Spørsmål og svar i sak 14/308 Kjøp av Konkurransegjennomførings- og Kontraktsadministrasjonsverktøy med tilhørende vedlikeholdsavtale Spørsmål mottatt 3. september per telefon. Spørsmål 17: I Konkurransegrunnlaget punkt 1.3 henvises det til feil bilagsstruktur for vedlikeholdsavtalen. Ber om at dette korrigeres. Konkurransegrunnlaget punkt 1.3 er nå endret til følgende tekst i revidert utgave konkurransegrunnlaget versjon 2.0.: Bilagsstruktur SSA-V; o Bilag 1 Kundens kravspesifikasjon o Bilag 2 Leverandørens løsningsspesifikasjon o Bilag 3 Kundens tekniske plattform o Bilag 4 Prosjekt- og fremdriftsplan o Bilag 5 Tjenestenivå med standardisert prisavslag o Bilag 6 Administrative bestemmelser o Bilag 7 Samlet pris og prisbestemmelser o Bilag 8 Endringer i den generelle avtaleteksten o Bilag 9 Endringer av leveransen etter avtaleinngåelde Leverandøren bes fylle ut følgende: Bilag 2, 6 og 7. Endringene er gjort i revidert utgave av konkurransegrunnlaget versjon 2.0 som publiseres på Doffin. Spørsmål 18: I Konkurransegrunnlaget kapittel 5 tildelingskriterium 3 henvises det til feil pristabell i vedlikeholdsavtalen i tildelingskriteriene Konkurransegrunnlaget kapittel 5 tildelingskriterium 3 er nå endret til følgende tekst i revidert utgave av konkurransegrunnlaget versjon 2.0.: Her vil tilbudene bli sammenlignet på bakgrunn av tilbudte priser i vedlikeholdsavtalen bilag 7. Laveste tilbuds pris/kostnad scorer 10. De øvrige tilbudenes pris/kostnad skåres tilsvarende forholdsmessig lavere basert på den relative forskjellen til beste tilbud. Vederlag for ytelser spesifisert i bilag 2 90 % Timepris 10 %
Spørsmål mottatt 1.sept per e-post: Spørsmål 1: Bilag 1 til kjøpskontrakt pkt 1.4: Løsningen skal kunne kjøres enten via Application Service Provider (ASP), som innebærer at leverandøren eier og drifter all hardware og server-software, eller via en intern løsning der kunden eier hardware og kjøper lisenser til software av leverandøren. Spørsmål; Må tilbyder tilby begge alternativene? Spørsmål 2: Bilag 1 til kjøpskontrakt pkt 1.6: Fra KGV er det begrenset med integrasjonsbehov. Vi har en ITIL Service Desk der saker kommer inn, vi har et monitoreringssystem som ønsker beskjed om noe er galt, og vi har et arkivsystem som ønsker å motta informasjon om all aktivitet som er gjennomført i konkurransene, og de inngåtte avtalene. Det er ikke et krav at tilbyder skal levere tilbud på begge løsningene. Da det har vært noe usikkerhet med tanke på hva som finnes på markedet av løsninger, har oppdragsgiver gått bredt ut i markedet for å omfatte flest leverandører og sikre best mulig løsning for sine behov. Av beskrivelse under punkt 1.6 (KGV) og 1.7 (KAV) fremgår det at både KGV og KAV skal integreres med DSS sitt arkivsystem ACOS (Websak). Spørsmål; Inngår arkivering av både KGV informasjon (konkurransen med alle dokumenter, alle mottatte tilbud med vedlegg, revisjonsspor) samt KAV informasjon (avtale, tilleggsavtaler, revisjonsspor, skjemaer og formularer, møtereferater m.m.)? Spørsmål 3: Bilag 1 til kjøpskontrakt pkt 1.7: Det er også viktig for oss å ha mulighet til å publisere fellesavtaler på intranett. Spørsmål; «Publisering av fellesavtaler på intranett»; Innebærer dette automatisk speiling av samtlige avtaler på intranett, eller en mulighet til å velge ut hvilke som skal vises? Og hvilken informasjon ønskes vist? Det skal ikke skje en automatisk speiling av samtlige avtaler på intranettet. Dersom departementsfellesskapet ønsker tilgang til fellesavtaler skal dette skje via tilganger til KAV. DSS trekker imidlertid ut praktisk informasjon som er relevant for brukerne av kontraktene, for eksempel priser og kontaktinformasjon, som legges ut på departementsfellesskapet sitt felles intranett Depweb. Hvilken informasjon som ønskes vist på intranettet må følgelig kunne avgjøres av DSS for hver enkelt avtale. Det vil si at løsningen bør være fleksibel, herunder gi DSS mulighet til å sile informasjon.
Spørsmål 4: Bilag 1 til kjøpskontrakt pkt. 1.7: Vi ser for oss en rapporteringsløsning for å kunne se terskelverdier i KAV mot avrop på avtale i Agresso. Spørsmål; Ønskes nøkkeltall per avtale eksportert fra KAV til kundes egen Rapporteringsløsning, eller vil det kreves en intregrasjon mellom Agressom og KAV for å kunne tilby en rapporteringsløsning fra tilbyder av KAV? Spørsmål 5: Bilag 1 til kjøpskontrakt SK013: -hvordan løsningen sikrer at opplysninger som er mottatt og åpnet i overensstemmelse med de foreliggende krav kun er tilgjengelig for personer som er autorisert til å få kjennskap til dem» Spørsmål; Mener DSS med dette kravet at det skal være skjerming med begrenset tilgang for kun autoriserte brukere innenfor en og samme virksomhet for hver enkel anskaffelse og dens innhold i sin helhet, eller er kravet knyttet kun til åpningsprosessen? Spørsmål 6: Bilag 1 til kjøpskontrakt SK014: Spørsmål; Bruk av DPS i Europa kan i visse anskaffelser medføre svært store antall kvalifiserte tilbydere. Hvor mange tilbydere forventer DSS at løsningen skal kunne håndtere uten begrensninger i tilgjengelighet og prestasjon? Opp til 100 kvalifiserte tilbydere per område? Opp til 500 kvalifiserte tilbydere per område? Spørsmål 7: Bilag 1 til kjøpskontrakt SK015: Har oppdragsgiver mer konkrete krav knyttet til dette? F. eks, Skal det være støtte for flere delavtaler i denne funksjonaliteten? DSS har per i dag en rapporteringsløsning mot Agresso. DSS krever derfor at KAV skal kunne sende nøkkelinformasjon (datafelter) til Agresso. Det er per dags dato ingen mulighet for å sende informasjon fra Agresso til KAV. Nøkkelinformasjon sendes derfor til Agresso og så kjøres rapportene ut fra Agresso sin rapporteringsløsning (som per i dag er icube), sortert på for eksempel avtalenummer fra denne. I selve åpningsprosessen skal det, iht. regelverket, være tilgang for to personer ved åpning av tilbudene. Men også i selve anskaffelsesprosessen skal det være begrensninger med tanke på tilganger, samt etter signering av kontrakt. Dette innebærer at en og samme virksomhet både på avdeling, seksjon og personnivå for hver enkelt anskaffelse, skal kunne tilgangsstyre dokumentene. Kravet i SK014 er at løsningen skal ivareta lovkravene i FOA 6-4 og 15-4. Det er ikke stilt særskilte krav til kapasitet. Leverandøren må beskrive hva løsningen er skalert for å takle av kapasitet. Ja, det skal være støtte for delkontrakter. Kravet i SK015 er at løsningen skal ivareta lovkravene i FOA 13-4 og 22-4. Vi har ikke særskilte krav utover det som er angitt i kravspesifikasjonen, når det gjelder
Har dere særskilte krav for å sikre ikkediskriminering ved f.eks lav båndbredde hos tilbyder og frekvens ved oppdatering av skjermbilder? kapasitet og funksjonalitet. Leverandøren må beskrive hvilke funksjonalitet og kapasitet som ligger i løsningen. Ev. Krav til fastlagt automatisk forlengelse (minutter/sekunder) av frist dersom en eller flere tilbydere legger inn nye bud innenfor en viss kort tid (sekunder?) innen tilbudsfrist i auksjonen? Spørsmål 8: Bilag 1 til kjøpskontrakt SK022: Beskriv hvilke muligheter Kunden har til å legge inn og evt. tilpasse egne maler i KGVverktøyet. Spørsmål; Er det et behov for DSS til å kunne tilgjengeliggjøre egne maler som skal være felles for samtlige virksomheter (med valgfri bruk?), samt støtte for at den enkelte virksomhet også kan legge inn egne maler som kan velges benyttet i stedet for de maler DSS tilbyr? Med «maler»; mener DSS i form av filer eller som data i strukturert form? Og eventuelt kombinasjoner av dette? Spørsmål 9: Bilag 1 til kjøpskontrakt SK023: Inneholder kravet etablering av samtlige 19 OJEU og 23 nasjonale kunngjøringsskjemaer med integrasjon til Doffin? Når skal i så fall en slik integrasjon foreligge i forhold til akseptansetestperioden? Eller aksepteres manuell overføring til Doffin for et eller flere av disse kunngjøringsskjemaer? Ja, det er det et behov for DSS til å kunne tilgjengeliggjøre egne maler som skal være felles for samtlige virksomheter. Slike maler som er godkjent i DSS og som fritt kan brukes av alle som benytter KGV/KAV, skal legges inn i løsningen før denne tas i bruk. I tillegg må hver enkelt virksomhet ha mulighet til å legge inn egne maler som kan erstatte eller komme i tillegg til fellesmaler fra DSS. Det er ikke krav til at maler skal være i form av filer eller som data i strukturert form. Leverandøren må beskrive dette i løsningen. Det er ikke krav om etablering av samtlige 19 OJEU og 23 nasjonale kunngjøringsskjemaer med integrasjon til Doffin. Leverandøren er bedt om å beskrive den funksjonaliteten som ligger i løsningen. Manuell overføring til Doffin for et eller flere av disse kunngjøringsskjemaer vil aksepteres. Kravet er imidlertid plassert under tema forenkling og effektivisering og leverandøren må beskrive hvilken funksjonalitet som ligger i løsningen, slik at dette kan vurderes under tildelingen.
Spørsmål 10: Bilag 1 til kjøpskontrakt SK052: Spørsmål; Kan DSS beskrive dette mer spesifikt? Menes for eksempel eksport via https? Eller en integrasjon med hver enkelt virksomhets intranett for speiling av egne avtaler? Spørsmål 11: Bilag 1 til kjøpskontrakt SK061: Spørsmål; Er sertifisering i henhold til ISO27001 et absolutt krav (med henvisning til innledningen hvor det pekes på at det stille høye sikkerhetskrav), eller er det et evalueringskriterium? Dersom det er et evalueringskriterium; hvordan vil det vurderes? Spørsmål 12: Bilag 1 til kjøpskontrakt SK062: Spørsmål; Er DSS sertifisert i henhold til ISO27001? Dersom DSS er sertifisert kreves det att KGV leverandør må være sertifisert med minimum samme kravkatalog, men i så fall hvilken? For eksempel hvilke seksjoner av Annex A er det ikke et krav om at er oppfylt? Spørsmål 13: Bilag 1 til kjøpskontrakt SK064 punkt 4: Spørsmål; Ønskes ekstern uavhengig «time stamp TSA» som del av dette kravet? Spørsmål 14: Bilag 1 til kjøpskontrakt SK079: Spørsmål; Er dette å anse som et krav som skal støttes ved leveranse (innen akseptansetest) eller er dette å anse som en opsjon som kan tenkes avropt i avtaleperioden? Skal kostnad for denne opsjon inngå i produktpris eller prises særskilt? Kan DSS angi vekt for sannsynlighet for avrop, dersom opsjon (f eks 50% vekt dersom det er 50% sannsynlighet for avrop)? Oppdragsgiver trenger å kunne publisere på intranettet et utvalgt innhold fra KAV/avtaleinnholdet. Hvilken metode som benyttes ønsker vi beskrivelse på. Se for øvrig svar under spørsmål 3 ISO-sertifisering er ikke satt som et absolutt minstekrav i kravspesifikasjonen og vil ikke inngå i tildelingen. Leverandøren skal beskrive sitt styringssystem for informasjonssikkerhet i SK063. DSS er ikke sertifisert iht. ISO27001. Vi har ikke bedt særskilt om TSA, men hendelser må kunne dokumenteres. DSS har kunder i vår infrastruktur som vil autentisere seg med SAML 2.0. Dette er kunder som DSS har samarbeid med, men som ikke er på felles IKT plattform med. SAML 2.0 er en gammel standard som skal være på plass før akseptansetesten, samt kunne benyttes ved slik testing. For andre kunder av DSS som benytter Uninett er det FEIDE standarden som er autentiseringen. Det er ikke snakk om noen opsjon under dette skal-kravet. Løsningen må støtte FEIDE autentisering, slik at DSS også kan
åpne for kunder som er på Uninett. Det er imidlertid ikke et krav at FEIDE autentisering skal være på plass før akseptansetesten. Spørsmål 14: Bilag 4 til kjøpskontrakt Avtalen punkt 2.2.4 Gjennomføring av Kundens akseptansetest Hentet fra teksten: Dato for påbegynnelse av Kundens akseptansetest: Uke 48 Spørsmål; Skal samtlige krav være oppfylt innen denne dato? Se som eksempel separat spørsmål knyttet til krav SK023. Spørsmål 15: Bilag 5 til kjøpskontrakt Avtalen punkt 2.2.3 Akseptansetestens omfang: Hentet fra teksten: Sikkerhet o Tilgang og autorisasjonskontroll mot interne tjenester skal følge standardene definert av DSS Spørsmål; Medfører dette kravet at autorisasjonskontroll mot DSS interne tjenester skal være på plass ved start av akseptansetester? o o Tilgang og autorisasjon for tredjeparts tjenester skal følge retningslinjene laget for føderering Autensitet/integritet og konfidensialitet skal ivaretas etter prinsippene gitt av sikkerhetsorganisasjonen i DSS. Spørsmål; Kan disse detaljeres for å sikre likebehandling, og muligheter for verifisering mot egne informasjonssikkerhetssystem? Vil revisjon av sikkerhet gjennomføres av DSS eget personell eller vil dette gjennomføres av tredjepart, og når vil dette gjennomføres? Det er fremmet tydelige krav der det er snakk om hvilke funksjonalitet som skal være på plass til akseptansetest. Oppstart av akseptansetest beskrevet i Bilag 4 er i henhold til opprinnelig prosjektplan med innlevering 8.9.14 I den grad prosjektet blir forsinket ved innlevering vil også tidspunktet for oppstart av akseptansetesten bli endret, og dette vil bli informert om på formell måte fra prosjektet. Som det fremgår av er autorisasjonskontroll en vesentlig del av DSS akseptansetest og skal være på plass før testene kjøres. Se kravspesifikasjonen (bilag 1 til kjøpsavtalen) punkt 2.5 for krav til autensitet, integritet, konfidensialitet og tilgengelighet. DSS reviderer både selv og ved hjelp av eksterne. Revisjon gjennomføres når som helst og gjerne 1-2 ganger i løpet av kontraktsperioden.