon for å sikre et effektivt samarbeid, jf. bilag Leverandøren skal ha samarbeidsavtaler med eventuelle underleverandører som skal benyttes for å levere driftstjenestene i denne avtalen Leverandøren skal ha et webbasert grensesnitt med oversikt og detaljer om Kundens saker og brukere, Leverandørens nøkkelpersoner med funksjoner og ansvarsområde, og som viser monitorering av hardware og software som Leverandøren har ansvaret for. 4. OVERORDEDE KRV TIL TEESTER 4.1 Generelle krav r Det er Leverandørens ansvar å drifte løsningen. Dette inkluderer data og applikasjoner levert fra Kunden når Leverandøren har akseptert leveranse av disse Driftsløsningen skal etableres i et land som har gjennomført EUdirektive 95/46/EF, eller land som er forhåndsgodkjent av Datatilsynet for overføring av personopplysninger Leverandøren skal levere en skriftlig risikovurdering av de enkelte plattformtjenestene samt en sammenligning av eventuelle ulike alternativers egenskaper når det gjelder konfidensialitet, tilgjengelighet og integritet. Saksnummer 13/ / 44

13 ilag 1 Kundens kravspesifikasjon Leverandøren skal levere et høyere tjenestenivå på spesifikke plattformtjenester dersom Kunden bestiller dette Leverandøren plikter å holde Kundens data systemmessig atskilt fra eventuelle tredjeparters data, herunder skal Kundens produksjonsplattformer holdes isolert fra andre kunder sine driftsløsninger hos Leverandøren, jf. SS-D punkt Leverandøren skal beskrive hvordan Kundens produksjonsplattformer holdes isolert fra andre kunder sine driftsløsninger hos Leverandøren Leverandøren skal til enhver tid ha gyldig support-avtale for all maskinvare som er benyttet i tilbydd løsning. 4.2 Overordnede tekniske krav r Leverandørens løsningsforslag skal bygge på den oversikten som er beskrevet i bilag 1 punkt 1.2, samt den oversikt over plattformer, miljøer og integrasjoner som er beskrevet i bilag 3 kapittel Leverandøren skal til enhver tid ha kontroll på innhold og versjoner av software i de ulike miljøene.(pt-1, PT-2, PT-3, PT-4 og PT-5). Leverandøren skal beskrive prosesser/rutiner og støtteverktøy for å sikre dette, jf. krav til driftsspesifikasjon, se bilag 6 punkt Driftsløsningen skal være fleksibel, slik at eksempelvis endringer og nye versjoner av Kundens applikasjoner kan håndteres raskt og med lav risiko Driftsløsningen skal muliggjøre rask og kostnadseffektiv skalering (både horisontalt og vertikalt) for å møte høyvolumsperioder og økt kapasitetsbehov over tid Dersom Leverandøren skal realisere virtualisering av servere og infrastruktur som understøtter Kundens behov, skal Leverandøren dokumentere hvordan integritet, konfidensialitet og tilgjengelighet er i varetatt Leverandøren skal beskrive hvilke deler av driftsløsningen som er dedikerte løsninger for Kunden, og hva som er felles med andre kunder Driftsløsningene for de ulike plattformene skal være adskilte på en slik måte at ustabilitet på en av disse plattformene ikke påvirker stabiliteten/tilgjengeligheten på de øvrige plattformene i løsningen. Saksnummer 13/ / 44

14 ilag 1 Kundens kravspesifikasjon 4.3 Kvalitetssikrings- og styringssystem r Leverandøren skal (senest 3. mai 2015) ha et kvalitetssikrings- og styringssystem etter internasjonal anerkjent standard. Kvalitetssikringsog styringssystemet skal dekke alle organisasjonsenheter som inngår i leveranseprosessen. Sertifisering etter ISO/IE eller tilsvarende vil være tilstrekkelig dokumentasjon for at kravet er oppfylt. Dersom Leverandøren ikke har et kvalitetssikrings- og styringssystem som beskrevet i avsnittet over innen 3. mai 2015, vil det påløpe sanksjoner som angitt i bilag 5 kapittel Hvis Leverandørens kvalitetssikrings- og styringssystem ikke er sertifisert, skal Leverandøren i bilag 2 utarbeide en beskrivelse av avvik mellom eget kvalitetssikrings- og styringssystemet og anerkjente kvalitetssikrings- og styringssystemet Oppdatert beskrivelse av kvalitetssikrings- og styringssystemet skal være tilgjengelig for Kunden i Leverandørens webgrensesnitt. Kunden skal få innsyn i de kvalitetsrevisjoner og tiltak som gjøres, jf. bilag 6 kapittel Det skal fremgå av styringssystemet for informasjonssikkerhet hvordan sikkerhets- og prosesskrav i lov og forskrift om behandling av personopplysninger tilfredsstilles. 4.4 Etterlevelse av regelverk r Leverandøren bør følge de til en hver tid gjeldende forvaltningsstandarder, og nye krav i slike standarder skal implementeres innen rimelig tid Leverandøren skal i leveransen av driftstjenesten etterleve esignaturloven, eforvaltningsforskriften og forskrift om IT-standarder i offentlig forvaltning Leverandøren skal i leveransen av driftstjenesten ivareta de krav til personvern som til enhver tid gjelder i norsk rett og som undertiden fremgår av personopplysningsloven med tilhørende forskrifter, særlig personopplysningsforskriften. 2 1 Se definisjonsordlisten for fullstendig referanse til lover og forskrifter. 2 Se definisjonsordlisten for fullstendig referanse til lover og forskrifter. Saksnummer 13/ / 44

15 ilag 1 Kundens kravspesifikasjon 4.5 Miljø r Leverandøren skal beskrive hvordan Kundens driftsløsning vil være miljøoptimalisert, herunder hvordan Leverandøren sikrer at driftsløsningen er energieffektiv, og hvordan Leverandøren tar miljøhensyn ved kjøp av nytt utstyr og avhending av brukt utstyr. Måten Leverandøren møter kravene til miljø, skal ikke forringe kravene beskrevet i bilag 5 og øvrige sikkerhetskrav Leverandøren skal beskrive hvilke miljøeffektive løsninger som vil bli implementert i Kundens driftsløsning, for eksempel resirkulering av restvarme fra servere, naturlig kjøling til serverrom, verktøy for logging og optimalisering av energibruken fra servere, rutiner for måling/benchmarking av PUE og DIE. 3 r. 5. PT-1 DRIFTSPLTTFORM FOR ÅPE IFORMSO Leverandøren skal levere en driftsplattform for åpen informasjon med tilhørende miljø som beskrevet i bilag 3 punkt Driftsløsning for åpen informasjon skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel Driftsløsningen skal tilfredsstille kravene til krise- og beredskapshåndtering, ved at miljøene og tjenesteleveransen skal kunne gjenopprettes innen de tidsfrister og med den kapasitet som fremkommer av bilag 5 punkt Se Saksnummer 13/ / 44

16 ilag 1 Kundens kravspesifikasjon r. 6. PT-2 DRIFTSPLTTFORM FOR SESITIV IFORMSO Leverandøren skal levere en driftsplattform for sensitiv informasjon med tilhørende miljø som beskrevet i bilag 3 punkt Driftsløsning for sensitiv informasjon skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel Driftsløsning skal være meget motstandsdyktig mot angrep på konfidensialitet, integritet eller tilgjengelighet fra personell hos Leverandøren og fra eksterne lle endringer fra personell hos Leverandøren skal logges slik at endringen entydig kan knyttes til bestemte fysiske personer Driftsløsningen skal ha tilsvarende eller bedre ytelse og responstider enn eksisterende driftsløsning. Resultater fra test av ytelse og responstid for dagens driftsplattform er dokumentert i bilag Loggene skal sikres slik at personell hos Leverandøren ikke alene skal kunne påvirke integriteten eller tilgjengeligheten til loggene. r. 7. PT-3 DRIFTSPLTTFORM FOR FUKSOELLE TESTIG Leverandøren skal levere en driftsplattform for funksjonell testing med tilhørende miljøer som beskrevet i bilag 3 punkt Driftsplattform for funksjonell testing av applikasjoner skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel PT-3 plattformen skal være konfigurert lik plattformen PT-1 og PT-2, men kan ha redusert kapasitet i forhold til produksjonsmiljøet lle personopplysninger i miljøet skal være anonymisert, jf. bilag 3. Saksnummer 13/ / 44

17 ilag 1 Kundens kravspesifikasjon r. 8. PT-4 DRIFTSPLTTFORM FOR YTELSESTESTIG Leverandøren skal levere en driftsplattform for ytelsestesting med tilhørende miljøer som beskrevet i bilag 3 punkt Driftsplattform for ytelsestesting av applikasjoner skal tilfredsstille krav til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel PT-4 skal ha tilsvarende mekanismer for ytelse og kapasitet som produksjonsplattformene, slik at resultater fra ytelsestester utført i PT-4 er sammenlignbar med produksjonsplattformene PT-1 og PT lle personopplysninger i miljøet skal være anonymisert, jf. bilag 3. r. 9. PT-5 DRIFTSPLTTFORM FOR DRIFTS- OG ISTLLSOSTESTIG Leverandøren bør levere en driftsplattform for drifts- og installasjonstesting med tilhørende miljøer som setter Leverandøren i stand til å drifte driftsløsningen effektivt og med lav risiko lle personopplysninger i miljøet skal være anonymisert, jf. bilag EKELTTEESTER Dette kapittelet beskriver Kundens krav til enkelttjenester (ET) som brukes for å realisere de Sammensatte Plattformtjenestene (PT) ET-1 Housing, inkludert fysisk sikkerhet r Driftsløsningen skal være sikret mot ytre trusler og eventuelle avvik i forhold til ISO eller tilsvarende Prioriterte områder, lokaler og kritisk datautstyr skal være sikret med nødstrømsløsning. ødstrømsløsningen og reserveløsning for kjøling skal dekke normal drift av driftsløsningen i inntil 48 timer De sikrede områdene skal ha alarmanlegg for og være sikret mot brann, innbrudd og vanninntrenging. Saksnummer 13/ / 44

18 ilag 1 Kundens kravspesifikasjon De sikrede områdene skal være sikret med temperaturovervåkning og varsling av avvik til driftspersonell Driftsstedet skal være sikret i henhold til FG-klasse 2, eller høyere Driftsstedet bør være sikret i henhold til FG-klasse Sikrede områder (driftsstedet) og tilhørende lokaler for Driftsløsningen skal godkjennes av Kunden Driftsløsningen for PT-1 og PT-2 skal ha tilstrekkelig redundans og plasseres i minimum 2 fysisk atskilte driftslokasjoner, jf. bilag 3 kapittel Ytelse og svartider for komponenter i driftsløsningen skal ikke bli påvirket av driftsstedet de er plassert i En krisesituasjon som fysisk påvirker et driftssted skal ikke påvirke stabilitet på andre driftssted Hensiktsmessige adgangskontroller skal sikre at bare autorisert personell får adgang til sikrede områder De sikrede områdene skal ha et overvåkings- og alarmsystem ET-2 ettverkstjenester ettverksdrifttjenesten omfatter ytelser som er nødvendig for å holde nettverk stabilt tilgjengelig med akseptabel ytelse. r Driftsløsningen skal være sikret med redundante kommunikasjonsløsninger, slik at enkeltbrudd på kommunikasjonslinjer eller internettknutepunkter ikke hindrer tilgang til driftsløsningen Leverandøren skal etablere en internettforbindelse med tilsvarende eller bedre båndbredde enn dagens driftsløsning jf. bilag De deler av Driftsløsningen som er dedikert for Kunden, må plasseres i isolerte nettverkssoner hos Leverandøren atskilt fra Leverandørens øvrige kunder og Leverandørens administrative nettverk Leverandøren skal etablere deteksjon (IDS) av uautorisert trafikk i driftsløsningen og eventuelt delt nettverksinfrastruktur for å hindre uønsket trafikk og angrep Leverandøren skal rapportere uautorisert trafikk i driftsløsningen til Kunden. Saksnummer 13/ / 44

19 ilag 1 Kundens kravspesifikasjon Leverandøren skal etablere endringsregime vedrørende nettverksutstyr og regelmessig revidere regelsettet i lastdeler, IDS, brannvegger og rutere, inkludert prosedyre for å stenge inaktive åpninger. r ET-2-1 Lastbalansering Driftsløsningen skal ha en lastbalanseringsfunksjon som støtter opp under Kundens behov beskrevet i bilag Leverandøren skal etablere terminering av ende-til-ende kryptering i en sone tilpasset tjenestens beskyttelsesbehov. r ET-2-2 Lastbegrensing Driftsløsningen skal ha en funksjon for lastbegrensing som beskrevet i bilag Lastbegrensningen skal inneholde funksjonalitet for å nedprioritere trafikk fra utvalgte tjenesteeiere, slik som det er beskrevet i bilag 3. r ET-2-3 Sikring mot DDOS Driftsløsningen skal ha verktøy for å detektere, spore og kaste datatrafikk i tjenestenektangrep og distribuerte tjenestenektangrep. Saksnummer 13/ / 44

20 ilag 1 Kundens kravspesifikasjon ET-2-4 VP Kunden vil kunne trenge VP-tjenester både på fast basis i forbindelse med integrasjoner mot 3-part og eventuelt i begrensede perioder i forbindelse med spesielle situasjoner. r Leverandøren skal levere VP tjenester i samsvar med Kundens behov som beskrevet i bilag 3 punkt Leverandøren skal sikre nettverkskommunikasjon mot tredjepart med VP Leverandøren skal overvåke linjer for å sikre høy tilgjengelighet for VP linjen Leverandøren skal ha rutiner for reetablering av VP ved feil Leverandøren skal etablere sikker VP ved bruk av fysiske VPbokser Leverandøren bør levere VP basert på MPLS Leverandøren skal levere en dedikert FTP-tjeneste for Kunden til bruk for overføring av PI-kodebrev fra SITS, jf. bilag 3 kapittel 2. r ET-2-5 Filoverføringstjenester Leverandøren skal levere filoverføringstjenester for overføring av filer fra/til tredjepart etter Kundens behov Leverandøren skal overvåke overføringstjenesten for å sikre at avtalte filer blir overført og behandlet etter Kundens behov. r ET-2-6 DS Leverandøren skal gjøre tilgjengelig DS tjenester som understøtter Kundens behov beskrevet i bilag 3. Saksnummer 13/ / 44

21 ilag 1 Kundens kravspesifikasjon ET-2-7 rannmur Det er viktig for Kunden at brannmurtjenestene forvaltes etter etablerte rutiner, både for å kunne realisere endringer effektivt, men ikke minst for å kunne dokumentere oppsettet av disse. r Leverandøren skal levere brannmurtjenester som understøtter Kundens behov beskrevet i bilag ET-3 Lagringstjenester r Leverandøren skal etablere lagringsløsninger for lagring av data som dekker behov beskrevet i bilag Leverandøren skal ha dokumentert rutiner for å sikre oppbevaring av og å hindre uautorisert tilgang til dokumentasjon av løsningen (inkludert papirbasert informasjon) og data/informasjon lagret i løsningen Leverandøren skal etablere en løsning og rutiner for langtidsoppbevaring av informasjon i minst 10 år. Det skal tas hensyn til at lagringsmedia har begrenset holdbarhet og at formater har begrenset levetid og data må overføres til nytt media og format ved behov. Dagens diskbruk er beskrevet i bilag 3, punkt Leverandøren skal, etter avtale med Kunden, slette data/informasjon når oppbevaringstid er overskredet. r ET-3-1 Database Leverandøren skal levere databasetjenester som understøtter Kundens behov beskrevet i bilag 3. Saksnummer 13/ / 44

22 ilag 1 Kundens kravspesifikasjon ET-3-2 Filtjeneste Kundens applikasjoner har behov for å kunne lagre filer, jf. bilag 3. Dette er en svært sentral funksjonalitet for driftsløsningen. r Leverandøren skal levere filtjenester som understøtter Kundens behov beskrevet i bilag ET-3-3 Filtjenester med integritetskontroll uditloggene fra Kundens applikasjoner har et spesielt behov for å sikres i forhold til integritet. Det er ønskelig at Leverandøren leverer en fleksibel tjeneste for integritetssikring av filer slik at dette kan benyttes i deler av Driftsløsningen. Tjenesten må knyttes sammen med overvåkingstjenesten slik at eventuelle brudd på integriteten raskt blir avdekket. r Leverandøren skal levere en filtjeneste som sikrer filer fra endring Tjenesten for å sikre filintegritet bør ha sporing av hvilke prosesser og brukere som har hatt tilgang til og lest filer som er lagt under integritetskontroll Tjenesten bør knyttes sammen med overvåkingstjenesten slik at eventuelle brudd på integriteten raskt blir avdekket. r ET-3-4 ackup ackupløsning skal ivareta at det ikke aksepteres tap av data i driftsløsningen ackup skal ikke lagres lenger enn 30 dager Leverandøren skal varsle Kunden dersom sikkerhetskopiering ikke har gått som avtalt eller ikke er ferdig innenfor avtalt tidsfrist Leverandøren skal jevnlig verifisere innhold i sikkerhetskopier og teste gjenoppretting av data for å verifisere kvaliteten på sikkerhetskopiene Sikkerhetskopiert informasjon skal gis nødvendig fysisk og miljømessig beskyttelse Leverandøren skal dokumentere rutiner for oppdatering av backupscript Saksnummer 13/ / 44

23 ilag 1 Kundens kravspesifikasjon for å sikre at sikkerhetskopiering ivaretar endringer som gjøres i løsningen. r ET-3-5 Hardware Security Module (HSM) Utstyr brukt for sikker lagring av nøkler skal tilfredsstille FIPS Level 3 eller ommon riteria EL HSM løsningene for produksjonsplattformene skal være redundant Leverandøren skal levere HSM støtte til alle plattformtjenestene for å kunne understøtte test og utvikling Rutine for konfigurasjonsstyring og vedlikehold av HSM skal være etablert HSM skal ikke være delt med andre kunder ET-4 Servertjenester r Leverandøren skal ha metoder, verktøy og sjekklister for herding av servere og for å sikre serverne mot uautorisert tilgang. Sjekklistene skal dokumenteres. Herding vil bli testet i kvalitets- og sikkerhetsrevisjoner ET-5 Operativsystemtjenester r Leverandøren skal levere stabil serverdrift med et egnet operativsystem som understøtter Kundens behov jf. bilag Leverandøren skal tilpasse og konfigurere operativsystem som understøtter Kundens behov. Saksnummer 13/ / 44

24 ilag 1 Kundens kravspesifikasjon 10.6 ET-6 Mellomvaretjenester r Leverandøren skal levere drift av mellomvaretjenester som understøtter Kundens behov beskrevet i bilag 3 punkt Leverandøren skal tilpasse og konfigurere mellomvaretjenester som understøtter Kundens behov jf bilag 3 punkt ET-7 E-posttjeneste r E-posttjenesten skal være integrert mot Kundens applikasjoner, jf. bilag 3 punkt E-posttjenesten bør kommunisere over SMTP ET-8 pplikasjonsdrift r Leverandøren skal levere stabil drift av applikasjonene som understøtter Kundens behov beskrevet i bilag Kundens applikasjoner skal være tilgjengelig i henhold til responstider definert i SL krav i bilag 5 punkt Leverandøren skal overvåke tidsstyrte jobber tilknyttet applikasjonen ET-9 Sertifikattjenester Kunden har flere sertifikater installert i Kundens applikasjoner eller som del av infrastrukturen, jf. bilag 3 punkt 4.9. Det er behov for aktiv forvaltning i forbindelse med at disse med jevne mellomrom må fornyes. Virksomhetssertifikatene brukt i løsningen kjøpes inn av Kunden, men forvaltes av Leverandøren. r Leverandøren skal forvalte alle sertifikater i løsningen, følge opp og varsle Kunden i god tid før de skal fornyes jf. bilag Leverandøren skal levere alle SSL sertifikater nødvendig for Saksnummer 13/ / 44

25 ilag 1 Kundens kravspesifikasjon driftsløsningen jf. bilag ST-1 OVERVÅKIGSTEESTER 11.1 asis overvåking og logging av driftsløsningen r Leverandøren har ansvaret for overvåking av tjenestene og skal rapportere til Kunden om avvik, jf. bilag 6 kapittel 3) Leverandøren skal overvåke tjenestene for å sikre at eventuell nedetid, redusert tilgjengelighet, ustabilitet, lange responstider og sikkerhetsbrudd blir oppdaget Leverandøren skal overvåke for å sikre at tilgjengelighets- og responstidsmål er innenfor avtalt nivå, jf. bilag 5 punkt Leverandøren skal gjennomføre måling av SL på SMS-løsningen som beskrevet i bilag 5 kapittel 2, også dersom løsningen leveres av tredjepart Leverandøren skal ha rutiner for å identifisere og registrere alle avvik som blir identifisert i overvåkningen og varsle Kunden om dette jf. bilag 6 punkt 3.1 og 3.2. Leverandøren skal ha rutiner for å følge opp hendelsen til den er lukket Leverandøren skal sikre en forsvarlig og systematisk overvåkning av hele leveranseprosessen av tjenestene Leverandøren skal gjennomføre logging av drifts- og sikkerhetsmessige forhold som beskrevet i bilag 6 punkt Leverandøren skal ha en funksjon med ansvar for analyse av logger og ha kunnskap om sporing av unormale hendelser Leverandøren skal ha etablerte metoder og verktøy for overvåking av sikkerhetshendelser Leverandøren bør gjøre tilgjengelig alle data fra overvåkingen til kunden i et egnet format Leverandøren bør gjøre tilgjengelig verktøy for logganalyse. Saksnummer 13/ / 44

26 ilag 1 Kundens kravspesifikasjon 11.2 Overvåking av Kundens applikasjoner Kundens applikasjoner har egne grensesnitt som kan integreres i Leverandørens overvåkingsrutiner igjennom standardisert prosedyre, som for eksempel ved å bruke ixkommandoer for overvåking av spesielle prosess og jmx for overvåking av detaljer i javaprosesser. r Leverandøren skal ha ansvar for overvåking av Kundens applikasjoner og skal etablere en overvåking av applikasjonslogger og prosesser, dataoverføringer og sikkerhetshendelser i løsningen Leverandøren bør gjøre tilgjengelig alle data fra overvåkingen til Kunden i et egnet format. 12. ST-2 SERVIELEDELSE OG SERVIELEDER Områdene og kravene i dette kapitelet må ses i sammenheng med løsninger og tiltak (rutiner og prosesser) i bilag 5 og til bilag Leveranseprosesser Dette punktet dekker krav til prosesser Leverandøren må ha for å dokumentere, styre og følge opp utvikling, vedlikehold og produksjon av tjenestene. Kunden vil ha en forvaltningsorganisasjon for driftsløsningen. Kunden forvalter flere avtaleverk, blant annet med tjenesteeiere og med Leverandørene av elektronisk ID til IDporten. Forvaltningsorganisasjonen hos Kunden skal sikre samordning og oppfyllelse av forpliktelsene i avtalene. Kunden har en serviceleder som er ansvarlig for oppfølging av tjenestene og andre leveranser. Kunden har etablert ITIL-prosesser. Har Leverandøren tilsvarende prosesser, vil dette forenkle samhandlingen med tanke på forvalting av tjenestene i et livssyklusperspektiv. r Leverandøren skal ha etablerte og fungerende prosesser basert på anerkjente prinsipper og metoder. Det skal være etablert en servicedesk og prosesser for hendelseshåndtering, problemhåndtering, endringshåndtering, kapasitetsstyring, konfigurasjonsstyring og produksjonssetting Leverandøren bør ha sertifiserte metodeverk (for eksempel ITIL rammeverket) innen drift og vedlikehold. Saksnummer 13/ / 44

27 ilag 1 Kundens kravspesifikasjon 12.2 Serviceledelse Drift av tjenestene skal fortrinnsvis utføres i henhold til prinsippene i ITIL rammeverk eller tilsvarende for serviceledelse. Det forventes at Leverandøren har etablert en rolle som serviceleder (eller tilsvarende) som er kontaktpunktet ovenfor Kunden vedrørende drift og forvaltning av tjenestene som denne avtalen regulerer. Leverandørens serviceleder har ansvar for planlegging, styring, kontroll og rapportering av tjenestene. serviceleder skal videre sørge for at Kunden har full informasjon om leveransen, for eksempel hva som blir levert, med hvilken kvalitet og til hvilken tid. r Leverandøren skal ha etablert de roller og funksjoner som er beskrevet i bilag 6 punkt Leverandøren skal sørge for at Kunden har full informasjon om avtalte leveransene og kvaliteten på disse Leverandørens serviceleder har ansvar for å avholde forvaltningsmøter hver måned, jf. bilag 6 punkt Ved bruk av underleverandører skal Leverandørens serviceleder ha samme ansvar for operativ styring og oppfølging av leveransen som om Leverandøren utførte alle oppgaver selv Servicedesk Kunden har etablert og er operativ med en 1. linje brukerstøttefunksjon ovenfor sluttbrukere og tjenesteeiere (brukerstøtte). Kundens prosess for forespørsel (ITIL Service request ) benyttes som basis for Kundens brukerstøtte. v hensyn til Leverandørens planlegging kan Leverandøren legge til grunn at antall henvendelser som videresendes til Leverandøren estimert vil være ca henvendelser per uke, men Leverandøren skal innenfor rammen av avtalen håndtere enhver henvendelse som videresendes fra Kunden. r Leverandøren skal ha en servicedesk med ett kontaktpunkt for håndtering av alle henvendelser fra Kunden Leverandøren skal beskrive hvordan Kundens henvendelser håndteres i servicedesken (brukerstøttefunksjon, 2. og 3. linje) Leverandøren skal dokumentere kontaktpunkter og prosedyrer i bilag Leverandøren skal bemanne servicedesk på en slik måte at personell med riktig kompetanse er tilgjengelig for Kunden, jf. bilag 5 punkt Saksnummer 13/ / 44

28 ilag 1 Kundens kravspesifikasjon Leverandøren skal oppfylle SL-krav til mottak av henvendelser, responstid, reaksjonstid, tilbakemeldingstid og løsningstid for hendelser, jf. bilag Leverandøren skal ha etablert en vakttelefon der Kunden eller dennes representant kan initiere aksjoner som etter avtalen skal kunne iverksettes også utenfor arbeidstiden (håndtering av kritiske og alvorlige feil og ved viktige tekniske avklaringer). Vakttelefonene skal være bemannet døgnkontinuerlig av kvalifisert personell med ansvar for å følge opp henvendelsen Hendelseshåndtering Hendelser skal kategoriseres som beskrevet i bilag 5 punkt 6.2. ehandling og rapportering av hendelser skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til hendelsen, hindre gjentagelse og sikre spor for eventuell strafferettslig forfølgelse. For håndtering av hendelser skal Leverandøren benytte etablerte prosesser for hendelsesog problemhåndtering (incident & problem management). til dette fremgår av 12.4 og r Leverandøren skal ha en dokumentert prosess for hendelseshåndtering med klar beskrivelse av hvordan interaksjonen med kunden skal foregå. Dette skal beskrives i bilag 6 punkt Leverandøren skal ha systemstøtte for registrering, håndtering (behandling) og rapportering av hendelser lle hendelser skal registreres og saksflyt skal være etterprøvbar Hendelsene skal registreres og kategoriseres i henhold til definerte og avtalte kategorier. Kategorisering av hendelser ved de tjenester som leveres gjennom denne avtalen skal følge kategoriene i bilag 5 punkt lle hendelser som kan ha betydning for tjenestene, Kunden, tjenesteeiere eller sluttbrukere skal rapporteres til Kunden og dokumenteres i en hendelsesrapport, jf. bilag 6 punkt Kunden skal kunne gis innsyn i hendelsesloggen Leverandøren skal umiddelbart varsle Kunden om kritiske eller alvorlige hendelser som kan eller vil medføre konsekvenser for de tjenester eller det tjenestenivå som denne avtalen regulerer som nærmere beskrevet i bilag 5 punkt 5.2. Saksnummer 13/ / 44

29 ilag 1 Kundens kravspesifikasjon Kunden har rett til å iverksette egne undersøkelser for oppfølging av hendelser hos Leverandøren Leverandøren skal ha dokumentert hvilke operative tiltak som iverksettes for å motvirke gjentagelse av hendelser Leverandøren skal oppfylle SL-krav til hendelseshåndtering i bilag 5 punkt Problemhåndtering r Leverandøren skal ha etablert en fungerende prosess for problemhåndtering, hvor saksgangen er sporbar og hvor det klart framgår hvordan interaksjonen med kunden skal foregå. Dette skal beskrives i bilag 6 punkt Leverandøren skal ha verktøystøtte for problemhåndtering Leverandørens rapportering til Kunden skal være dokumentert i bilag 6 punkt Kategorisering av problemer ved de tjenester som leveres gjennom denne avtalen skal følge kategoriene i bilag 5 punkt Leverandøren skal oppfylle SL-krav til problemhåndtering i ilag 5, punkt Leverandøren skal beskrive prosess for problemløsning i bilag Endringshåndtering Leverandørens endringshåndtering skal følge reglene i SS-D kapittel 2 og skal sikre effektiv registrering og behandling av endringer i tjenestene. lle endringer relatert til tjenestene skal gjennomføres ved hjelp av malverk i bilag 6 vedlegg 4 og 5. Endringer skal loggføres i en endringslogg. Leverandøren er ansvarlig for å dokumentere prosessen for endringshåndtering. Kunden vil benytte eget saksflytverktøy for oppfølging og kontroll med endringsprosessen for ulike type endringer. Saksnummer 13/ / 44

30 ilag 1 Kundens kravspesifikasjon r Leverandøren skal ha en prosess for endringshåndtering, jf. SS-D kapittel 2, som er tilpasset Kundens krav til endringshåndtering i bilag 6 punkt 6.5. Dette skal beskrives i bilag 6 punkt Prosess for endringshåndtering skal også dekke produksjonssetting av patcher, oppdateringer og nye versjoner av maskin- og programvare Leverandørens prosesser for endringshåndtering av komponenter som Leverandøren har levert og er installert hos Kunden, skal beskrives særskilt Leverandøren skal ha rutiner som sikrer verifisering av sikkerhetsnivå og andre forhold før endringer i tjenesten settes i produksjon. et utgår da det er dekket av krav og Formatert: Gjennomstreking Leverandøren skal ha rutiner som beskriver framgangsmåter for testing av ulike endringer i tjenestene Leverandøren skal ha etablerte rutiner for overføring av ferdigtestet og godkjent løsning til produksjonsmiljøet. I dette inngår også kvalitetssikring Prosedyre og informasjonskrav ved rapportering eller varsling til Kunden skal fremgå av bilag 6 punkt Leverandøren skal oppfylle SL-krav til endringshåndtering i bilag 5 punkt Detaljert prosess for håndtering av tilleggsbestillinger (endringsordre/endringsanmodning) er beskrevet i bilag 6 punkt 6.6. r Leverandøren skal ha en prosess for håndtering av tilleggsbestillinger (endringsanmodninger), jf SS-D kapittel 3, som er tilpasset Kundens krav til håndtering av endringsanmodning i bilag 6 punkt 6.6, samt mal i bilag 6 vedlegg 4 og 5. Dette skal beskrives i bilag 6 punkt Produksjonssetting r Leverandøren skal ha etablerte releaseprosedyrer for nye tjenester eller nye endringer i tjenestene som skal settes i produksjon. Saksnummer 13/ / 44

31 ilag 1 Kundens kravspesifikasjon Leverandøren skal utarbeide og løpende oppdatere en driftsplan, jf. bilag 6 punkt Konfigurasjonsstyring Leverandøren har ansvaret for egen konfigurasjonsstyring av alle elementer og all infrastruktur som realiserer tjenestene. Konfigurasjonsstyring skal sikre at Leverandøren til enhver tid har oversikt og kontroll av gjeldende konfigurasjon av infrastruktur og alle komponenter som inngår i tjenestene. r Leverandøren skal ha prosesser, verktøy og eventuelt en database for å holde oversikt over fysisk plassering, status og endringer for alle komponenter som maskinvare og programvare, som inngår i driftsløsningen Leverandøren skal sikre at konfigurasjonsbeskrivelsene er detaljerte nok til å gi grunnlag for en fullstendig reetablering av systemet i en katastrofesituasjon Leverandøren skal dokumentere omfang og metode for utveksling av informasjon om konfigurasjonsendringer til Kunden Kapasitetsstyring Ved avtaleinngåelsen vil Kundens årsplan for ID-porten 2014/2015 vedlegges bilag 6. r Leverandøren skal ha en prosess for kapasitetsstyring for avtalte tjenester Leverandøren skal i all planlegging, realisering og forvaltning av tjenestene ta hensyn til høyvolumperioder og kritiske perioder Dersom en patching ikke kan eller ikke skal gjennomføres i et vedlikeholdsvindu, skal Leverandøren ha nok kapasitet til å midlertidig erstatte de aktuelle servere/tjenester, slik at det ikke er nedetid eller redusert nivå på tjenesten under patching Leverandøren skal utarbeide og vedlikeholde en kapasitetsplan som beskrevet i bilag 6 punkt 8.2. Saksnummer 13/ / 44

32 ilag 1 Kundens kravspesifikasjon Kontinuitet og beredskap Leverandøren bør gjennomføre en årlig fullskala kontinuitets- og beredskapsøvelse. Slike øvelser skal sikre at planverket er oppdatert og at nødvendige prosesser og prosedyrer fungerer etter hensikten. Kunden skal også gjennomføre kontinuitets- og beredskapsøvelse, og det forventes at Leverandøren bistår etter nærmere avtale. r Leverandøren skal ha etablert, dokumentert og vedlikeholdt kontinuitetsog beredskapsplan som dekker krisesituasjoner, håndtering av sikkerhetsbrudd, backup- og reservedriftsløsninger for tjenestene Leverandøren skal garantere at kontinuitets- og beredskapsplan holdes oppdatert gjennom regelmessig testing og øvelse Kunden skal etter nærmere avtale kunne delta på Leverandørens kontinuitets- eller beredskapsøvelse Leverandøren skal etter nærmere avtale delta på Kundens kontinuitetseller beredskapsøvelse Leverandøren skal etter nærmere avtale bistå med gjennomføring av prosessforbedring i Kundens planverk på området Leverandøren skal holde kontinuitets- og beredskapsplan løpende oppdatert gjennom regelmessig test og øvelse. et utgår pga duplikat med krav Leverandøren skal ved behov kunne delta i skrivebordsøvelser for å verifisere at nødvendige prosesser og prosedyrer fungerer i en krisesituasjon Leverandøren skal tilrettelegge for nødvendig beredskap for sine tjenester i høyvolumsperioder og kritiske perioder, jf. Kundens årsplan bilag 3 vedlegg Driftsrutiner r Leverandørens driftsrutiner skal følge anerkjente prinsipper, være dokumenterte, kvalitetssikret og godkjent internt hos Leverandøren. Saksnummer 13/ / 44

33 ilag 1 Kundens kravspesifikasjon Innsyn og revisjon til innsyn og revisjoner fremgår av SS-D punkt edenfor gis tilleggskrav og presiseringer. Kunden vil legge vekt på og benytte dette ved planlegging av egne revisjoner. r Leverandøren skal gi Kunden informasjon om alle planlagte revisjoner Kunden skal få innsyn i all informasjon fra relevante rapporter og resultater fra utførte revisjoner, inspeksjoner eller sertifiseringer utført av Leverandøren selv, av tilsynsmyndigheter eller av tredjepart. Innsynet kan begrenses til personer hos Kunden som Leverandøren på forhånd har godkjent (autorisert) Leverandøren skal dokumentere overfor Kunden resultater og konklusjoner fra revisjoner, tilsyn eller sertifiseringer, som vedkommer tjenestene. Eventuell avvikshåndtering inngår i oversikten. Dette skal skje fortløpende etter at slike er gjennomført Rapportering og varsling ilag 6 kapittel 3 beskriver den praktiske gjennomføringen av periodisk rapportering og behovet for varsling. I bilag 6 punkt beskrives de områder hvor det skal være periodisk rapportering. ilag 5 punkt 5.2 regulerer bestemte situasjoner hvor Kunden skal varsles. ilag 6 punkt 3.2 regulerer krav til driftsvarsling. r Leverandøren skal tilrettelegge sine systemer, slik at effektiv og relevant rapportering og varsling kan gjennomføres Ved konstaterte sikkerhetsbrudd eller andre påviste svakheter som har negativ påvirkning på tjenestene, Kunden, tjenesteeiere eller sluttbruker, skal Leverandøren umiddelbart varsle Kunden. For slik varsling gjelder egen prosedyre, jf bilag 5 punkt 5.2 og bilag 6 punkt Driftsløsningen skal tilrettelegge for at applikasjonen sitt administrative grensesnitt er tilgjengelig for Kunden. Saksnummer 13/ / 44

34 ilag 1 Kundens kravspesifikasjon 13. ST-3 TEST TEESTER 13.1 Testledelse Ved større tekniske endringer av plattformen ønsker Kunden at Leverandøren skal kunne levere testledelse som en tjeneste. r Leverandøren bør tilby bistand til planlegging, ledelse og dokumentasjon av tester i tjenestekatalogen, bilag 7 vedlegg Ytelsestest r Leverandøren skal gjennomføre og analysere ytelsestester etter behov fra Kunden. r. 14. ST-4 IFORMSOSSIKKERHETSTEESTER Leverandøren skal ha et styringssystem for informasjonssikkerhet etter internasjonal anerkjent standard for informasjonssikkerhet. Styringssystemet skal dekke alle organisasjonsenheter som inngår i leveranseprosessen. Sertifisering etter ISO/IE eller tilsvarende vil være tilstrekkelig dokumentasjon for at kravet er oppfylt Hvis Leverandørens styringssystem for informasjonssikkerhet ikke er sertifisert, skal Leverandøren i bilag 2 utarbeide en beskrivelse av avvik mellom eget styringssystem og anerkjente styringssystem for informasjonssikkerhet. Saksnummer 13/ / 44