Bilaga 6A Generella krav på Tjänsterna

Transkript

1 Bilaga 6A Generella krav på Tjänsterna stockholm.se Stadsledningskontoret It-avdelningen Ragnar Östbergs Plan Stockholm Växel

2 Innehåll 1 Inledning 4 2 Förhållningssätt under leveransen Allmänt Single Point of Contact (SPOC) Användarvänlighet 5 3 Övergripande krav på processer i leveransen Allmänt Kategorisering och prioritering av ärenden Ärenden som ska lösas av Service Desk Incident Management Major Incident Service Requests Problem Management Capacity Management och Availability Management Asset Management och Configuration Management Servicenivåer och Servicekrediter för support 13 4 Allmänt om Servicetider och Servicenivåer Servicetider och Drifttid Tillåtna Avbrott och Avbrottstid Utökad Servicetid 18 5 Rapportering och uppföljning Allmänt Stöd för sammanhållen rapportering Servicenivåer och Servicekrediter för rapportering och uppföljning 19 6 Konsulttjänster Konsulttjänster löpande Basbeläggning Servicenivåer och Servicekrediter för konsulttjänster 21 7 Utbildning 23 8 Övergripande tekniska krav Allmänt Åtkomst Informationslivscykelhantering Säkerhetskopiering Reducering av datavolym Identitetshantering (IDM) Krav på kommunikationslösningar Överlämningspunkt Molntjänster Tidssynkronisering Namnuppslag 27 2 (34) Upphandling GSIT 2.0

3 8.12 Logghantering Certifikathantering 28 9 Borttagande av hårdvara från leveransen Programvaruinventering Allmänt om programvaruinventering Verktyg för programvaruinventering Informationsinnehåll Drift och åtkomst av verktygen Omfattning inventering Avvikelserapportering Revision Servicenivåer och Servicekrediter för programvaruinventering Programvaruhantering Förvaltning Allmänt Servicenivåer och Servicekrediter för förvaltning 33 Upphandling GSIT (34)

4 1 Inledning Definitioner som används i detta dokument har den betydelse som anges i Bilaga 1 (Begrepp och definitioner). Kraven i denna bilaga är generella och gäller för samtliga Tjänster i respektive Tjänstekatalog. Syftet med bilagan är att se till att Tjänsterna levereras på ett effektivt sätt. Leverantören ska säkerställa att denne har rätt resurser, processer och verktyg för att underhålla Tjänsterna i linje med verksamheternas behov. Detta inkluderar att ta hand om förfrågningar, lösa incidenter, åtgärda problem samt andra operationella uppgifter. 2 Förhållningssätt under leveransen 2.1 Allmänt Staden eftersträvar ett effektivt och stabilt tillhandahållande av Tjänsterna under hela Avtalstiden. Leverantören ansvarar för att de verktyg, processer och resurser som används är anpassade för att uppnå en effektiv och stabil leverans samt att de bidrar till de Styrande Målen. Ansvaret omfattar även samarbetet med Stadens Övriga Leverantörer och Staden. Om Leverantören identifierar möjliga förbättringar ska dessa kommuniceras till Staden i enlighet med Bilaga 4 (Kontinuerliga förbättringar). 2.2 Single Point of Contact (SPOC) Service Desk ska utgöra en Single Point of Contact (SPOC) med helhetsansvar för Stadens användarstöd och hantering av kommunikationen mellan Användare och Stadens Övriga Leverantörer. Med detta menas att Användare alltid ska kunna vända sig till Service Desk oberoende av vilken del av Stadens itleverans deras ärende avser. Leverantören ska planera och dimensionera supporten utifrån avtalade Servicenivåer och antalet Användare. Leverantören ska ansvara för all samverkan mellan Service Desk och second och third line support samt att samtliga ärenden som tas emot hanteras och återrapporteras till Användaren. Leverantören ska arbeta för att Service Desk ska kunna svara på så stor del som möjligt av Användarnas frågor kopplat till Stadens ittjänster. Detta gäller även frågor kopplade till beställning, leverans och fakturering. 4 (34) Upphandling GSIT 2.0

5 Leverantören ska arbeta med och löpande rapportera status för ärenden i Portalen. Närmare krav på Portalen och Service Desk framgår av Bilaga 8C (Service Desk). 2.3 Användarvänlighet Tjänsternas användarvänlighet Leverantören ska säkerställa att Tjänsterna är användarvänliga och möter Stadens behov över tid. Om Staden påpekar att någon Tjänst inte är användarvänlig ska Leverantören föreslå ändringar för att öka användarvänligheten. Sådana ändringar ska följa Ändringsprocessen. Tjänsterna som Leverantören tillhandahåller ska vara integrerade på ett sådant sätt att de säkerställer god datakvalitet. Det innebär exempelvis att Portalen och andra system alltid ska visa samma aktuella, korrekta och samstämmiga information. Tjänsterna ska ha integrationer mot katalogtjänster, klientmanagering och andra system inom asset management för att säkerställa korrekthet i informationen. Tjänsternas gränssnitt ska vara anpassade till Stadens grafiska profil. Gränssnitten ska vara utformade så att de möjliggör användarvänlig åtkomst från Användarnas, de Behöriga Beställarnas och de Behöriga Godkännarnas olika typer av enheter Stödsystemens användarvänlighet Leverantören ska säkerställa att stödsystemen för tillhandahållandet av Tjänsterna på ett effektivt och säkert sätt minimerar manuell hantering och dubbelarbete. Stödsystemen ska bidra till att effektivisera Användares och Behöriga Beställares arbetsuppgifter genom att exempelvis: Fält ska förifyllas med känd information samt användarinformation. Fritextfält ska undvikas. Samma information ska inte behöva anges flera gånger. Stödsystemen ska vara utformad så att samtliga Användare och Behöriga Beställare stöttas på ett effektivt sätt. Detta gäller både att ta del av eller bidra med information samt för de fall då den inloggade behöver utföra en aktivitet. Stödsystemen ska vara anpassad utifrån de olika rollernas behov genom att exempelvis, utifrån den inloggades roll, anpassa vyer och automatiskt fylla i information. Tjänsterna ska i så stor utsträckning som möjligt stödja Single Sign On (SSO). Upphandling GSIT (34)

6 3 Övergripande krav på processer i leveransen 3.1 Allmänt Leverantören ska arbeta i enlighet med ITIL, för närvarande version 3. Leverantören är ansvarig för att de processer som krävs för att leverera Tjänsterna på ett ändamålsenligt sätt finns etablerade och är välfungerande. Processer för att leverera Tjänsterna är inte begränsade till de processer som nedan kravställs. Dessa är omnämnda då de direkt påverkar samverkan dels mellan Leverantören och Staden, dels med Stadens Övriga Leverantörer. Leverantören ansvarar för att utveckla och förvalta processerna så att de följer Avtalad Specifikation. 3.2 Kategorisering och prioritering av ärenden Leverantören ska ansvara för att utarbeta en kategorisering av de vanligaste ärendetyperna kopplade till Tjänsterna och tjänster levererade av Stadens Övriga Leverantörer. Framtagande och förändring av kategoriseringarna ska göras i samråd med Staden. Ärenden ska kategoriseras så att det, utöver grundinformation om ärendet, tydligt framgår vilken Tjänst, eller vilken del av Tjänsten som är berörd samt vad ärendet avser. Av kategoriseringen ska det även framgå om ett ärende ska lösas av Service Desk direkt i kontakten med Användaren (first contact), av Service Desk (first line) eller om det ska skickas vidare till second line support. Samtliga, till Service Desk, inkomna ärenden ska kategoriseras. Möjlig status för ett ärende under hela dess hantering och påverkan på uppföljning av servicenivåer bestäms av Leverantören i samverkan med Staden. Ärendena ska vara kopplade till Stadens leveranser/avtal för att möjliggöra uppföljning utifrån Leverantörens samt Stadens Övriga Leverantörers leveranser. Leverantören ansvarar för att kategoriseringarna är korrekta och följer förändringar över tid. Framtagande och förändring av kategoriseringarna ska göras i samråd med Staden. 6 (34) Upphandling GSIT 2.0

7 Låg Påverkan Medel Hög Tjänst Del av tjänst Detalj Tjänst Del Ärende Ärende Del Ärende Figur 1 Schematisk bild över minimikrav på kategorisering av ärenden Ärenden som beror på förändringar eller problem ska kopplas mot dessa, för att det ska gå att följa upp vilka förändringar och problem som genererar eller har genererat ärenden. Ärenden ska prioriteras utifrån påverkan och en tidsaspekt. Påverkan bestäms utifrån hur stor verksamhetspåverkan ärendet har. Tidsaspekten bestäms utifrån hur viktigt det är att ärendet hanteras snabbt. Tidsaspekt Låg Medel Hög 3 Medel 2 Hög 1 Kritisk 4 Låg 3 Medel 2 Hög 5 Planerad 4 Låg 3 Medel Figur 2 Tabell över prioritering av ärenden Ett ärendes ursprungliga prioritering bestäms av Leverantören tillsammans med Användaren. Ett ärende kan sedan komma att omprioriteras, utifrån dess påverkan och tidsaspekt, om Användaren efterfrågar det eller om Leverantören väljer att höja dess prioritet. Vidare ska Staden centralt, genom stadsledningskontoret, kunna höja ett ärendes prioritet. Sänkning av prioritet kan göras efter Upphandling GSIT (34)

8 överenskommelse med Användaren eller i samråd med Stadens kontaktperson för den berörda Tjänsten. Ärendetyp ska registreras så att det framgår om det gäller exempelvis en incident, fråga, beställning eller ett problem. 3.3 Ärenden som ska lösas av Service Desk Leverantören ska lösa så stor andel som möjligt av ärendena i Service Desk. Detta gäller dels ärenden som kan lösas direkt i kontakten med Användaren (first contact) och dels andra ärenden som kan lösas av Service Desk (first line), men där ärendet inte ska lösas direkt i kontakten med Användaren. Leverantörens second och third line support ska delge Service Desk information samt ge tillgång till de stödsystem som krävs för att de ska kunna lösa en större andel ärenden i Service Desk. För ärenden som inte kan lösas av Leverantören, ska Leverantören säkerställa en effektiv hantering av ärendet genom god samverkan med Stadens Övriga Leverantörer. 3.4 Incident Management Leverantören är ansvarig för att alla incidenter hanteras på ett effektivt sätt och att deras verksamhetspåverkan minimeras. Detta gäller både incidenter som rapporteras av Användarna och Stadens Övriga Leverantörer samt de incidenter som identifierats genom övervakningen av Tjänsterna. Leverantören ska aktivt arbeta för att kunna åtgärda så stor andel av incidenterna som möjligt så snabbt som möjligt. Incidenter som inte kan åtgärdas av Leverantören ska delegeras till den av Stadens Övriga Leverantörer eller funktion inom Staden som ska ansvara för hantering och lösning. Leverantören ska hålla en uppdaterad kontaktlista för delegering av incidenter för hela Stadens itleverans. Denna kontaktlista ska även innefatta Stadens Övriga Leverantörer såväl som funktioner eller personer inom Staden. Leverantören ska, via Service Desk, ansvara för all kommunikation mellan Användarna och bakomliggande second och third line support, med undantag för de fall då second och third line behöver kontakta Användaren för att dennes delaktighet krävs för att hantera incidenten. Leverantören ansvarar för att ett huvudärendenummer distribueras till Stadens Övriga Leverantörer vid delegering samt att de uppgifter som Användaren har angivit distribueras vidare. Om second eller third line hanterat incidenten har de skyldighet att återrapportera till Service Desk som ansvarar för att återkoppla till Användaren om att incidenten är åtgärdad. Service Desk är alltid 8 (34) Upphandling GSIT 2.0

9 övergripande ansvarig för en incident även då hanteringen är delegerad till Stadens Övriga Leverantörer. För varje avslutad incident med prioritet kritisk eller hög ska Leverantören skapa incidentrapport som ska tillgängligöras via Portalen. Leverantören ska samordna incidenter som är relaterade till varandra, genom exempelvis samma underliggande problem. Detta för att kunna registrera dem som en grupp av incidenter och hantera dem som en gemensam incident. Syftet är att effektivisera hanteringen och kommunikationen kring incidenter som påverkar flera Användare, både vad gäller rapporteringen till Staden och gällande samverkan med Stadens Övriga Leverantörer. Alla aktiviteter som Leverantören utför i incidenthanteringen för att lösa problem, ingår i Tjänsteavgiften och ska inte ersättas särskilt. Incidentprocessen ska följa kraven i avsnitt 3.2 Kategorisering och prioritering av ärenden. 3.5 Major Incident Med Stadens Major Incident avses en incident som har särskilt stor påverkan på Stadens verksamhet och som måste hanteras enligt särskilda rutiner för Major Incident tillsammans med Staden. Staden äger och leder Stadens Major Incident-process. Stadens Major Incident-process syftar till att säkerställa att Staden klarar helheten av Stadens it-drift under en allvarlig händelse. Leverantören ska delta i Major Incident-processen. Leverantören ansvarar för att säkerställa att det finns beredskap och verktyg inom Service Desk för att kunna stötta Staden vid Major Incidents. Leverantören ska vid behov delta i Major Incident-övningar tillsammans med Staden och Stadens Övriga Leverantörer. 3.6 Service Requests Service Requests omfattar exempelvis frågor, konto- och behörighetsadministration, beställningar samt avbeställningar. Leverantören ansvarar för att dessa kan hanteras effektivt och användarvänligt via Portalen. Med konto- och behörighetsadministration avses att såväl manuellt som automatiskt kunna registrera, uppdatera och inaktivera användarkonton och behörigheter för att tilldela eller begränsa Användarens möjligheter att nå Stadens it-tjänster, resurser och objekt. Leverantören ska stödja Behöriga Beställare med Upphandling GSIT (34)

10 exempelvis förslag på utformning av Tjänsten samt eventuella val av Servicenivå. Leverantören ska kunna ta emot och kategorisera olika typer av beställningar. En och samma beställning ska kunna innehålla flera olika beställningstyper. Exempel på beställningstyper är nybeställning och flytt av Tjänst eller andra tjänster. En beställning ska kunna innehålla en eller flera Tjänster och göras till en eller flera Användare. Som stöd för beställningsprocessen ska Leverantören ansvara för att ha en uppdaterad version av en tjänstekatalog som omfattar både Tjänsterna och Stadens Övriga Leverantörers tjänster. Tjänstekatalogen ska göras tillgänglig i Portalen. Tjänstekatalogen ska omfatta alla beställningsbara Tjänster. Tjänsterna ska tillgängliggöras utifrån Användarens roll på ett användarvänligt sätt. Leverantören ska säkerställa att berörda intressenter löpande får tillräcklig information om lagda beställningar. Leverantören ska meddela samtliga intressenter om lagda beställningar. Meddelandet ska minst innehålla: Information om Behörig Beställare och/eller Behörig Godkännare, Fakturareferens, Omfattade tjänster, Berörda Användare för varje tjänst (där applicerbart), Kostnad, total samt per tjänst (där applicerbart), Eventuella fritextmeddelanden från Behörig Beställare, och Leveransdatum/leveranstid. Information om beställningar ska alltid finnas tillgänglig via Portalen. Om mer information än punkterna ovan efterfrågas ska denna kunna fås via Portalen. Vid byte av fakturareferens på en Tjänst ska samtliga berörda Behöriga Godkännare informeras. Om en beställning stannat upp i processen, exempelvis om Behörig Godkännare inte attesterat den i tid, så ska Leverantören meddela alla inblandade parter om detta. Om inget annat särskilt angetts ska beställningar samt konto- och behörighetsadministration lösas inom Servicetiden för ärenden prioritet medel, se avsnitt 4 Allmänt om Servicetider och Servicenivåer. 10 (34) Upphandling GSIT 2.0

11 3.7 Problem Management Leverantören är ansvarig för problemprocessen och för att problem hanteras på ett effektivt sätt samt samordna problemprocessen för hela Stadens it-miljö. Problemärenden som helt ligger inom Stadens Övriga Leverantörs ansvar ska delegeras till aktuell leverantör. Syftet är att Leverantören tillsammans med Stadens Övriga Leverantörer aktivt ska arbeta för att förebygga framtida incidenter. Detta gäller samtliga Stadens it-leveranser. Leverantören ska koordinera och leda Stadens Övriga Leverantörer samt övriga intressenter (exempelvis lokala eller centrala förvaltningsledare) i problemprocessen. Problemprocessen ska följa kraven i avsnitt 3.2 Kategorisering och prioritering av ärenden. Leverantören ska kategorisera problem så att det är möjligt att analysera kopplingen mellan incidenter och problem. Vid prioritering ska hänsyn tas till hur ofta ett aktuellt problem genererar incidenter då det i sin tur kan ge en högre verksamhetspåverkan. Leverantören ska utifrån incidentprocessen aktivt arbeta med att identifiera problem i hela Stadens it-leverans. Leverantören ska ha etablerade rutiner för att minimera återkommande och olösta incidenter samt genomföra grundorsaksanalys för att identifiera bakomliggande problem. Leverantören ska vidare säkerställa att information om kända fel (known error) och tillfälliga lösningar (workarounds) finns dokumenterat och att informationen kan användas av andra processer eller funktioner och Stadens Övriga Leverantörer. Leverantören ska arbeta för att över tid minimera antalet tillfälliga lösningar genom att lösa bakomliggande problem. Leverantören ska, med en utpekad Problem Manager, sammankalla och leda regelbundna problemmöten med Staden och Stadens Övriga Leverantörer. Leverantören ska inför varje möte ta fram en rapport som visar en aktuell status över och trender gällande problem i hela Stadens it-leverans. Syftet med mötet är att säkerställa att problemprocessen fungerar ändamålsenligt och att Leverantören, Staden samt Stadens Övriga Leverantörer har en samlad bild. 3.8 Capacity Management och Availability Management Leverantören ska löpande säkerställa rätt kapacitet och prestanda för leveransen i enlighet med verksamhetens föränderliga behov så att avtalade Servicenivåer uppnås för Tjänsten. I detta ingår att kontinuerligt övervaka grad av användning och prestanda för Upphandling GSIT (34)

12 respektive Tjänst och dess ingående komponenter samt komponenter i infrastrukturen. Leverantören ska utifrån övervakningen förebygga incidenter genom att identifiera kapacitets- och prestandaproblem. Leverantören ska identifiera trender och prognostisera framtida kapacitetskrav, göra riskanalyser och föreslå kapacitetsförändringar för att säkerställa leverans enligt Servicenivåer. Leverantören ska löpande kommunicera resultatet av dessa analyser med utsedda kontaktpersoner. Leverantören ska övervaka prestanda, loggfiler och processer. Om övervakningen genererar en incident, ska Leverantören rapportera incidenten, se avsnitt 3.4 Incident Management. 3.9 Asset Management och Configuration Management Leverantören ska tillhandahålla ett system som ska ge en samlad bild av Stadens it-leverans och dess ingående delar samt relationer mellan dessa. Utöver detta ska Leverantören i systemet dokumentera och upprätthålla dokumentation för livscykelhantering av Tjänsterna och dess ingående delar, inklusive driftsrutiner och konfigureringsinformation samt scheman för produktionssättningar och underhållsarbete. Leverantören ska upprätta och kontinuerligt underhålla en logisk modell av it-arkitekturen som ska säkerställa att valda delar av en komplett Tjänst, Applikation och produkt kan identifieras, mätas och underhållas och att ändringar av dem är kontrollerade. Staden har äganderätten till alla Immateriella Rättigheter avseende informationen i systemet och har rätt att när som helst få tillgång till informationen i systemet. Leverantören ska ansvara för att informationen i detta system hålls uppdaterad och är tillräckligt detaljerad, exempelvis ska det gå att utläsa relationen mellan verksamhet, Klients identitet, modell, skärm, konfiguration och Användare. Leverantören ska kravställa mot Stadens Övriga Leverantörer vilken information som krävs från dem för att de på ett effektivt sätt ska kunna utföra sitt arbete. Leverantören ska löpande i sitt arbete skriftligen meddela Staden i de fall informationen inte stämmer överens med verkligheten. Leverantören ska genomföra inventering av mjukvara och hårdvara. Resultatet av inventeringen ska ligga till grund för Stadens hantering av licenser. Inventering ska ske med hjälp av 12 (34) Upphandling GSIT 2.0

13 inventeringsverktyg och resultat ska presenteras i verktyg som båda tillhandahålls av Leverantören. Stadens verksamheter ska löpande ges tillgång till data gällande sin verksamhet via Portalen. Exempelvis ska Klienter som ingen Användare har loggat in på under en längre period kategoriseras som inaktiva och dessa ska synliggöras i registret och rapportering av fysiska tillgångar Servicenivåer och Servicekrediter för support Leverantören ska lösa supportärenden (frågor enligt 3.6 Service Requests och incidenter enligt 3.4 Incident Management) inom nedanstående intervaller. Servicenivå Supportärenden med prioritet kritisk Servicetid: Leverantören ska dygnet runt (Servicetid A) lösa supportärenden med prioritet kritisk. Servicenivå: Samtliga supportärenden med prioritet kritisk ska lösas inom två (2) timmar under Servicetid A. Servicekredit: För varje supportärende med prioritet kritisk som inte har lösts inom Servicenivån utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om två (2) timmar. Upphandling GSIT (34)

14 Servicenivå Supportärenden med prioritet hög Servicetid: Leverantören ska dygnet runt (Servicetid A) lösa supportärenden med prioritet hög. Servicenivå: Samtliga supportärenden med prioritet hög ska lösas inom fyra (4) timmar under Servicetid A. Servicekredit: För varje supportärende med prioritet hög som inte har lösts inom Servicenivån utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om fyra (4) timmar. Servicenivå Supportärenden med prioritet medel Servicetid: Leverantören ska under kontorstid (Servicetid C) lösa supportärenden med prioritet medel. Servicenivå: Samtliga supportärenden med prioritet medel ska lösas inom tio (10) timmar under Servicetid C. Servicekredit: För varje supportärende med prioritet medel som inte har lösts inom Servicenivån utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om tio (10) timmar. 14 (34) Upphandling GSIT 2.0

15 Servicenivå Supportärenden med prioritet låg Servicetid: Leverantören ska under kontorstid (Servicetid C) lösa supportärenden med prioritet låg. Servicenivå: Samtliga supportärenden med prioritet låg ska lösas inom fjorton (14) timmar under Servicetid C. Servicekredit: För varje supportärende med prioritet låg som inte har lösts inom Servicenivån utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om fjorton (14) timmar. Servicenivå Supportärenden med prioritet planerad Servicenivå: Samtliga supportärenden med prioritet planerad ska lösas inom överenskommen tid. Servicekredit: För varje supportärende med prioritet planerad som inte har lösts inom Servicenivån utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad Arbetsdag. Upphandling GSIT (34)

16 Servicenivå Tid från upptäckt till registrering av incident Servicetid: Leverantören ska säkerställa Servicenivån under Tjänstens Servicetid (A, B eller C). Servicenivå: Tid från upptäckt av incident till registrering hos Service Desk får inte överstiga femton (15) minuter. Med upptäckt avses incidenter som Leverantören identifierar genom exempelvis larm från övervakning. Servicekredit: För varje incident där Servicenivån inte uppfylls utgår Servicekrediter med tusen (1 000) kronor. Servicenivå Incidentrapport för incidenter med prioritet kritisk eller hög. Servicetid: Leverantören ska säkerställa Servicenivån under Servicetid C. Servicenivå: Tiden från avslutad incident med prioritet kritisk eller hög till levererad incidentrapport får inte överstiga tio (10) Arbetsdagar. Servicekredit: För varje beställning där Servicenivån inte uppfylls utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om en (1) Arbetsdag. Servicekredit för supportärenden (frågor och incidenter) faller inte ut för incidenter som är kategoriserade mot den Tjänst där Servicekrediter för bristande Tillgänglighet enligt Bilaga 8A (Arbetsplatssystem), Bilaga 8B (Server- och applikationsdrift) eller och Bilaga 8D (Tjänster för Stadens Pedagogiska Verksamheter) redan faller ut. För att incidenten ska undantas ska orsaken till incidenten vara den bristande tillgängligheten i Tjänsten. 16 (34) Upphandling GSIT 2.0

17 4 Allmänt om Servicetider och Servicenivåer 4.1 Servicetider och Drifttid Tjänsterna omfattar olika Servicenivåer baserade på följande Servicetider: Servicetid A (Alltid) avser alla dagar 00:00-24:00, Servicetid B (Utökad kontorstid) avser helgfri måndag-lördag 07:00-22:00, och Servicetid C (Kontorstid) avser helgfri måndag-fredag 07:00-18:00. Tiden som är specificerad är svensk standardtid. Midsommarafton, julafton och nyårsafton likställs med helgdag. Drifttiden för samtliga Servicenivåer och Servicetider är dygnet runt. Servicenivåer för Tjänsterna framgår av denna bilaga samt Bilaga 8A (Arbetsplatssystem), Bilaga 8B (Server- och applikationsdrift), Bilaga 8C (Service Desk) och Bilaga 8D (Tjänster för Stadens Pedagogiska Verksamheter). Servicenivåer ska mätas, rapporteras och följas upp med färgkoder och åtgärder enligt nedan: Om Tjänsten når Servicenivån eller högre krävs ingen särskild åtgärd från Leverantören och Servicenivån för Tjänsten ska flaggas grön för perioden. Om Tjänsten inte når den avtalade Servicenivån utgår Servicekrediter. För de fall Servicenivån innehåller flera parametrar, exempelvis antal tillåtna Avbrott och tillåten Avbrottstid, ska Servicekrediter utgå för den parameter som leder till det högsta belopp för Servicekrediter. Leverantören ska redovisa varför Servicenivån inte uppnåtts och åtgärder för hur den ska uppnås i framtiden. Servicenivån för Tjänsten ska flaggas röd för perioden. 4.2 Tillåtna Avbrott och Avbrottstid Tillåtna Avbrott är det totala antalet Avbrott för en enskild Tjänst som är tillåtna utan att Leverantören behöver betala några Servicekrediter. Tillåten Avbrottstid är den totala Avbrottstid som är tillåten för en enskild Tjänst utan att Leverantören behöver betala Upphandling GSIT (34)

18 några Servicekrediter. Planerade Avbrott, under på förhand godkända Servicefönster och andra av Staden på förhand godkända åtgärder, utgör det vanligaste exemplen på tillåtna Avbrott. Leverantören ska begära om tillstånd för planerade Avbrott i enlighet med Bilaga 4 (Kontinuerliga förbättringar). Genom särskild överenskommelse om till exempel Servicefönster kan Staden och Leverantören utöka tillåten Avbrottstid, som ligger till grund för beräkning av Tillgänglighet. 4.3 Utökad Servicetid Staden kan besluta om att en Servicenivå ska ha utökad Servicetid, att extra bemanning ska sättas in under vissa tider eller att extra rutinkörningar ska köras utöver vad som är schemalagt. En sådan utökad Servicetid ska hanteras i enlighet med Ändringsprocessen. 5 Rapportering och uppföljning 5.1 Allmänt Leverantören ska mäta och följa upp tillhandahållandet av Tjänsterna utifrån avtalade Servicenivåer, nyckeltal samt andra mätetal. Mätperioden är, om inte annat framgår, kalendermånad. Med andra mätetal avses bland annat nyttjandet av Tjänster och resurser samt data gällande Tillgänglighet och kapacitet. Innehållet i rapporterna ska vara välstrukturerat och pedagogiskt upplagt för att kunna uppfylla syftet med respektive rapport. Staden ska alltid genom rapportering och uppföljning kunna verifiera om Leverantören uppfyller de Servicenivåer som anges i detta Avtal. Utfall och trender i rapporterna ska vara tydligt och ändamålsenligt utformade så att dessa kan användas i dialog om eventuella förändringar som behöver göras. Data ska tillhandahållas både i form av färdiga rapporter och i ett verktyg där Staden själv kan skapa rapporter eller exportera data. Rapportering ska ske månadsvis om inte annat överenskommits med Staden. All statistik och rapportering ska vara möjlig att bryta ner och få presenterad i minst tre nivåer; a) stadsövergripande, b) förvaltning och bolag samt c) per avdelning eller per enhet. Rapporter ska även kunna fås på individnivå för att exempelvis tydliggöra vilka Tjänster en Användare nyttjar. Rapporter som presenterar Servicenivåer och mätetal ska innehålla information om avtalad nivå, utfall och trendanalys samt 18 (34) Upphandling GSIT 2.0

19 kommentarer från Leverantören av eventuella händelser som har påverkat nivån. Om rapporten innehåller fel eller brister i kvalitet, ska sådan rapport betraktas som ej levererad. Rapporterna ska vara utformade så att de kan göras tillgängliga utifrån en eller flera fakturareferenser. Ytterligare detaljer om rapportering följer av Tjänstkatalogerna och övriga bilagor. 5.2 Stöd för sammanhållen rapportering Leverantören ska tillhandahålla ett rapporteringsverktyg eller gränssnitt där Stadens Övriga Leverantörer och Staden ska leverera in data. Leverantören ska utifrån denna information bygga rapporter som redovisar beställda Tjänster inklusive volymuppgifter samt eventuell hårdvara, konton, licenser eller annat som är kopplat till respektive Tjänst. Leverantören ska om Staden så önskar leverera in rådata till Stadens ledningsinformationssystem (LIS). 5.3 Servicenivåer och Servicekrediter för rapportering och uppföljning Följande Servicenivåer och Servicekrediter gäller: Servicenivå Rapport av Servicenivåer och mätetal Servicenivå: Leverantören ska leverera rapporter avseende Servicenivåer och mätetal senast tio (10) Arbetsdagar efter mätperioden är avslutad. Servicekredit: För varje rapport inte levererats i tid utgår Servicekrediter om tusen (1 000) kronor för varje påbörjad Arbetsdag som rapporten är försenad. 6 Konsulttjänster 6.1 Konsulttjänster löpande På begäran av Staden ska Leverantören tillhandahålla senior-, normal- och juniorkonsulter i form av projektledare, arkitekter och tekniker med kompetens kring de levererade Tjänsterna. Upphandling GSIT (34)

20 Kompetensen ska avse specialister inom respektive Tjänstekatalog och bemanningen ska anpassas efter uppdragets karaktär. Uppgiften ska styra vilken erfarenhet som krävs. Om komplexiteten av uppgiften kräver lång erfarenhet eller djup spetskompetens inom det specifika området ska en senior resurs offereras. I annat fall ska Leverantören offerera en normal/junior resurs. Junior Normal Senior Avser enstaka konsulter i större uppdrag som vid behov handleds av mer senior konsult. För tillämpning av denna kategori krävs att parterna godkänner projektets bemanning. Avser en konsult med hög kunskapsnivå inom sitt område och med minst tre (3) till fem (5) års erfarenhet inom aktuellt område. Konsulten kan ta ansvar för sitt delområde och leda en mindre grupp. Konsulten kan arbeta självständigt. Avser en konsult med generalistkompetens eller mycket hög kompetens och med minst sex (6) års erfarenhet inom aktuellt område. Konsulten har deltagit i stora uppdrag inom olika områden och genomfört uppdrag med mycket hög kvalitet. Konsulten kan ta huvudansvar som ledare för en större grupp. Konsulten kan arbeta med stor självständighet. 6.2 Basbeläggning Syftet med Basbeläggningen är att Leverantören ska upprätthålla och tillhandahålla fasta resurser eller del av resurser och att Parterna gemensamt ska komma överens om det långsiktiga behovet av sådana resurser. Avsikten med Basbeläggningen är i första hand att användas för olika projekt, som ligger utanför Leverantörens förvaltningsåtagande och ansvaret för proaktivitet och kontinuerliga förbättringar. Det åligger Leverantören att tillhandahålla resurser för Basbeläggning i den utsträckning som årligen fastställs. Basbeläggning innebär att Staden betalar för avtalade timmar, oavsett om samtliga timmar nyttjas eller inte. Det åligger Leverantören att meddela Staden om de uppdrag som planerats överskrider avtalade Basbeläggningstimmar eller kräver resurser som inte ingår i Basbeläggningen. Det är då upp till Staden att bestämma om uppdragen ska utföras eller inte. Avräkning av 20 (34) Upphandling GSIT 2.0

21 timmar från Basbeläggningen, kan endast ske efter Stadens skriftliga godkännande. Volymen beslutas för minst ett (1) år i taget, där Parterna även kan komma överens om en eventuell option på Basbeläggningstimmar som Staden kan lösa ut under året om behov av ytterligare timmar uppstår. Optionen kan dock inte överstiga femton (15) procent av den ursprungliga avtalade Basbeläggningen. De resurser som tillhandahålls genom Basbeläggningen, ska minst vara av samma kompetensnivå som resurser som tillhandahålls som konsulttjänster normal, enligt avsnitt 6.1 ovan. Basbeläggning ska fastställas minst tre (3) månader före årets början, överenskommelse kan dock tecknas tidigare eller senare än så om Parterna är överens om detta. Om inget annat överenskommits ska fakturering ske med en tolftedel per månad. För undvikande av tvivel ska timmar som inte utnyttjas av Staden under en månad, flyttas över till nästa månad. Samtliga resurser som omfattas av Basbeläggning räknas in i den totala volymen som reglerar prisintervallen. 6.3 Servicenivåer och Servicekrediter för konsulttjänster Följande Servicenivåer och Servicekrediter gäller: Servicenivå Konsulttjänst Servicetid: Leverantören ska säkerställa Servicenivån under Servicetid C. Servicenivå: Tid från beställning av konsulttjänster upp till femtio (50) timmar till dess konsult är på plats för att utföra Tjänsten får inte överstiga fem (5) Arbetsdagar. Servicekredit: För varje beställning där Servicenivån inte uppfylls utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om en (1) Arbetsdag. Upphandling GSIT (34)

22 Servicenivå Tid från beställning till leverans av offert, tidsplan och budget Servicetid: Leverantören ska säkerställa Servicenivån under Servicetid C. Servicenivå: Tid från beställning till leverans av offert, tidsplan och budget får inte överstiga nedanstående Servicenivåer beroende på uppdragens storlek: Fem (5) Arbetsdagar för uppdrag upp till femtio (50) timmar Tio (10) Arbetsdagar för uppdrag mellan femtioen (51) och tvåhundra (200) timmar Tjugo (20) Arbetsdagar för uppdrag mellan tvåhundraen (201) och femhundra (500) timmar Tjugofem (25) Arbetsdagar för uppdrag över femhundra (500) timmar Servicekredit: För varje beställning där Servicenivån inte uppfylls utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om en (1) Arbetsdag. 22 (34) Upphandling GSIT 2.0

23 Servicenivå Tid från accept av offert till projektstart Servicetid: Leverantören ska säkerställa Servicenivån under Servicetid C. Servicenivå: Tid från Stadens accept av offert till projektstart får inte överstiga nedanstående Servicenivåer beroende på uppdragens storlek: Tio (10) Arbetsdagar för uppdrag upp till femtio (50) timmar Femton (15) Arbetsdagar för uppdrag mellan femtioen (51) och tvåhundra (200) timmar Tjugofem (25) Arbetsdagar för uppdrag mellan tvåhundraen (201) och femhundra (500) timmar Trettio (30) Arbetsdagar för uppdrag över femhundra (500) timmar. Större migreringsprojekt hanteras separat. Servicekredit: För varje accept av offert där Servicenivån inte uppfylls utgår Servicekrediter med tusen (1 000) kronor för varje påbörjad period om en (1) Arbetsdag. 7 Utbildning Leverantören ska tillhandahålla utbildningar av Stadens Användare kopplat till Tjänsterna. Leverantören ska löpande i arbetet identifiera områden där utbildningar skulle kunna ge Stadens Användare bättre användning av Stadens it-tjänster. Utöver detta ska Leverantören även kunna ta fram utbildningar på begäran av Staden. Utbildningarna ska vara möjliga att få som lärarledda på plats eller på distans samt som e-learning via Stadens e- learningplattform. Lärarledda utbildningar ska tillhandahållas som hel- eller halvdagsutbildningar. Leverantören ska upprätthålla, uppdatera och tillgängliggöra utbildningsmaterialet. Utbildningsmaterialet ska tillgängliggöras via Portalen. Upphandling GSIT (34)

24 8 Övergripande tekniska krav 8.1 Allmänt Nedan beskrivs vissa specifika krav på Leverantörens infrastruktur samt beroenden till infrastruktur som Staden ansvarar för. Stadens krav på säkerhet och säkerhetsriktlinjer ska alltid uppfyllas, se Bilaga 10 (Säkerhet) och Bilaga 11 (Riktlinje informationssäkerhet). 8.2 Åtkomst Leverantören ska erbjuda åtkomstformer som ger Stadens och Stadens Övriga Leverantörers personal möjlighet att vid behov få tillgång till den av Leverantören tillhandahållna it-miljön. Åtkomstformerna ska uppfylla säkerhetskrav enligt Avtalet. 8.3 Informationslivscykelhantering Leverantören och Staden ska gemensamt införa informationslivscykelhantering (Information Lifecycle Management, ILM) med avseende på lagringshantering för att klassificera information efter användarmönster, verksamhetskritisk nivå, etcetera. Denna klassificering ligger bland annat till grund för att rätt information ska lagras på rätt media samt för att avgöra om viss information kan gallras bort. 8.4 Säkerhetskopiering Leverantören ska säkerställa att säkerhetskopior kan användas för komplett systemåterställning. Leverantören ska ha rutiner för att återställa Tjänsten efter en katastrof och minst en gång per år genom test säkerställa att rutinerna fungerar. Det ska vara möjligt att simulera en total återställning av den tekniska miljön för att säkerställa att det går att bygga upp en ny produktionsmiljö vid en eventuell katastrofsituation. Leverantören ska säkerställa att fullständiga installationsanvisningar för att återskapa miljön finns på plats. Leverantören ska utföra säkerhetskopiering enligt God Branschpraxis. Ytterligare krav på säkerhetskopiering framgår av respektive Tjänstekatalog. Om inget annat framgår, ska, Leverantören utföra inkrementella säkerhetskopior varje dygn, full säkerhetskopia varje vecka och en separat full säkerhetskopia tagen var fjärde vecka. 8.5 Reducering av datavolym För att säkerställa ett effektivt utnyttjande av lagringsytan ska Leverantören använda tekniker för reducering av datavolym. Den 24 (34) Upphandling GSIT 2.0

25 av Leverantören valda tekniken, ska inte förändra information eller öka risken för förlorad eller korrupt data. 8.6 Identitetshantering (IDM) Leverantören ska ansvara för att Portalen och katalogtjänsten integrerar med Stadens centrala system för person och organisationsinformation. Staden tillhandahåller unika personidentiteter (UID) som ska användas vid kontogenerering. Leverantörens IDM-funktion ska generera information och hantera regelverk för konto- och behörighetshantering utifrån Stadens specifika behov. Baserat på detta ska Leverantören ansvara för livscykelhantering av konton, behörighetstilldelning och avregistrering för Applikationer och resurser. Detta ska, där det är möjligt, ske via dynamisk grupptilldelning och per automatik baserat på exempelvis organisatorisk tillhörighet och anställningsförändringar. Regelverk för hur förändringar ska tillämpas beslutas av Staden. 8.7 Krav på kommunikationslösningar Leverantören ska tillhandahålla ett nätverk med stöd för internetprotokollen IPv6 och IPv4. Alla resurser i nätet ska kunna kommunicera med dessa standarder. Leverantören ska arbeta för att använda IPv6 där det är möjligt. Ansvarsfördelningen för drift, förvaltning och administration av de olika delarna av nätverket beskrivs i nedanstående bild över nätarkitekturen. Figur 3 Nätarkitektur Leverantören ansvarar för att ingen obehörig utrustning kopplas in i Leverantörens nät. Utrustning som ingår i tillhandahållandet av Tjänsterna och som ska anslutas till Stadens nätverk ska ha stöd för Upphandling GSIT (34)

26 nätverksautentisering för att på ett säkert sätt kunna identifieras i samband med anslutning. Staden har ett antal system, Applikationer och Tjänster som kräver låg fördröjning (latency). Leveransen ska vara uppsatt så att det maximalt uppstår en fördröjning på två (2) millisekunder mellan anslutningspunkten i Leverantörens datahall och Stadens Överlämningspunkt. Test- och preproduktionsmiljöer eller andra mindre kritiska servrar och Applikationer kan, efter Stadens skriftliga godkännande, undantas från detta till förmån för en mer flexibel och kostnadseffektiv leverans. Fördröjning mäts som den tid det tar för ett datapaket att ta sig till Leverantörens anslutningspunkt i Leverantörens datahall och svara tillbaka till Överlämningspunkten i Stadens nät. För undvikande av missförstånd ska samtliga system vara uppsatta så att det maximalt uppstår en fördröjning på två (2) millisekunder mellan anslutningspunkten i Leverantörens datahall och Stadens Överlämningspunkt vid Effektiv Leveransdag. Ändringar efter denna tidpunkt ska följa Ändringsprocessen. Leverantören ska ha en separerad serverarea och LAN (Local Area Network) för Stadens miljö. Uppkoppling från Stadens miljö i Leverantörens datacenter får inte ske direkt mot internet. Anslutning till internet ska ske via Stadens nät, det vill säga via Överlämningspunkten. Leverantören får inte heller ansluta nät som är anslutet till Stadens Överlämningspunkt direkt mot internet. Avsteg från ovanstående kan i undantagsfall tillåtas efter överenskommelse med Staden. Router/Brandvägg för att styra trafik mellan servrar och nät i Leverantörens datacenter ska finnas så att trafik mellan servrar inte behöver passera Stadens anslutningspunkt. Leverantören svarar för alla kostnader som är knutna till denna brandvägg, men den ska följa det regelverk som föreskrivs av Staden. Leverantören ska använda sig av IPv4/IPv6-adresser inom Stadens ip-plan eller av egna publika IPv4 adresser. Om Leverantören använder sig av egna publika IPv4 adresser ska dessa inte exponeras på internet. Staden eller Stadens Övriga Leverantörer ska i samråd med Leverantören ha rätt att installera utrustning för mätning av prestanda och Tillgänglighet eller liknande ändamål i Leverantörens nät. Om Leverantören för att uppfylla kraven i Avtalet behöver placera utrustning i Stadens, eller Stadens Övriga Leverantörers miljö ska detta ske i samråd med Staden. 26 (34) Upphandling GSIT 2.0

27 8.8 Överlämningspunkt Leverans av drifttjänster ska ske till Överlämningspunkter inom Stockholms kommungräns enligt överenskommelse. Överlämningspunkterna finns på Östermalm och Södermalm samt i Alvik. Staden ansvarar för drift av all kommunikationsutrustning på sin sida av Överlämningspunkten. Detta innefattar skydd och hantering av åtkomst till internet. Leverantören ska ansvara för all drift och hårdvara på sin sida Överlämningspunkten. I detta ansvar ingår att svara för all säkerhet rörande förbindelsen till Leverantörens datacenter och säkerheten i datacentret, inklusive layer 2- och layer 3-säkerhet (enligt OSI-modellen för datornätverk) samt brandväggar. Leverantörens nät ska uppfylla Stadens krav inklusive de krav på säkerhet och prestanda som ställs utifrån Stadens informationsklassning. 8.9 Molntjänster Leverantören ska leverera Tjänsterna utan att använda publika molntjänster eller lösningar som innebär delade miljöer. Om Staden önskar, ska Leverantören under Avtalstiden kunna erbjuda lösningar baserade på publika molntjänster eller delade miljöer, alltid anpassat efter Stadens säkerhetskrav. Sådan förändring ska hanteras i enlighet med Ändringsprocessen Tidssynkronisering Systemklockorna hos resurserna i nätverket ska synkroniseras mot den funktion för tidssynkronisering enligt NTP-protokollet (Network Time Protocol) som Staden tillhandahåller i nätet. Synkronisering ska ske minst en gång per dygn Namnuppslag Leverantören ska tillhandahålla funktionalitet för namnuppslag enligt DNS-systemet (Domain Name System) för resurserna i leveransen. DNS-arkitekturen ska följa Stadens övergripande arkitektur för DNS Logghantering Leverantören ska ansvara för att utföra logghantering. Krav på logghantering som beskrivs i Stadens säkerhetsriktlinjer ska uppfyllas, se Bilaga 11 (Riktlinje informationssäkerhet). Staden har rätt att ta del av alla loggar från system och komponenter som ingår i leveransen. Loggarna ska kunna analyseras i ett av Staden anvisat logganalysverktyg. Loggarna ska överföras till Upphandling GSIT (34)

28 logganalysverktyget i realtid, eller där det inte är möjligt skyndsamt Certifikathantering Leverantören ska ansvara för att underhålla och förnya Stadens certifikat och certifikatinfrastruktur. Underhåll och förändringar av certifikat ska göras i samarbete med Staden och med Stadens utpekade leverantörer av certifikat. I detta ingår bland annat att Leverantören ska upprätthålla ett register över Stadens certifikat och administrera inköp av certifikat. Leverantören ska följa Stadens certifikatpolicy enligt underbilaga till Bilaga 11 (Riktlinje informationssäkerhet) och upprätta ett CPS (Certification Practice Statement) som Staden godkänner. Stadens certifikatpolicy förvaltas av Stadens informationssäkerhetsansvarige. Leverantören ska ta fram anvisningar för hur Stadens personal ska utfärda certifikat, så kallat RA (Registration Authority). 9 Borttagande av hårdvara från leveransen Leverantören ska ta hand om uttjänta elektriska och elektroniska produkter och farligt avfall. Leverantören ska säkerställa att dessa återvinns på ett miljöriktigt och säkert sätt enligt gällande miljökrav, se Bilaga 6B (Hållbar IT). 10 Programvaruinventering 10.1 Allmänt om programvaruinventering Det övergripande målet med programvaruinventering är att säkerställa att Staden vid varje tidpunkt kan kontrollera att Staden är korrekt licensierad enligt ingångna avtal och gällande licensregler. Leverantören ansvarar för verktyg som löpande inventerar och samlar in korrekt inventeringsinformation för avgörande av licensbehov avseende samtliga, av Staden, nyttjade licenskrävande programvaror utifrån gällande licensavtal och licensregler inom den it-miljö som omfattas av leveransen. Staden ansvarar för löpande kontroll av licensbehov och licensinnehav samt ska godkänna de av Leverantören föreslagna 28 (34) Upphandling GSIT 2.0

29 verktygen, om inte Staden har saklig grund att inte godkänna verktygen Verktyg för programvaruinventering Leverantören ska som en del av tjänsteleveransen äga, tillhandahålla och underhålla de verktyg som krävs för löpande inventering av installerad hårdvara, programvara, användande av programvara, åtkomst till system och servrar och programvaruabonnemang inom den it-miljö som omfattas av leveransen. Leverantören ska kontinuerligt utveckla och anpassa verktygen utifrån Stadens förändrade behov. Leverantörens verktyg ska medge export och import av licens- och applikationsinformation till och från Stadens Övriga Leverantörer på ett automatiserat sätt Informationsinnehåll Information om installerade programvaror ska vara relevant och städad och hanteras i verktyg som kan kompletteras med information om stadens licenser. Information om programvarans tillverkare, namn, produktversion, språkversion, plattform, tillhörande programsvit ska alltid presenteras. Det ska även framgå vilken typ av hårdvara och vilken klient/dator/server/virtuell instans programvaran är installerad på och vilken verksamhet inom Staden hårdvaran tillhör samt i förkommande fall vilket användarkonto som senast startat programvaran. Vidare ska det finnas information om när programvaran senast startades, hur många gånger och hur länge programvaran har använts. För licenser ska ett antal olika attribut kunna läggas till, såsom koppling till specifikt licensavtal, kommersiell eller kostnadsfri programvara, uppgraderingsrättigheter, licensiering per installation/device/användare/server/processor/kärna samt om licensen tillhör en specifik förvaltning eller bolag. Den sammanlagda informationen ska antingen presenteras i Portalen eller i annat portalverktyg som överenskoms med Staden. Användare ska kunna ta ut aktuella rapporter, som ska kunna visas på olika nivåer, antingen stadsövergripande eller per förvaltning/bolag eller mindre enhet. Rapporter ska kunna visas per dator, server, applikation och licensutgivare Drift och åtkomst av verktygen Leverantören ska medge att Staden, och av Staden utsedd tredjepartsleverantör, får full åtkomst till verktygen för bland annat Upphandling GSIT (34)

30 registrering av Stadens inköpta licenser samt för att koppla samman installerade och inventerade programvaror med licenser. Full åtkomst ska ges till upp till hundra (100) Användare och begränsad åtkomst ska ges till ytterligare Användare. Service Desk ska ges full tillgång till verktygen och även beredas möjlighet att integrera mot verktygen med annat system. Verktygen ska tillåta organisatorisk indelning på minst tre (3) nivåer med motsvarande behörighetshantering. Leverantören ska säkerställa att Staden och/eller tredje part kan skicka data till Leverantörens verktyg för programvaruinventering även för servrar och klienter som inte driftas av Leverantören Omfattning inventering Leverantören ansvarar för att alla licenskrävande enheter (fysiska och virtuella samt både klienter och servrar) inom den it-miljö som omfattas av Avtalet har inventeringsagent eller alternativ inventeringsmetodik installerad/i funktion och inventeras enligt ovan beskrivning. Leverantören ska ha dokumenterade rutiner för att kontrollera och åtgärda avvikelser från ovanstående. Leverantören är ekonomiskt ansvarig för eventuella licenskostnader som Staden åsamkas på grund av att licenskrävande it-miljö saknat inventeringsrutiner (agent eller annan metod) eller inventerats felaktigt Avvikelserapportering Leverantören ska tillse att Staden regelbundet kan genomföra granskningar av informationen i verktygen, till exempel genom så kallade baselines (avvikelserapporter) för relevanta licensutgivare där Stadens licensposition utvärderas och eventuella underskott eller möjligheter till ytterligare optimering av licensanvändande identifieras. Dessa granskningar kan genomföras av Staden själv eller av en extern leverantör. Leverantören ska vid behov kunna hjälpa Staden att ta fram sådana rapporter ur verktygen Revision Leverantören ska medge och vara behjälplig i av Staden begärd revision av verktyg för inventering, av både klienter och servrar. 30 (34) Upphandling GSIT 2.0