UNN KIS Utdypende spesifikasjon av ytelsen Bilag V2 til Vedlikeholdsavtale UNN KIS 1
Utdypende spesifikasjon av ytelsen Kundens ønsker til vedlikehold og utvikling av løsningen Kunden ønsker å få maksimalt utbytte av, holde den utviklede løsning produktiv, i god stand og løpende oppdatert. Samtidig er det vesenlig for kunden, at de fremtidige kostnader for å vedlikeholde og videreutvikle løsningen etter prosjektet er så lave som mulig, både til hard- og software, bistand og egen tid. Sikkerhet og lovkrav Helseforetakene i regionen er som en del av spesialisthelsetjenesten underlagt en rekke lover og forskrifter som er spesielt relevante for IKT-relaterte systemer og utstyr. Krav og rammer gitt i lovs form (herunder også forskrifter og eventuelle fortolkninger, og de forskjellige tilsynsmyndigheters forståelse av disse) kan normalt ikke fravikes i avtale; slik at det er av avgjørende viktighet at leverandører av utstyr eller tjenester på dette området gjør seg kjent med disse. I kontekst av IKT-infrastruktur er det mest direkte relevante førende dokumentet Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren ( Normen ) og tilhørende Faktaark. Normen er et omforent sett av krav til informasjonssikkerhet basert på lovverket. Ut over hvert enkelt Helseforetaks selvstendige ansvar for å virke innenfor rammene av sitt styringssystem for informasjonssikkerhet så er alle Helseforetak i regionen også forpliktet å etterleve Normen. Sikkerhet og lovkrav 1 Løsninger eller utstyr som ikke er forenelig med avsnittet ovenfor kan ikke benyttes i Helse Nord Fjerntilgang All fjerntilgang til utstyr eller tjenester plassert i Helse Nords IKT-infrastruktur, og da særlig utstyr eller systemer som er pasientnære eller som er logisk plassert i et sykehus sikrede sone, skal skje gjennom Helse Nords standard løsning for fjerntilgang. Denne løsningen består av en standard IPSec VPN klient (i Remote Access modus, ikke i LAN to LAN modus) som kobler opp til regionens VPN-mottak, samt en Citrix ICA-basert terminaltjenerklient som kobler opp til en dedikert terminaltjener for fjerntilgang. Fra VPN-klienten er det kun tilgang til nevnte terminaltjener, og det er eksplisitt ikke tillat med direkte IP forbindelse fra eksterne nettverk og til utstyr plassert i sikret sone. Både VPN og terminaltjener autentiseres med en personlig brukerkonto tildelt av Helse Nord IKT, og forutsetter undertegnet tausehetserklæring. Se for øvrig også Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren, Veileder for fjernaksess. Sertifiserte serveroperativsystem Følgende serveroperativsystemer er sertifisert for bruk: a. Microsoft Windows Server 2008 R2 2
b. Red Hat Enterprise Linux 5 c. Red Hat Enterprise Linux 6 Godkjente filsystem for både system og datalagring er NTFS for Windows Server og ext3 for Red Hat Enterprise Linux. Rå tilgang til disk devices støttes ikke. Serveroperativsystem 2 Løsningen må kunne kjøres og driftes på en av de overnevnte operativsystemene. Database Databaseløsninger i regionen driftes av Seksjon for databasedrift i et standardisert stordriftsregime. Regionen har standardisert på tre godkjente databasemotorer og disse støttes i siste sertifiserte hovedversjon, men med mulighet for bruk av forrige hovedversjon i unntakstilfeller. Systemer som benytter databaser skal i hovedsak støtte bruk av en sentralisert databasemotor (i.e. ikke kreve bruk av en sk. embedded databasemotor); kunne sameksistere med andre applikasjoner på den samme databasetjeneren; og må støtte å kjøre mot en databaseklynge (cluster). Masterpassord og administratorkontoer (e.g. sysadmin/administrator for MS SQL, sys/system for Oracle, etc.) gjøres normalt ikke tilgjengelig for leverandøren, og tilgang for vedlikehold eller feilsøking skjer ved hjelp av en dedikert brukerkonto for aktuell leverandør og system med de nødvendige tilganger (normalt kun lesetilgang, men utvidete rettigheter kan tildeles ved behov i særskilte tilfeller). Sikkerhetskopi (backup) og programvareoppdateringer ivaretas av Seksjon for databasedrift. Følgende databasemotorer er sertifiserte for bruk: a. Microsoft SQL Server 2008 b. Oracle 11g c. MySQL 5 Følgende databasemotorer er sertifiserte men under utfasing, eller er av andre årsaker ikke en del av standard driftsplattform for nye installasjoner: a. Microsoft SQL Server 2005 b. Oracle 10g Database 3 Løsningen må kunne kjøres og driftes på en av de overnevnte databasemotorene. 4 Leverandør skal angi filsystem, operativsystem og databaseplattform som databasedelen av løsningen kan kjøre på 5 Angi oppgraderingsplan for databaseplattform som løsningen skal kjøre på 6 Databaseløsningen skal ha design basert på høy tilgjengelighet som inkluderer bruk av klyngeteknologi. Databaser som krever standalone servere er et unntak og vil medføre høyere kostnader til etablering og drift 7 Databaseløsninger som krever egne servere for den gitte applikasjonen, skal kunne være skalerbar 3
8 Databaseløsningen skal kunne installeres adskilt fra applikasjonsserverløsningen og andre applikasjonsspesifikke komponenter 9 Databasen skal håndtere skandinavisk og samiske tegnsett korrekt både ved registrering og søking 10 Databasen skal håndtere ulike typer spesialtegn (for eksempel α, β, γ, μ) korrekt både ved registrering og søking 11 Tilbudt løsning skal ved installasjoner og oppgraderinger ikke kreve tilgang via brukere eller rettigheter tilsvarende sa, sys eller system 12 Overvåkning og backup gjøres etter interne rutiner ved Seksjon for databasedrift i Helse Nord IKT 13 Seksjon for databasedrift ivaretar oppgradering av databasemotor og databaser i samråd med leverandør Generelle 14 Leverandør skal sikre oppfyllelse av myndighetskrav gjennom sin løsning. 15 Inntil 5 navngitte superbrukere skal ha rett til å kontakte leverandørens servicedesk per telefon eller mail for å få hjelp til bruk av systemet. 16 Leverandøren skal ha kompetent personale tilgjengelig for å svare på henvendelser som meldes inn i henhold til responstider. Leverandør bes beskrive hvilke responstider de tilbyr i henhold til SSA-V. 17 Leverandøren skal beskrive rutiner for hvem som vil ha tilgang til Oppdragsgivers systemer som omfattes av Vedlikeholdsavtalen, og hvordan disse ajourholdes. 18 Leverandøren skal ha brukerstøtte som minimum svarer på henvendelser fra telefon og e-post. 19 Fast årlig vedlikeholdsavgift omfatter brukerstøtte på minimum 15 minutter per sak. Leverandøren skal tydelig informere Oppdragsgiver om brukerstøtten ikke dekkes av vedlikeholdsavgiften og Oppdragsgiver vil bli fakturert for medgått tid. 20 Leverandøren plikter å informere Oppdragsgiver om kjente feil. Informasjonen skal gjøres lett tilgjengelig for Oppdragsgiver. Leverandøren skal i tillegg informere om når og hvordan feilen er planlagt løst samt om eventuelle midlertidige løsninger eksisterer. 21 Brukerstøtte skal foregå på et av de skandinaviske språkene, både i skriftlig og muntlig form. 22 Leverandør skal innen en uke etter at Oppdragsgiver har kommet med en bestilling/endringsordre levere forslag til løsning, risiko, tids- og kostnadsestimat. 23 Leverandør skal som minimum starte arbeidet på en ny bestilling/endringsordre innen en uke etter at Oppdragsgiver løsningsbeskrivelsen inkludert tid og pris. Retting av feil 4
24 Leverandøren skal vederlagsfritt bistå med installasjon av programrettelser i forbindelse med feil av kategori A og B. 25 Installasjon av programrettelser er inkludert i den årlige veldikeholdsavgiften. 26 Dersom Leverandør kommer med en beskrivelse av hvordan feil/problem kan unngås (midlertidige løsning), og dette ikke kan oppfattes som en løsning av problemet, forplikter Leverandøren seg til å gjøre en endelig rettelse av feilen/problemet. Sak skal være aktiv til saken er endelig løst og godkjent av Oppdragsgiver. 27 Leverandør skal ha gjennomført grundige tester av programvare ved feilretting før rettelsen tilgjengeliggjøres for installasjon i Oppdragsgivers miljø. Leverandørens rutiner for testing av feilrettelser beskrives. 28 I tilfelle av at en ny versjon inneholder feil skal disse rettes umiddelbart, når de meldes. Leverandør skal spesifisere responstid for oppstart av retting av meldte feil i forhold til klassifisering av feilene. Programrettelser 29 Leverandøren skal varsle Oppdragsgiver umiddelbart dersom leverandøren har informasjon om inkompatibilitet mellom løsningen og frigitte sikkerhetspatcher fra 3.-part. Leverandøren bes redegjøre for hvilke rutiner leverandøren har for å avdekke slik inkompatibilitet i forhold til programvare som løsningen har avhengigheter i forhold til. Nye versjoner 30 Nye versjoner, service packs og sikkerhetspatcher skal leveres i form av installasjonspakker hvor installasjonsjobber, skript og dokumentasjon inngår. Løsningen skal omfatte enkle og stabile installasjonsrutiner for både sentral og lokal installasjon. 31 Leverandøren skal lansere minst en ny versjon av programvaren årlig. Det er valgfritt om Oppdragsgiver ønsker å implementere denne. 32 Leverandøren skal i rimelig tid før lansering av ny versjon varsle Oppdragsgiver skriftlig om alle nye endringer i versjonen. 33 Som en del av vedlikeholdsavtalen inngår forbedring av eksisterende funksjonalitet, dvs videreutvikling, forenklinger og forbedringer av funksjoner eller funksjonsområder i programmet. 34 Leverandøren skal minst årlig presentere skriftelig hvilke nye funksjoner som kommer. 35 Leverandøren skal ha en årsplan for vedlikehold som sendes ut minst ett kvartal før planen er gyldig. 36 Leverandør skal ha gjennomført grundige tester av programvare før den tilgjengeliggjøres for installasjon i Oppdragsgivers miljø. Leverandørens rutiner for testing av nye versjoner beskrives. 5
37 Inkludert i vedlikeholdsprisen er videreutviklede versjoner som funksjonelt oppfyller fremtidige myndighetskrav, herunder pålegg om rapportering til offentlig myndighet. 38 Ved tilpasninger på grunn av nye myndighetskrav, herunder pålegg om rapportering til offentlig myndighet skal Oppdragsgiver gis rimelig tid til test, opplæring og implementering før krav trer i kraft. 39 Endringer som må gjøres i forhold til myndighetskrav skal rettes løpende. 40 Leverandøren forplikter seg til å støtte versjoner minst tre år bakover. 41 Leverandøren plikter å implementere støtte for siste versjon av plattformkomponenter, som operativsystem, databaser, kontorstøtteverktøy og andre tredjeparts komponenter Leverandørens programvare er avhengig av, senest innen 12 måneder etter disse er tilgjengelig på markedet. For mellomversjoner og oppdateringer ( Service Packs ) er fristen 6 måneder. 42 Leverandøren plikter å ha støtte for plattformkomponenter, som operativsystem, databaser, kontorstøtteverktøy og andre tredjeparts komponenter Leverandørens programvare er avhengig av i minst tre år bakover. 43 Leverandør skal tilgjengeliggjøre brukerdokumentasjon til Oppdragsgiver i rimelig tid før ny versjon sendes ut. Brukerdokumentasjon skal foreligge på norsk. 44 Leverandør skal tilgjengeliggjøre teknisk dokumentasjon til Oppdragsgiver i rimelig tid før ny versjon sendes ut. 45 Ved pilotering av ny løsning skal Leverandør bistå i opplæring og støtte til oppstart av pilot ute hos Oppdragsgiver i minimum 4 dager. 46 Leverandør skal bistå ved oppgraderinger av databaser og funksjonalitet i Oppdragsgivers testmiljø og produksjonsmiljø. 47 Leverandøren skal beskrive hvordan Oppdragsgivers spesifikke konfigurering, tilpasninger osv. håndteres ved oppgradering til ny versjon av standardsystemet. Rapportering 48 UNN ønsker månedlig rapportering av: Antall meldte feil med beskrivelse og angivelse av responstid og hvor lang tid det tok å løse dem. Beskrivelse av eventuelle oppgraderinger og andre endringer som er foretatt i rapporteringsperioden. Antall superbrukerhenvendelser, med beskrivelse og angivelse av svartid og resultat Leverandørens utdypende spesifikasjon av ytelsen Herunder beskriver leverandøren hvordan ovenstående krav fra leverandøren innfris. Som minimum besvares følgende: 6
Presisere hvilke ytelser som er omfattet av Leverandørens vedlikehold samt hvilke ytelser, som ikke anses for dekket av vedlikeholdsavtalen. Definisjonen skal være overensstemmende med bilag V3. Spesifisere sin supportytelse med hensyn til kompetanser, responstid, problemkvalifisering, kommunikasjonskanaler, osv. Leverandørens forventninger til omkostninger til yterligere software, vedlikehold, support og annet (fremmed bistand). Leverandørens forventning til kundens eget tidsforbruk til videreutvikling av løsningen. Hver av partene har ansvar for å følge opp sine respektive plikter i henhold til eksterne rettslige krav (lover, forskrifter, andre myndighetskrav). Dersom det er krav som har relevans for inngåelse og gjennomføring av denne avtalen skal Kunden identifisere disse i bilag 1 og/eller 2. 7