KRAV TIL STYRING, SAMARBEID OG GJENNOMFØRING

nr. 3.1.1.1 3.1.1.2 3.1.1.3 3.1.1.4 3.1.1.5 3.1.1.6 KRAV TIL STYRING, SAMARBEID OG GJENNOMFØRING All kommunikasjon med Kunden, både skriftlig og muntlig, skal skje på norsk og Leverandøren skal ha personell som behersker norsk som arbeidsspråk i sin kontakt med Kunden. Minimum en gang per år skal det avholdes møte mellom representanter for partenes ledelse, jf. bilag 6 punkt 4.3. Leverandøren skal forplikte seg til avtalte SLA i bilag 5, følge opp servicenivå på leverte tjenester i forhold til disse og gi prisavslag dersom avtalt servicenivå ikke oppfylles. Leverandøren skal tilpasse sin leveranseorganisasjon til Kundens forvaltningsorganisasjon for å sikre et effektivt samarbeid, jf. bilag 6. Leverandøren skal ha samarbeidsavtaler med eventuelle underleverandører som skal benyttes for å levere driftstjenestene i denne avtalen. Leverandøren skal ha et webbasert grensesnitt med oversikt og detaljer om Kundens saker og brukere, nøkkelpersoner med funksjoner og ansvarsområde, og som viser monitorering av hardware og software som Leverandøren har ansvaret for. 4.1.1.1 4.1.1.2 4.1.1.3 4.1.1.4 4.1.1.5 4.1.1.6 4.1.1.7 OVERORDNEDE KRAV TIL TJENESTER Generelle overordnede Det er ansvar å drifte løsningen. Dette inkluderer data og applikasjoner levert fra Kunden når Leverandøren har akseptert leveranse av disse. Driftsløsningen skal etableres i et land som har gjennomført EU-direktive 95/46/EF, eller land som er forhåndsgodkjent av Datatilsynet for overføring av personopplysninger. Leverandøren skal levere en skriftlig risikovurdering av de enkelte plattformtjenestene samt en sammenligning av eventuelle ulike alternativers egenskaper når det gjelder konfidensialitet, tilgjengelighet og integritet. Leverandøren skal levere et høyere tjenestenivå på spesifikke plattformtjenester dersom Kunden bestiller dette. Leverandøren plikter å holde Kundens data systemmessig atskilt fra eventuelle tredjeparters data, herunder skal Kundens produksjonsplattformer holdes isolert fra andre kunder sine driftsløsninger hos Leverandøren, jf. SSA-D punkt 9.6. Leverandøren skal beskrive hvordan Kundens produksjonsplattformer holdes isolert fra andre kunder sine driftsløsninger hos Leverandøren. Leverandøren skal til enhver tid ha gyldig support-avtale for all maskinvare som er benyttet i tilbydd løsning. B J T <Tilbyders navn> 1/20

nr. 4.2.1.1 4.2.1.2 4.2.1.3 4.2.1.4 4.2.1.5 4.2.1.6 4.2.1.7 4.3.1.1 4.3.1.2 4.3.1.3 4.3.1.4 Overordnede tekniske skal bygge på den oversikten som er beskrevet i bilag 1 punkt 1.2, samt den oversikt over plattformer, miljøer og integrasjoner som er beskrevet i bilag 3 kapittel 3. Leverandøren skal til enhver tid ha kontroll på innhold og versjoner av software i de ulike miljøene.(pt-1, PT-2, PT-3, PT-4 og PT-5). Leverandøren skal beskrive prosesser/rutiner og støtteverktøy for å sikre dette, jf. til driftsspesifikasjon, se bilag 6 punkt 8.2. Driftsløsningen skal være fleksibel, slik at eksempelvis endringer og nye versjoner av Kundens applikasjoner kan håndteres raskt og med lav risiko. Driftsløsningen skal muliggjøre rask og kostnadseffektiv skalering (både horisontalt og vertikalt) for å møte høyvolumsperioder og økt kapasitetsbehov over tid. Dersom Leverandøren skal realisere virtualisering av servere og infrastruktur som understøtter Kundens behov, skal Leverandøren dokumentere hvordan integritet, konfidensialitet og tilgjengelighet er i varetatt. Leverandøren skal beskrive hvilke deler av driftsløsningen som er dedikerte løsninger for Kunden, og hva som er felles med andre kunder. Driftsløsningene for de ulike plattformene skal være adskilte på en slik måte at ustabilitet på en av disse plattformene ikke påvirker stabiliteten/tilgjengeligheten på de øvrige plattformene i løsningen. Kvalitetssikrings- og styringssystem Leverandøren skal (senest 3. mai 2015) ha et kvalitetssikrings- og styringssystem etter internasjonal anerkjent standard. Kvalitetssikrings- og styringssystemet skal dekke alle organisasjonsenheter som inngår i leveranseprosessen. Sertifisering etter ISO/IEC 27001 eller tilsvarende vil være tilstrekkelig dokumentasjon for at et er oppfylt. Dersom Leverandøren ikke har et kvalitetssikrings- og styringssystem som beskrevet i avsnittet over innen 3. mai 2015, vil det påløpe sanksjoner som angitt i bilag 5 kapittel 4.7. Hvis kvalitetssikrings- og styringssystem ikke er sertifisert, skal Leverandøren i bilag 2 utarbeide en beskrivelse av avvik mellom eget kvalitetssikrings- og styringssystemet og anerkjente kvalitetssikrings- og styringssystemet. Oppdatert beskrivelse av kvalitetssikrings- og styringssystemet skal være tilgjengelig for Kunden i webgrensesnitt. Kunden skal få innsyn i de kvalitetsrevisjoner og tiltak som gjøres, jf. bilag 6 kapittel 8. Det skal fremgå av styringssystemet for informasjonssikkerhet hvordan sikkerhets- og prosess i lov og forskrift om behandling av personopplysninger tilfredsstilles. <Tilbyders navn> 2/20

nr. 4.4.1.1 4.4.1.2 4.4.1.3 4.5.1.1 4.5.1.2 Etterlevelse av regelverk Leverandøren bør følge de til en hver tid gjeldende forvaltningsstandarder, og nye i slike standarder skal implementeres innen rimelig tid. Leverandøren skal i leveransen av driftstjenesten etterleve esignaturloven, eforvaltningsforskriften og forskrift om IT-standarder i offentlig forvaltning. Leverandøren skal i leveransen av driftstjenesten ivareta de til personvern som til enhver tid gjelder i norsk rett og som undertiden fremgår av personopplysningsloven med tilhørende forskrifter, særlig personopplysningsforskriften. Miljø Leverandøren skal beskrive hvordan Kundens driftsløsning vil være miljøoptimalisert, herunder hvordan Leverandøren sikrer at driftsløsningen er energieffektiv, og hvordan Leverandøren tar miljøhensyn ved kjøp av nytt utstyr og avhending av brukt utstyr. Måten Leverandøren møter ene til miljø, skal ikke forringe ene beskrevet i bilag 5 og øvrige sikkerhets. Leverandøren skal beskrive hvilke miljøeffektive løsninger som vil bli implementert i Kundens driftsløsning, for eksempel resirkulering av restvarme fra servere, naturlig kjøling til serverrom, verktøy for logging og optimalisering av energibruken fra servere, rutiner for måling/benchmarking av PUE og DCIE. C N G A N G 5.1.1.1 5.1.1.2 5.1.1.3 PT-1 DRIFTSPLATTFORM FOR ÅPEN INFORMASJON Leverandøren skal levere en driftsplattform for åpen informasjon med tilhørende miljø som beskrevet i bilag 3 punkt 3.2.4. Driftsløsning for åpen informasjon skal tilfredsstille til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel 3. Driftsløsningen skal tilfredsstille ene til krise- og beredskapshåndtering, ved at miljøene og tjenesteleveransen skal kunne gjenopprettes innen de tidsfrister og med den kapasitet som fremkommer av bilag 5 punkt 3.7. 6.1.1.1 6.1.1.2 6.1.1.3 6.1.1.4 PT-2 DRIFTSPLATTFORM FOR SENSITIV INFORMASJON Leverandøren skal levere en driftsplattform for sensitiv informasjon med tilhørende miljø som beskrevet i bilag 3 punkt 3.2.3. Driftsløsning for sensitiv informasjon skal tilfredsstille til tilgjengelighet og responstider slik det fremkommer av bilag 5 kapittel 3. Driftsløsning skal være meget motstandsdyktig mot angrep på konfidensialitet, integritet eller tilgjengelighet fra personell hos Leverandøren og fra eksterne. Alle endringer fra personell hos Leverandøren skal logges slik at endringen entydig kan knyttes til bestemte fysiske personer. <Tilbyders navn> 3/20

nr. 6.1.1.5 6.1.1.6 Driftsløsningen skal ha tilsvarende eller bedre ytelse og responstider enn eksisterende driftsløsning. Resultater fra test av ytelse og responstid for dagens driftsplattform er dokumentert i bilag 3. Loggene skal sikres slik at personell hos Leverandøren ikke alene skal kunne påvirke integriteten eller tilgjengeligheten til loggene. PT-3 DRIFTSPLATTFORM FOR FUNKSJONELLE TESTING Leverandøren skal levere en driftsplattform for funksjonell testing med tilhørende miljøer som 7.1.1.1 beskrevet i bilag 3 punkt 3.3.1 Driftsplattform for funksjonell testing av applikasjoner skal tilfredsstille til tilgjengelighet 7.1.1.2 og responstider slik det fremkommer av bilag 5 kapittel 3. PT-3 plattformen skal være konfigurert lik plattformen PT-1 og PT-2, men kan ha redusert 7.1.1.3 kapasitet i forhold til produksjonsmiljøet. 7.1.1.4 Alle personopplysninger i miljøet skal være anonymisert, jf.bilag 3. PT-4 DRIFTSPLATTFORM FOR YTELSESTESTING Leverandøren skal levere en driftsplattform for ytelsestesting med tilhørende miljøer som 8.1.1.1 beskrevet i bilag 3 punkt 3.3.3. Driftsplattform for ytelsestesting av applikasjoner skal tilfredsstille til tilgjengelighet og 8.1.1.2 responstider slik det fremkommer av bilag 5 kapittel 3. PT-4 skal ha tilsvarende mekanismer for ytelse og kapasitet som produksjonsplattformene, slik at resultater fra ytelsestester utført i PT-4 er sammenlignbar med 8.1.1.3 produksjonsplattformene PT-1 og PT-2. 8.1.1.4 Alle personopplysninger i miljøet skal være anonymisert, jf. bilag 3. PT-5 DRIFTSPLATTFORM FOR DRIFTS- OG INSTALLASJONSTESTING Leverandøren bør levere en driftsplattform for drifts- og installasjonstesting med tilhørende C N G miljøer som setter Leverandøren i stand til å drifte driftsløsningen effektivt og med lav risiko. 9.1.1.1 9.1.1.2 Alle personopplysninger i miljøet skal være anonymisert, jf. bilag 3. 10.1.1.1 10.1.1.2 ENKELTTJENESTER Driftsløsningen skal være sikret mot ytre trusler og eventuelle avvik i forhold til ISO 27002 eller tilsvarende. Prioriterte områder, lokaler og kritisk datautstyr skal være sikret med nødstrømsløsning. Nødstrømsløsningen og reserveløsning for kjøling skal dekke normal drift av driftsløsningen i inntil 48 timer. <Tilbyders navn> 4/20

nr. De sikrede områdene skal ha alarmanlegg for og være sikret mot brann, innbrudd og 10.1.1.3 vanninntrenging. De sikrede områdene skal være sikret med temperaturovervåkning og varsling av avvik til 10.1.1.4 driftspersonell. 10.1.1.5 Driftsstedet skal være sikret i henhold til FG-klasse B2, eller høyere. 10.1.1.6 Driftsstedet bør være sikret i henhold til FG-klasse B3. C J G Sikrede områder (driftsstedet) og tilhørende lokaler for Driftsløsningen skal godkjennes av 10.1.1.7 Kunden. Driftsløsningen for PT-1 og PT-2 skal ha tilstrekkelig redundans og plasseres i minimum 2 10.1.1.8 fysisk atskilte driftslokasjoner, jf. bilag 3 kapittel 4.1. Ytelse og svartider for komponenter i driftsløsningen skal ikke bli påvirket av driftsstedet de 10.1.1.9 er plassert i. En krisesituasjon som fysisk påvirker et driftssted skal ikke påvirke stabilitet på andre 10.1.1.10 driftssted. Hensiktsmessige adgangskontroller skal sikre at bare autorisert personell får adgang til 10.1.1.11 sikrede områder. 10.1.1.12 De sikrede områdene skal ha et overvåkings- og alarmsystem. ET-2 Nettverkstjenester Driftsløsningen skal være sikret med redundante kommunikasjonsløsninger, slik at enkeltbrudd på kommunikasjonslinjer eller internettknutepunkter ikke hindrer tilgang til 10.2.1.1 driftsløsningen. Leverandøren skal etablere en internettforbindelse med tilsvarende eller bedre båndbredde 10.2.1.2 enn dagens driftsløsning jf. bilag 3. De deler av Driftsløsningen som er dedikert for Kunden, må plasseres i isolerte nettverkssoner hos Leverandøren atskilt fra øvrige kunder og 10.2.1.3 administrative nettverk. Leverandøren skal etablere deteksjon (IDS) av uautorisert trafikk i driftsløsningen og 10.2.1.4 eventuelt delt nettverksinfrastruktur for å hindre uønsket trafikk og angrep. 10.2.1.5 Leverandøren skal rapportere uautorisert trafikk i driftsløsningen til Kunden. 10.2.1.6 Leverandøren skal etablere endringsregime vedrørende nettverksutstyr og regelmessig revidere regelsettet i lastdeler, IDS, brannvegger og rutere, inkludert prosedyre for å stenge inaktive åpninger. 10.2.1.7 ET-2-1 Lastbalansering Driftsløsningen skal ha en lastbalanseringsfunksjon som støtter opp under Kundens behov beskrevet i bilag 3. <Tilbyders navn> 5/20

nr. 10.2.1.8 Leverandøren skal etablere terminering av ende-til-ende kryptering i en sone tilpasset tjenestens beskyttelsesbehov. ET-2-2 Lastbegrensing 10.2.1.9 Driftsløsningen skal ha en funksjon for lastbegrensing som beskrevet i bilag 3. Lastbegrensningen skal inneholde funksjonalitet for å nedprioritere trafikk fra utvalgte 10.2.1.10 tjenesteeiere, slik som det er beskrevet i bilag 3. 10.2.1.11 ET-2-3 Sikring mot DDOS Driftsløsningen skal ha verktøy for å detektere, spore og kaste datatrafikk i tjenestenektangrep og distribuerte tjenestenektangrep. ET-2-4 VPN Leverandøren skal levere VPN tjenester i samsvar med Kundens behov som beskrevet i 10.2.1.12 bilag 3 punkt 4.2.8. 10.2.1.13 Leverandøren skal sikre nettverkskommunikasjon mot tredjepart med VPN. 10.2.1.14 Leverandøren skal overvåke linjer for å sikre høy tilgjengelighet for VPN linjen. 10.2.1.15 Leverandøren skal ha rutiner for reetablering av VPN ved feil. 10.2.1.16 Leverandøren skal etablere sikker VPN ved bruk av fysiske VPN-bokser. 10.2.1.17 Leverandøren bør levere VPN basert på MPLS. C J T Leverandøren skal levere en dedikert FTP-tjeneste for Kunden til bruk for overføring av PINkodebrev fra SITS, jf. bilag 3 kapittel 2. 10.2.1.18 10.2.1.19 10.2.1.20 10.2.1.21 10.2.1.22 ET-2-5 Filoverføringstjenester Leverandøren skal levere filoverføringstjenester for overføring av filer fra/til tredjepart etter Kundens behov. Leverandøren skal overvåke overføringstjenesten for å sikre at avtalte filer blir overført og behandlet etter Kundens behov. ET-2-6 DNS Leverandøren skal gjøre tilgjengelig DNS tjenester som understøtter Kundens behov beskrevet i bilag 3. ET-2-7 Brannmur Leverandøren skal levere brannmurtjenester som understøtter Kundens behov beskrevet i bilag 3. ET-3 Lagringstjenester A N G <Tilbyders navn> 6/20

nr. 10.3.1.1 10.3.1.2 10.3.1.3 10.3.1.4 10.3.1.5 Leverandøren skal etablere lagringsløsninger for lagring av data som dekker behov beskrevet i bilag 3. Leverandøren skal ha dokumentert rutiner for å sikre oppbevaring av og å hindre uautorisert tilgang til dokumentasjon av løsningen (inkludert papirbasert informasjon) og data/informasjon lagret i løsningen. Leverandøren skal etablere en løsning og rutiner for langtidsoppbevaring av informasjon i minst 10 år. Det skal tas hensyn til at lagringsmedia har begrenset holdbarhet og at formater har begrenset levetid og data må overføres til nytt media og format ved behov. Dagens diskbruk er beskrevet i bilag 3, punkt 8.6. Leverandøren skal, etter avtale med Kunden, slette data/informasjon når oppbevaringstid er overskredet. ET-3-1 Database Leverandøren skal levere databasetjenester som understøtter Kundens behov beskrevet i bilag 3. ET-3-2 Filtjeneste 10.3.1.6 Leverandøren skal levere filtjenester som understøtter Kundens behov beskrevet i bilag 3. ET-3-3 Filtjenester med integritetskontroll G 10.3.1.7 Leverandøren skal levere en filtjeneste som sikrer filer fra endring. Tjenesten for å sikre filintegritet bør ha sporing av hvilke prosesser og brukere som har hatt 10.3.1.8 tilgang til og lest filer som er lagt under integritetskontroll. C J G Tjenesten bør knyttes sammen med overvåkingstjenesten slik at eventuelle brudd på 10.3.1.9 integriteten raskt blir avdekket. C J G ET-3-4 Backup 10.3.1.10 Backupløsning skal ivareta at det ikke aksepteres tap av data i driftsløsningen. 10.3.1.11 Backup skal ikke lagres lenger enn 30 dager. Leverandøren skal varsle Kunden dersom sikkerhetskopiering ikke har gått som avtalt eller 10.3.1.12 ikke er ferdig innenfor avtalt tidsfrist. Leverandøren skal jevnlig verifisere innhold i sikkerhetskopier og teste gjenoppretting av data 10.3.1.13 for å verifisere kvaliteten på sikkerhetskopiene. 10.3.1.14 Sikkerhetskopiert informasjon skal gis nødvendig fysisk og miljømessig beskyttelse. Leverandøren skal dokumentere rutiner for oppdatering av backupscript for å sikre at 10.3.1.15 sikkerhetskopiering ivaretar endringer som gjøres i løsningen. <Tilbyders navn> 7/20

nr. ET-3-5 Hardware Security Module (HSM) Utstyr brukt for sikker lagring av nøkler skal tilfredsstille FIPS 140-2 Level 3 eller Common 10.3.1.16 Criteria EAL 4. A N G 10.3.1.17 HSM løsningene for produksjonsplattformene skal være redundant. Leverandøren skal levere HSM støtte til alle plattformtjenestene for å kunne understøtte test 10.3.1.18 og utvikling. 10.3.1.19 Rutine for konfigurasjonsstyring og vedlikehold av HSM skal være etablert. 10.3.1.20 HSM skal ikke være delt med andre kunder. A N G ET-4 Servertjenester 10.4.1.1 Leverandøren skal ha metoder, verktøy og sjekklister for herding av servere og for å sikre 10.5.1.1 10.5.1.2 ET-5 Operativsystemtjenester Leverandøren skal levere stabil serverdrift med et egnet operativsystem som understøtter Kundens behov jf. bilag 3. Leverandøren skal tilpasse og konfigurere operativsystem som understøtter Kundens behov. 10.6.1.1 10.6.1.2 ET-6 Mellomvaretjenester Leverandøren skal levere drift av mellomvaretjenester som understøtter Kundens behov beskrevet i bilag 3 punkt 4.6. Leverandøren skal tilpasse og konfigurere mellomvaretjenester som understøtter Kundens behov jf bilag 3 punkt 4. 6. ET-7 E-posttjeneste 10.7.1.1 E-posttjenesten skal være integrert mot Kundens applikasjoner, jf. bilag 3 punkt 2.6.3. 10.7.1.2 E-posttjenesten bør kommunisere over SMTP. C J G ET-8 Applikasjonsdrift Leverandøren skal levere stabil drift av applikasjonene som understøtter Kundens behov 10.8.1.1 beskrevet i bilag 3. Kundens applikasjoner skal være tilgjengelig i henhold til responstider definert i SLA i 10.8.1.2 bilag 5 punkt 3.2. 10.8.1.3 Leverandøren skal overvåke tidsstyrte jobber tilknyttet applikasjonen. 10.9.1.1 ET-9 Sertifikattjenester Leverandøren skal forvalte alle sertifikater i løsningen, følge opp og varsle Kunden i god tid før de skal fornyes jf. bilag 3. <Tilbyders navn> 8/20

nr. 10.9.1.2 Leverandøren skal levere alle SSL sertifikater nødvendig for driftsløsningen jf. bilag 3. 11.1.1.1 11.1.1.2 11.1.1.3 11.1.1.4 11.1.1.5 11.1.1.6 11.1.1.7 11.1.1.8 11.1.1.9 11.1.1.10 ST-1 OVERVÅKINGSTJENESTER Basis overvåking og logging av driftsløsningen Leverandøren har ansvaret for overvåking av tjenestene og skal rapportere til Kunden om avvik, jf. bilag 6 kapittel 3). Leverandøren skal overvåke tjenestene for å sikre at eventuell nedetid, redusert tilgjengelighet, ustabilitet, lange responstider og sikkerhetsbrudd blir oppdaget. Leverandøren skal overvåke for å sikre at tilgjengelighets- og responstidsmål er innenfor avtalt nivå, jf. bilag 5 punkt 3.1-3.6. Leverandøren skal gjennomføre måling av SLA på SMS-løsningen som beskrevet i bilag 5 kapittel 2, også dersom løsningen leveres av tredjepart. Leverandøren skal ha rutiner for å identifisere og registrere alle avvik som blir identifisert i overvåkningen og varsle Kunden om dette jf. bilag 6 punkt 3.1 og 3.2. Leverandøren skal ha rutiner for å følge opp hendelsen til den er lukket. Leverandøren skal sikre en forsvarlig og systematisk overvåkning av hele leveranseprosessen av tjenestene. Leverandøren skal gjennomføre logging av drifts- og sikkerhetsmessige forhold som beskrevet i bilag 6 punkt 3.1. Leverandøren skal ha en funksjon med ansvar for analyse av logger og ha kunnskap om sporing av unormale hendelser. Leverandøren skal ha etablerte metoder og verktøy for overvåking av sikkerhetshendelser. Leverandøren skal ha ansvar for overvåking av driftsløsningen og skal etablere en overvåking av tjenester, dataoverføringer, og hendelser i løsningen jf. bilag 5 punkt 4.6. Leverandøren bør gjøre tilgjengelig alle data fra overvåkingen til kunden i et egnet format. C J G 11.1.1.11 11.1.1.12 Leverandøren bør gjøre tilgjengelig verktøy for logganalyse. C J T 11.2.1.1 11.2.1.2 Overvåking av Kundens applikasjoner Leverandøren skal ha ansvar for overvåking av Kundens applikasjoner og skal etablere en overvåking av applikasjonslogger og prosesser, dataoverføringer og sikkerhetshendelser i løsningen. Leverandøren bør gjøre tilgjengelig alle data fra overvåkingen til Kunden i et egnet format. C J G ST-2 SERVICELEDELSE OG SERVICELEDER Leveranseprosesser <Tilbyders navn> 9/20

nr. 12.1.1.1 12.1.1.2 Leverandøren skal ha etablerte og fungerende prosesser basert på anerkjente prinsipper og metoder. Det skal være etablert en servicedesk og prosesser for hendelseshåndtering, problemhåndtering, endringshåndtering, kapasitetsstyring, konfigurasjonsstyring og produksjonssetting. Leverandøren bør ha sertifiserte metodeverk (for eksempel ITIL rammeverket) innen drift og vedlikehold. Serviceledelse C J G 12.2.1.1 12.2.1.2 12.2.1.3 12.2.1.4 Leverandøren skal ha etablert de roller og funksjoner som er beskrevet i bilag 6 punkt 2.4. Leverandøren skal sørge for at Kunden har full informasjon om avtalte leveransene og kvaliteten på disse. serviceleder har ansvar for å avholde forvaltningsmøter hver måned, jf. bilag 6 punkt 2.4.3. Ved bruk av underleverandører skal serviceleder ha samme ansvar for operativ styring og oppfølging av leveransen som om Leverandøren utførte alle oppgaver selv. Servicedesk Leverandøren skal ha en servicedesk med ett kontaktpunkt for håndtering av alle 12.3.1.1 henvendelser fra Kunden. A N G Leverandøren skal beskrive hvordan Kundens henvendelser håndteres i servicedesken 12.3.1.2 (brukerstøttefunksjon, 2. og 3. linje). 12.3.1.3 Leverandøren skal dokumentere kontaktpunkter og prosedyrer i bilag 6. Leverandøren skal bemanne servicedesk på en slik måte at personell med riktig kompetanse 12.3.1.4 er tilgjengelig for Kunden, jf. bilag 5 punkt 3.4.1. Leverandøren skal oppfylle SLA- til mottak av henvendelser, responstid, reaksjonstid, 12.3.1.5 tilbakemeldingstid og løsningstid for hendelser, jf. bilag 5. Leverandøren skal ha etablert en vakttelefon der Kunden eller dennes representant kan initiere aksjoner som etter avtalen skal kunne iverksettes også utenfor arbeidstiden (håndtering av kritiske og alvorlige feil og ved viktige tekniske avklaringer). Vakttelefonene skal være bemannet døgnkontinuerlig av kvalifisert personell med ansvar for å følge opp 12.3.1.6 henvendelsen. Hendelseshåndtering 12.4.1.1 Leverandøren skal ha en dokumentert prosess for hendelseshåndtering med klar beskrivelse av hvordan interaksjonen med kunden skal foregå. Dette skal beskrives i bilag 6 punkt 6.3. <Tilbyders navn> 10/20

nr. Leverandøren skal ha systemstøtte for registrering, håndtering (behandling) og rapportering 12.4.1.2 av hendelser. 12.4.1.3 Alle hendelser skal registreres og saksflyt skal være etterprøvbar. Hendelsene skal registreres og kategoriseres i henhold til definerte og avtalte kategorier. Kategorisering av hendelser ved de tjenester som leveres gjennom denne avtalen skal følge 12.4.1.4 kategoriene i bilag 5 punkt 3.5. Alle hendelser som kan ha betydning for tjenestene, Kunden, tjenesteeiere eller sluttbrukere skal rapporteres til Kunden og dokumenteres i en hendelsesrapport, jf. bilag 6 punkt 3.3.4. 12.4.1.5 Kunden skal kunne gis innsyn i hendelsesloggen. Leverandøren skal umiddelbart varsle Kunden om kritiske eller alvorlige hendelser som kan eller vil medføre konsekvenser for de tjenester eller det tjenestenivå som denne avtalen 12.4.1.6 regulerer som nærmere beskrevet i bilag 5 punkt 5. 2. Kunden har rett til å iverksette egne undersøkelser for oppfølging av hendelser hos 12.4.1.7 Leverandøren. Leverandøren skal ha dokumentert hvilke operative tiltak som iverksettes for å motvirke 12.4.1.8 gjentagelse av hendelser. 12.4.1.9 Leverandøren skal oppfylle SLA- til hendelseshåndtering i bilag 5 punkt 3.5. Problemhåndtering Leverandøren skal ha etablert en fungerende prosess for problemhåndtering, hvor saksgangen er sporbar og hvor det klart framgår hvordan interaksjonen med kunden skal 12.5.1.1 foregå. Dette skal beskrives i bilag 6 punkt 6.3. 12.5.1.2 Leverandøren skal ha verktøystøtte for problemhåndtering. 12.5.1.3 rapportering til Kunden skal være dokumentert i bilag 6 punkt 3.2. Kategorisering av problemer ved de tjenester som leveres gjennom denne avtalen skal følge 12.5.1.4 kategoriene i bilag 5 punkt 1.4.3. 12.5.1.5 Leverandøren skal oppfylle SLA- til problemhåndtering i Bilag 5, punkt 3.9. 12.5.1.6 Leverandøren skal beskrive prosess for problemløsning i bilag 6. 12.6.1.1 12.6.1.2 12.6.1.3 Endringshåndtering Leverandøren skal ha en prosess for endringshåndtering, jf. SSA-D kapittel 2, som er tilpasset Kundens til endringshåndtering i bilag 6 punkt 6.5. Dette skal beskrives i bilag 6 punkt 6.5. Prosess for endringshåndtering skal også dekke produksjonssetting av patcher, oppdateringer og nye versjoner av maskin- og programvare. prosesser for endringshåndtering av komponenter som Leverandøren har levert og er installert hos Kunden, skal beskrives særskilt. <Tilbyders navn> 11/20

nr. Leverandøren skal ha rutiner som sikrer verifisering av sikkerhetsnivå og andre forhold før endringer i tjenesten settes i produksjon. 12.6.1.4 12.6.1.4 utgår, da et dekkes av ene 12.6.1.5 og 12.6.1.6 Leverandøren skal ha rutiner som beskriver framgangsmåter for testing av ulike endringer i 12.6.1.5 tjenestene. Leverandøren skal ha etablerte rutiner for overføring av ferdigtestet og godkjent løsning til 12.6.1.6 produksjonsmiljøet. I dette inngår også kvalitetssikring. Prosedyre og informasjons ved rapportering eller varsling til Kunden skal fremgå av bilag 12.6.1.7 6 punkt 6.3. 12.6.1.8 Leverandøren skal oppfylle SLA- til endringshåndtering i bilag 5 punkt 3.10. 12.6.1.9 Leverandøren skal ha en prosess for håndtering av tilleggsbestillinger (endringsanmodninger), jf SSA-D kapittel 3, som er tilpasset Kundens til håndtering av endringsanmodning i bilag 6 punkt 6.6, samt mal i bilag 6 vedlegg 4 og 5. Dette skal beskrives i bilag 6 punkt 6.6. Produksjonssetting Leverandøren skal ha etablerte releaseprosedyrer for nye tjenester eller nye endringer i 12.7.1.1 tjenestene som skal settes i produksjon. 12.7.1.2 Leverandøren skal utarbeide og løpende oppdatere en driftsplan, jf. bilag 6 punkt 8.2. 12.8.1.1 12.8.1.2 12.8.1.3 Konfigurasjonsstyring Leverandøren skal ha prosesser, verktøy og eventuelt en database for å holde oversikt over fysisk plassering, status og endringer for alle komponenter som maskinvare og programvare, som inngår i driftsløsningen. Leverandøren skal sikre at konfigurasjonsbeskrivelsene er detaljerte nok til å gi grunnlag for en fullstendig reetablering av systemet i en katastrofesituasjon. Leverandøren skal dokumentere omfang og metode for utveksling av informasjon om konfigurasjonsendringer til Kunden. Kapasitetsstyring 12.9.1.1 Leverandøren skal ha en prosess for kapasitetsstyring for avtalte tjenester. Leverandøren skal i all planlegging, realisering og forvaltning av tjenestene ta hensyn til 12.9.1.2 høyvolumperioder og kritiske perioder. Dersom en patching ikke kan eller ikke skal gjennomføres i et vedlikeholdsvindu, skal Leverandøren ha nok kapasitet til å midlertidig erstatte de aktuelle servere/tjenester, slik at 12.9.1.3 det ikke er nedetid eller redusert nivå på tjenesten under patching. Leverandøren skal utarbeide og vedlikeholde en kapasitetsplan som beskrevet i bilag 6 12.9.1.4 punkt 8.2. <Tilbyders navn> 12/20

nr. 12.10.1.1 12.10.1.2 12.10.1.3 12.10.1.4 12.10.1.5 12.10.1.6 12.10.1.7 12.10.1.8 12.11.1.1 Kontinuitet og beredskap Leverandøren skal ha etablert, dokumentert og vedlikeholdt kontinuitets- og beredskapsplan som dekker krisesituasjoner, håndtering av sikkerhetsbrudd, backup- og reservedriftsløsninger for tjenestene. Leverandøren skal garantere at kontinuitets- og beredskapsplan holdes oppdatert gjennom regelmessig testing og øvelse. Kunden skal etter nærmere avtale kunne delta på kontinuitets- eller beredskapsøvelse. Leverandøren skal etter nærmere avtale delta på Kundens kontinuitets- eller beredskapsøvelse. Leverandøren skal etter nærmere avtale bistå med gjennomføring av prosessforbedring i Kundens planverk på området. Leverandøren skal holde kontinuitets- og beredskapsplan løpende oppdatert gjennom regelmessig test og øvelse. et utgår pga duplikat med 12.10.1.2 Leverandøren skal ved behov kunne delta i skrivebordsøvelser for å verifisere at nødvendige prosesser og prosedyrer fungerer i en krisesituasjon. Leverandøren skal tilrettelegge for nødvendig beredskap for sine tjenester i høyvolumsperioder og kritiske perioder, jf. Kundens årsplan bilag 3 vedlegg 3. Driftsrutiner driftsrutiner skal følge anerkjente prinsipper, være dokumenterte, kvalitetssikret og godkjent internt hos Leverandøren. Innsyn og revisjon 12.12.1.1 Leverandøren skal gi Kunden informasjon om alle planlagte revisjoner. Kunden skal få innsyn i all informasjon fra relevante rapporter og resultater fra utførte revisjoner, inspeksjoner eller sertifiseringer utført av Leverandøren selv, av tilsynsmyndigheter eller av tredjepart. Innsynet kan begrenses til personer hos Kunden som 12.12.1.2 Leverandøren på forhånd har godkjent (autorisert). 12.12.1.3 Leverandøren skal dokumentere overfor Kunden resultater og konklusjoner fra revisjoner, tilsyn eller sertifiseringer, som vedkommer tjenestene. Eventuell avvikshåndtering inngår i oversikten. Dette skal skje fortløpende etter at slike er gjennomført. Rapportering og varsling <Tilbyders navn> 13/20

nr. 12.13.1.1 12.13.1.2 12.13.1.3 13.1.1.1 Leverandøren skal tilrettelegge sine systemer, slik at effektiv og relevant rapportering og varsling kan gjennomføres. Ved konstaterte sikkerhetsbrudd eller andre påviste svakheter som har negativ påvirkning på tjenestene, Kunden, tjenesteeiere eller sluttbruker, skal Leverandøren umiddelbart varsle Kunden. For slik varsling gjelder egen prosedyre, jf bilag 5 punkt 5.2. Driftsløsningen skal tilrettelegge for at applikasjonen sitt administrative grensesnitt er tilgjengelig for Kunden. ST-3 TEST TJENESTER Testledelse Leverandøren bør tilby bistand til planlegging, ledelse og dokumentasjon av tester i tjenestekatalogen, bilag 7 vedlegg 2. C N T Ytelsestest 13.2.1.1 Leverandøren skal gjennomføre og analysere ytelsestester etter behov fra Kunden. B N T 14.1.1.1 14.1.1.2 ST-4 INFORMASJONSSIKKERHETSTJENESTER Leverandøren skal ha et styringssystem for informasjonssikkerhet etter internasjonal anerkjent standard for informasjonssikkerhet. Styringssystemet skal dekke alle organisasjonsenheter som inngår i leveranseprosessen. Sertifisering etter ISO/IEC 27001 eller tilsvarende vil være tilstrekkelig dokumentasjon for at et er oppfylt. Hvis styringssystem for informasjonssikkerhet ikke er sertifisert, skal Leverandøren i bilag 2 utarbeide en beskrivelse av avvik mellom eget styringssystem og anerkjente styringssystem for informasjonssikkerhet. Sikkerhetspolicy 14.1.1.3 Leverandøren skal legge frem sin sikkerhetspolicy jf. bilag 6 punkt 8.2. Leverandøren skal ha beskrevet rutine for å informere Kunden om vedtatte relevante 14.1.1.4 endringer i sikkerhetspolicyen. Leverandøren skal bistå Kunden med samordning og koordinering av sikkerhetsnivå på de 14.1.1.5 tjenester som avtalen regulerer. Sikkerhetsorganisering 14.2.1.1 Leverandøren skal dokumentere sin sikkerhetsorganisasjon. 14.2.1.2 Leverandøren skal ha en sikkerhetsansvarlig som skal være kontaktpunktet mellom Kunden og Leverandøren ved alle sikkerhetsrelaterte henvendelser og ha ansvaret for å rapportere sikkerhetshendelser til Kunden jf. bilag 6 punkt 5.1. <Tilbyders navn> 14/20

nr. 14.2.1.3 14.3.1.1 14.3.1.2 14.3.1.3 14.3.1.4 sikkerhetsansvarlig skal i samarbeid med Kundens IT-sikkerhetsleder og sikkerhetssjef arrangere møte i Sikkerhetsforum fortrinnsvis en gang per kvartal jf. bilag 6 punkt 4.7. Håndtering av aktiva Leverandøren skal dokumentere og vedlikeholde oversikt over aktiva for Kundes gjennomsyn og godkjenning jf bilag 6 punkt 8.2. Dokumenter, lagret informasjon og lagringsmedier skal kunne slettes i samsvar med gjeldende føringer for sikker sletting fra Datatilsynet. Ved avhending eller gjenbruk av enheter og utstyr som har vært benyttet i forbindelse med løsningen, skal Leverandøren iverksette en sikker og forsvarlig avhendingsprosess som også tar hensyn til miljømessige aspekter. Leverandøren skal dokumentere rutiner for å ivareta sikker sletting, og evt. destruksjon, av dokumenter, informasjon og lagringsmedier jf bilag 6 punkt 8.2. Personellsikkerhet C J G Leverandøren skal innhente taushetserklæring fra ansatte, underleverandører og tredjeparter som handler på vegne av Leverandøren i forbindelse med gjennomføring av avtalen. A N G 14.4.1.1 Erklæringen skal omfatte slik informasjon som er dekket av SSA-D punkt 7.3. 14.4.1.2 Leverandøren skal gjennom ISMS ha et dokumentert regime for personellsikkerhet. A N G Leverandøren skal gjennomføre opplæring i informasjonssikkerhet for alt personell - både for eget, samarbeidende og innleid personell med relevans for denne avtalen. Dette skal være 14.4.1.3 dokumentert. Leverandøren skal til enhver tid har tilfredsstillende tilgjengelig kapasitet av personell med 14.4.1.4 nødvendig kompetanse til å oppfylle kontrakten. 14.5.1.1 14.5.1.2 14.5.1.3 Kommunikasjons- og driftsstyring Leverandøren skal dokumentere ansvar og prosedyrer for administrasjon og drift av IT infrastruktur i sikkerhetsdokumentasjonen jf. bilag 6 punkt 8.2. Leverandøren skal beskrive hvordan de til enhver tid holder antall personer som har tilganger for kommunikasjons- og driftsadministrasjon på et minimum, jf bilag 6 punkt 8.2. Der det er hensiktsmessig bør Leverandøren ha en arbeidsdeling mellom administrasjon og utførelse av oppgaver for å redusere faren for utilsiktede/uautoriserte hendelser eller overlagt misbruk av systemer eller tjenester. Tilgangskontroll C J G <Tilbyders navn> 15/20

nr. 14.6.1.1 14.6.1.2 14.6.1.3 14.6.1.4 14.6.1.5 Leverandøren skal sikre at informasjon, data og programmer kun er tilgjengelig for autoriserte personer. Leverandøren skal sikre at tilgang til interne nettverkskomponenter skal skje på en kontrollert måte. Dette for å sikre at brukere som har tilgang til nettverk og nettverkskomponenter, ikke kompromitterer sikkerheten. Leverandøren skal sikre at tilgang til data som ligger lagret i løsningen, begrenses til autorisert personell. Leverandøren skal ha rutine for ajourhold av autorisasjon og tilganger, herunder umiddelbar tilbaketrekking av autorisasjon og tilganger når en person fratrer driftsoppgaver knyttet til løsningene. Leverandøren skal også sikre at det bare er autorisert personale som vil ha tilgang til Kundens programvare med tilhørende dokumentasjon. 14.6.1.6 Leverandør er ansvarlig for at kun autorisert personale skal kunne utføre driftsoperasjoner. 14.6.1.7 Leverandøren skal dokumentere rutinen for tildeling av rettigheter til løsningen. 14.6.1.8 14.6.1.9 Leverandør skal ha nedtegnet oversikt over personell som har tilgang til Kundes system. Ved hvert kvartal og ved store endringer skal oversikten revideres og sendes til Kunden. De enkelte Plattformtjenestene (PT) bør ha adskilt styring av tilgangsrettigheter og tildelte tilgangsrettigheter i et PT miljø skal ikke automatisk gi tilsvarende tilganger i et annet miljø. C J G 14.6.1.10 14.6.1.11 Tilleggs for tilgangskontroll til produksjonsmiljøet Leverandøren skal etablere tilgangskontroll for PT-1 og PT-2, der tilgangen er begrenset til et minimum. Leverandøren bør som del av sin månedlige rapportering levere rapporter over hvilke personer som har hatt tilgang til PT-2, og hvilke av disse som faktisk har vært inne på systemet. Anskaffelse, utvikling og vedlikehold av informasjonssystemer C N G 14.7.1.1 14.7.1.2 Leverandøren skal ha et regime for håndtering av sikkerhetsoppdateringer i driftsløsningen. Leverandøren skal beskrive tiltak som sikrer at uautoriserte eller ikke-planlagte endringer av komponenter i løsningen eller applikasjonsfiler eller andre kritiske filer på server, kan oppdages og forhindres. Dersom det ikke er mulig å forhindre endringene skal det umiddelbart foretas tilbakerulling til godkjent versjon av løsningen. C J G Beskyttelse mot angrep <Tilbyders navn> 16/20

nr. 14.8.1.1 14.8.1.2 14.8.1.3 Leverandøren skal til enhver tid ha en oppdatert beskyttelse mot angrep eller uønskede hendelser som kan påvirke sikkerheten i tjenesten eller leveranseprosess. Leverandøren skal ha systemer for beskyttelse mot tjenestenektangrep. utgår pga duplikat med 10.2.1.11 Leverandøren skal ha systemer for beskyttelse mot ondsinnet kode og uautorisert tilgang fra internett eller fra interne nettverk. Sikkerhetstester Leverandøren skal gjennomføre sikkerhetstester i egen infrastruktur som skal utføres av 14.9.1.1 tredjepart. Dette kan eksempelvis være penetrasjonstester. Kunden med eventuell bistand fra tredjepart skal ha rett til å gjennomføre relevante 14.9.1.2 sikkerhetstester hos Leverandøren. Leverandøren skal angi kriterier for iverksetting av ekstraordinære sikkerhetstester, eller 14.9.1.3 andre verifikasjoner, jf. bilag 6 punkt 6.8. Ved behov skal Leverandøren bistå Kunden med sikkerhetstester, eksempelvis 14.9.1.4 penetrasjonstester. B N T Leverandøren skal benytte uavhengig tredjepart for penetrasjonstesting for å kontrollere at 14.9.1.5 iverksatte sikringstiltak fungerer. Leverandøren skal ved produksjonssetting av vesentlige endringer, gjennomføre 14.9.1.6 risikovurderinger. 14.9.1.7 Leverandøren skal minimum årlig gjennomføre en risiko- og sårbarhetsanalyse. Leverandøren skal levere dokumentasjon fra sikkerhetstester og fra risiko og 14.9.1.8 sårbarhetsanalyser til Kunden. 14.10.1.1 14.10.1.2 14.10.1.3 14.10.1.4 Sikkerhetslogger og sporbarhet Leverandøren skal ha etablert løsninger for sikring og overvåking av logger for å avdekke sikkerhetsavvik. Logger skal beskyttes særskilt for å hindre at disse endres av uautorisert personell. Leverandøren skal etablere rutiner for sletting av logginformasjon som ikke lenger har relevans. Logger som inneholder personopplysninger, som for eksempel logger i brannmur og webserver, skal slettes når de ikke har relevans for å oppdage og oppklare misbruk. Ved Rollback av en installasjon eller gjenoppretting fra sikkerhetskopi eller lignende, skal logger ikke overskrives. ST-5 KOMPETANSETJENESTER <Tilbyders navn> 17/20

nr. 15.1.1.1 Dersom Kunden bestiller det, skal Leverandøren levere utredninger av problemstillinger eller ytterligere dokumentasjon av driftsplattformen. C N T ST-6 DOKUMENTASJON Leverandøren skal ha nødvendig og oppdatert dokumentasjon, både av tjenestene, støttefunksjoner og prosesser, jf. bilag 6 kapittel 7. Dette skal være tilgengelig for Kunden på 16.1.1.1 forespørsel. Leverandøren skal utarbeide, revidere og levere dokumentasjon og planer som beskrevet i 16.1.1.2 bilag 6 punkt 8.2. 16.1.1.3 Drifts- og leveranseprosesser skal være dokumentert. Leverandøren skal holde oppdatert en oversikt over planlagte og gjennomførte tilsyn, interne 16.1.1.4 og eksterne revisjoner og lignende. All dokumentasjon som gjelder rutiner og prosedyrer for samhandling med Kunden skal være 16.1.1.5 på norsk. Leverandøren bør ha et elektronisk system for dokumentasjon som muliggjør enklere vedlikehold, gjenfinning og tilgjengeliggjøring av dokumenter og som muliggjør en effektiv C J G 16.1.1.6 samhandling med Kunden. Leverandøren skal som del av driftsplanen (jf. bilag 6 punkt 8.2), utarbeide en plan for 16.1.1.7 vedlikeholdsvinduer. DRIFTSRAPPORTERING 17.1.1.1 Leverandøren forplikter seg til å rapportere i samsvar med bestemmelser i bilag 6 punkt 3.2. MIGRERINGSPROSJEKTET Gjennomføring av migreringsprosjektet 18.1.1.1 gjennomføring av migreringsprosjektet skal skje i henhold til bilag 4. B J F 18.1.1.2 I bilag 4 vedlegg 1 skal Leverandøren utarbeide en plan for migreringen i henhold til milepælene i bilag 4 kapittel 3. Planen skal omfatte punktene i den overordnede fremdriftsplanen i bilag 4 kapittel 4. B J F 18.1.1.3 18.1.1.4 18.1.1.5 Leverandøren skal utarbeide oversikt over tilbudt personell med CV er i bilag 4 vedlegg 3. B J F Leverandøren skal bidra med nødvendig støtte for at Kunden skal få gjennomført og testet alle endringer i Kundens applikasjoner knyttet til migreringsprosjektet, jf. beskrivelsen i bilag 3 kapittel 6 og bilag 4 kapittel punkt 6.1. Støtten skal gis i form av både dokumentasjon og ressurser. Leverandøren skal gjennomføre migrering av produksjonsmiljøet for Kundens applikasjoner på et tidspunkt tilpasset leveranseplan for ID-porten jf. bilag 3 vedlegg 4. B J F A N F <Tilbyders navn> 18/20

nr. 18.1.1.6 18.1.1.7 18.1.1.8 18.1.1.9 18.1.1.10 18.2.1.1 18.2.1.2 18.2.1.3 18.2.1.4 18.2.1.5 18.2.1.6 18.2.1.7 Planen for migreringen skal sette produksjonssettingen av minimum leveranse A til leveransevindu L3, jf. bilag 3 vedlegg 4 og bilag 4. Planen for migreringen bør sette produksjonssettingen av alle leveranser til leveransevindu L3, jf. bilag 3 vedlegg 4 og bilag 4. Leverandøren bør kunne levere et verktøy for å følge opp feilhåndtering, testing og oppfyllelse av separat for migreringsprosjektet. B J F C N F C J F Leverandøren skal i migreringsprosjektet gjennomføre kontinuitets- og beredskapsøvelse. B J F Leverandøren skal etter gjennomført kontinuitets- og beredskapsøvelse levere evalueringsrapport til Kunden med eventuelle forslag til forbedringer. Dokumentasjons i migreringsprosjektet Leverandør skal levere dokumentasjon som inngår i migreringsprosjektet innen de frister om fremgår av bilag 4. Leverandøren skal i samarbeid med Kunden teste og utarbeide en produksjonssettingsplan som skal godkjennes av Kunden før produksjonssetting i henhold til bilag 4. Leverandøren skal samarbeide med Kunden i arbeidet med å lage en plan for Kundens akseptansetest etter mal fra bilag 4 vedlegg 1. B N F B N F B N F B N F Leverandøren skal i bilag 4 vedlegg 2 utarbeide en plan for driftstest i migreringsprosjektet. B J F Leverandøren skal gjennomføre en risikoanalyse av driftsløsningen som vil identifisere hvilken risiko som er knyttet til de ulike egenskaper og elementer av driftsløsningen, jf. bilag 4 vedlegg 2. Leverandøren skal i migreringsprosjektet (før oppstartsdag) gjennomføre risikovurderinger av produksjonssettingen. Leverandør skal levere dokumentasjon av SMS grensesnitt i planleggingsfasen og senest ved milepæl 1, jf. bilag 4 kapittel 3. B N F B J F B N F 18.3.1.1 18.3.1.2 Test i migreringsprosjektet Leverandøren skal gjennomføre og dokumentere test av de fem plattformene i henhold akseptansekriteriene i bilag 4 kapittel 6. Leverandøren skal i samarbeid med Kunden utarbeide produksjonssettingsplan og prosedyre. Produksjonssettingsplanen skal testes i samarbeid med Kunden. OPSJONER SMS-tjeneste B J F B N F <Tilbyders navn> 19/20

nr. Leverandøren skal levere en SMS-tjeneste som støtter opp under Kundens behov beskrevet 19.1.1.1 i bilag 3 og tilfredsstille tjenestenivå beskrevet i bilag 5. B J O 19.1.1.2 SMS-tjenesten skal tilfredsstille til responstid jf. bilag 5 punkt 3.3. B N O 19.1.1.3 SMS-tjenesten skal integreres mot Kundens applikasjoner. B J O 19.1.1.4 Kommunikasjonen mellom driftsløsningen og SMS-tjenesten skal være kryptert. B J O SMS-tjenesten skal være direkte integrert med alle norske teleoperatører for å sikre rask 19.1.1.5 leveranse av SMS. B N O 19.1.1.6 SMS-tjenesten skal sende SMS til utenlandske teleoperatører. B N O <Tilbyders navn> 20/20