Tjänstebeskrivning systemdrift och systemförvaltning

SID 1 (21) Bilaga 2A Tjänstebeskrivning systemdrift och systemförvaltning Förfrågningsunderlag Systemdrift och Systemförvaltning Centrala verksamhetssystem Service Desk 105 35 STOCKHOLM. Telefon 08-508 29 000. Fax 08-508 29 036. Org. nr 212000-0142 Besöksadress: Ragnar Östbergsplan 1 www.stockholm.se

SID 2 (21) Innehållsförteckning 1 INLEDNING... 3 2 INGÅENDE TJÄNSTER... 3 3 ÖVERGRIPANDE KRAV... 3 4 TJÄNSTEBESKRIVNING SYSTEMDRIFT... 4 4.1 ÖVERGRIPANDE... 4 4.2 INGÅENDE FUNKTIONER... 4 4.2.1 Technical Management... 4 4.2.2 IT Operations Management... 6 4.2.3 Tilläggstjänster... 8 4.3 INGÅENDE PROCESSER I SYSTEMDRIFT... 9 4.3.1 Service Level Management... 9 4.3.2 Capacity & Availability Management... 9 4.3.3 IT Security... 10 4.3.4 Change Management & Release Management... 10 4.3.5 Asset & Configuration Management... 11 4.3.6 Incident Management... 11 4.3.7 Problem Management... 12 4.3.8 Continual Service Improvement (CSI)... 12 5 SYSTEMFÖRVALTNING... 13 5.1 ÖVERGRIPANDE... 13 5.2 INGÅENDE FUNKTIONER... 13 5.2.1 Application Management... 13 5.3 INGÅENDE PROCESSER I SYSTEMFÖRVALTNING... 15 5.3.1 Supplier Management... 15 5.3.2 Change & Release Management... 15 5.3.3 Service Validation & Test Management... 15 5.3.4 Incident & Service Request Management... 16 6 TILLÄGGSTJÄNSTER TILL SYSTEMFÖRVALTNING... 16 6.1 VIDAREUTVECKLING... 16 6.2 SYSTEMÄGARASSISTANS... 16 6.3 UTBILDNING... 16 6.4 BEHÖRIGHETSHANTERING... 17 6.5 BEREDSKAP OCH UTÖKAD TILLGÄNGLIGHET... 17 6.6 TESTHJÄLP... 17 6.7 VAN-TJÄNST... 17 6.7.1 Tjänst för staden som avsändare av meddelanden... 18 6.7.2 Tjänst för staden som mottagare av meddelanden... 18 6.8 SKANNINGTJÄNST... 19 6.9 DRIFT AV EXTERNA OCH INTERNA INTEGRATIONER... 20 6.10 ADMINISTRATIV TJÄNST FÖR STATISTIK OCH FÖRDELNING AV RÖRLIGA KOSTNADER... 21 6.11 E-LEARNINGPLATTFORM... 21

SID 3 (21) 1 INLEDNING Definitioner som används i denna tjänstebeskrivning har den betydelse som anges i bilaga 1 Definitioner. Under avtalsperioden förbinder sig leverantören att till staden tillhandahålla tjänster som beskrivs i denna bilaga, inklusive eventuella kringtjänster som utgör förutsättning för leveransens fullgörande. Leverantören ska utföra de tjänster som är beskrivna i denna bilaga allteftersom de utvecklas och förändras under avtalsperioden. Detta inkluderar att inom avtalat åtagande göra modifieringar, produktutbyten, ändringar, kompletteringar och förbättringar av ingående tjänster över tid i enlighet med respektive objektansvarigs uppdrag. De tjänster som beskrivs i denna bilaga är avsedda att vara fullständiga, men är inte heltäckande avseende samtliga aktiviteter, resurser eller andra detaljer som krävs för ett korrekt utförande av tjänsterna. Leverantören förstår och accepterar att all verksamhet som påverkar avtalat it-stöd, och som definierats i denna bilaga, utgör leverantörens ansvar, utom i de fall ansvaret uttryckligen tilldelats staden eller tredje part. I de fall aktiviteter som krävs för att utföra leverans i enlighet med denna bilaga inte har formaliserats, ansvarar leverantören likafullt för att dessa aktiviteter utförs. Leverantören ska även initiera nödvändiga åtgärder för att uppdatera denna bilaga i enlighet med huvudavtalets villkor för avtalshantering. För vissa av stadens verksamhetssystem har staden nyttjanderättslicenser och underhållsavtal (standardsystem) med produktleverantören medan vissa av verksamhetssystemen ägs av staden och där staden disponerar källkoden (egenutvecklade system). 2 INGÅENDE TJÄNSTER Tjänstebeskrivningen omfattar sammanhållen Systemdrift och systemförvaltning av centrala verksamhetssystem. Till centrala verksamhetssystem räknar staden till exempel ekonomisystem, personaladministrativa system, diariesystem, skoladministrativa system samt systemstöd för socialtjänst och omsorgsverksamhet. Systemen finns beskrivna i bilaga 2B. Upphandlingen omfattar inte produktavtal (licenser) för de aktuella systemen, om inte det särskilt överenskommes. Observera att den upphandlade tjänsten omfattar ett funktionellt helhetsåtagande avseende drift och förvaltning av stadens centrala verksamhetssystem, men att nuvarande ingående system kan komma att bytas ut. 3 ÖVERGRIPANDE KRAV Leverantören ska leverera avtalat åtagande som ett helhetsåtagande, och ta ansvar för hela leveransen. Detta inbegriper även eventuella underleverantörers arbete. Leverantören ska vara den som för leverantörens talan i förhållande till staden, oavsett vilken del av leverantörens organisation eller eventuella underleverantörer som utför en viss leverans. Leverantören ska i utförandet av leveransen uppfylla avtalade principer, riktlinjer och regelverk för information, it-system, personal samt teknisk och fysisk säkerhet. Leverantören ska arbeta i enlighet med ITIL v3 nomenklatur och processer. Då olika delar av leveransen har olika karaktär och mognad kan processgränssnitten mellan leverantören

SID 4 (21) och staden för de olika leveranserna komma att se olika ut. Det är leverantörens ansvar att tydligt definiera, kommunicera och säkerställa effektiva processgränssnitt för respektive del av leveransen. Leverantören ska anpassa tjänsterna i samarbete med staden om förändringar i lagar eller andra av myndigheterna utfärdade riktlinjer kräver detta. Vid större förändringar ska leverantören utarbeta förslag på aktiviteter som krävs för att uppfylla de nya kraven. Leverantören ska på ett systematiskt sätt arbeta proaktivt på att förbättra leveransen. I detta ingår bland annat att kontinuerligt föra dialog med objektansvariga för att säkerställa att de har rätt it-stöd samt bevaka tekniska trender och dokumentera och presentera intressanta produkter och tjänster för stadens objektansvariga. I arbetet förväntas leverantören göra en kontinuerlig översyn av teknik, processer och nyttjande av leveransen för att kunna föreslå förbättringar för att effektivisera tjänsten och minska den totala kostnaden för staden. Tjänsteleveranserna styrs av definierade Service Level Agreements (SLA) enligt bilaga 2B. SLA ska beskriva tjänstens omfattning samt dess tillgänglighet och kapacitet. Säkerhet och vilken katastrofplanering som finns för tjänsten fastställs i avtalet. Leverantören ska och ha en utsedd kontaktperson för respektive system eller systemområde, som kan hantera och kanalisera samtliga frågor rörande det aktuella systemområdet. Leverantören ska organisera sin leveransorganisation så att den motsvarar stadens kundorganisation, framförallt vad gäller objektsnivå enligt samverkansmodellen, se bilaga 7. 4 TJÄNSTEBESKRIVNING SYSTEMDRIFT 4.1 Övergripande Tjänsten systemdrift innebär att leverantören utför övervakning och drift av stadens verksamhetssystem. Leverantören hanterar allt tekniskt underhåll samt releaser och versionsbyten på ett sådant sätt att störningar i stadens produktionsmiljö minimeras. En tjänst kan bestå av en helhet uppbyggd av flera olika komponenter, till exempel Windowsservrar, stordator, lagringsmiljöer, arkiveringsmedia, backuplösningar, databaser samt mellanprogramvara och applikationsplattformar. I bilaga 2C och 2D specificeras vad som ingår i respektive tjänsteleverans. De ingående funktioner som förväntas bygga upp tjänsten är de som i ITIL v3 beskrivs som Technical Management och IT Operations Management. De processaktiviteter som förväntas bygga upp tjänsten är de som beskrivs i ITIL v3 Service Lifecycle Processes. Nedan beskrivs stadens förväntningar samt specifika krav på dessa funktioner och processer. 4.2 Ingående Funktioner 4.2.1 Technical Management Technichal Management ansvarar för att planera, implementera och upprätthålla en stabil teknisk infrastruktur som stödjer stadens affärsprocesser genom väl utformad, robust och kostnadseffektiv teknisk infrastruktur.

SID 5 (21) 4.2.1.1 Specifika aktiviteter i Technical Management Säkra kunskap och expertis som krävs för att förvalta och driva infrastruktur och att leverera tjänster Tillsammans med stadens arkitekter definiera och etablera standarder som används vid design av nya arkitekturer Utveckla lösningar som förenklar IT Operations Medverka i utformningen och stödja beställandet av nya tjänster Utbilda användare, Service Desk och andra grupper Vara drivande i Availability och Capacity Management processerna Utföra tester för funktionalitet, prestanda och hanterbarhet avtjänster Ha koordineringsansvar för större uppgradering-/konsolideringsprojekt. Dessa drivs som egna projekt och ligger utanför bastjänsten. 4.2.1.2 Specifika krav på Technical Management Leverantören svarar för att genom egen intern Change Management säkerställa att genomförda förändringar inte påverkar driften av det förändrade systemet eller stadens övriga it-miljö negativt. Leverantören ska ha ett nätverk som är aktiverat för IPv6 och IPv4 som standard samt tillhandahålla en central tidsfunktion (NTP, Network Time Protocol) som stadens resurser kan synkronisera mot. Leverantören ska även tillhandahålla DNS-uppslag så att stadens interna och externa resurser kan få del av interna respektive externa namnuppslag. Leverantören ska erbjuda accessformer som ger tillgång till den av leverantören tillhandahållna it-miljön. I detta ska leverantören ha en strategi för hantering av tredjepartsleverantörer vid utvecklingsprojekt och vid utförande av systemförvaltningsåtgärder. Accessformerna ska uppfylla stadens säkerhetskrav för leveransen i enlighet med bilaga 4, Säkerhetskrav. Leverantören ansvarar för att upprätta och uppdatera en resurskatalog för de resurser som ingår i leveransen till staden. Resurskatalogen ska tillhandahållas med AD trust alternativt SAML.v2/ADFS mot stadens användarkatalog. Anslutning till AD ska ske på ett säkert sätt enligt Light Weight Directory Access Protocol (LDAP) eller annan av staden angiven standard. Stadens slutanvändare kommer för att nyttja stadens arbetsplatssystem för att nå det itstöd som tillhandahålls av leverantören. Det innebär att vissa delade resurser, exempelvis personliga hemkataloger, skrivarköer och utskriftshantering med mera finns i stadens miljö för arbetsplatssystemet hos leverantören av arbetsplatssystemet. Leverantören ska utföra alla anpassningar i driftmiljön och delta i dialog, samverkan och gemensam felsökning som behövs för att säkerställa funktionalitet över leverantörsgränserna, även i hantering av fel i andra delar av stadens it-leverans än de som finns inom leverantörens direkta ansvarsområde. Leverantören ska föranmäla alla ändringar i it-miljön till staden och övriga leverantörer. Hur sådan samverkan ska gå till framgår av bilaga 7. Leverantören ska också ta initiativ till kontakter utöver dessa krav om det krävs för att leverantörens uppdrag ska kunna fullgöras.

SID 6 (21) Leverantören ska hålla värdmiljö för databaser och operativsystem samt en applikationsplattform för java. Leverantören ska kunna erbjuda fysiska servrar som lägst motsvarar följande specifikation: Fysisk serverspecifikation Windows/Linux CPU RAM Lätt 1 8 GB Medel 2 16 GB Stor 4 32 GB I takt med teknik- och prisutvecklingen på marknaden ska leverantören förbättra specifikationerna för respektive servermodell utan att priserna påverkas utöver de prisjusteringar som angivits i bilaga 13B Prismall. Leverantören ska tillhandahålla en lösning som följer den tekniska utvecklingen. Parterna ska en gång per år uppdatera serverspecifikationen, baserat på leverantörens förslag. Utöver årlig uppdatering av ovanstående specifikation ska vid behov fysisk serverkapacitet kunna utökas med ytterligare processorkraft (CPU) och arbetsminne (RAM). I arbetet förväntas leverantören göra en kontinuerlig översyn av teknik, processer och nyttjande av leveransen för att kunna föreslå förbättringar för att effektivisera tjänsten och minska den totala kostnaden för staden, exempelvis genom ökad virtualiseringsgrad Leverantören ansvarar för att kontinuerligt utveckla, tillhandahålla och förvalta utbildnings- och informationsmaterial, till exempel felsökningsguider, handledningar, scheman med mera för Service Desk. Driftleverantören ska tillhandahålla de miljöer som krävs för att man ska kunna genomföra tester i den omfattning som krävs för att leva upp till åtagande rörande Change Management enligt ovan. Omfattningen av test- och preproduktionsmiljöer för respektive system överenskoms med respektive systemägare. 4.2.2 IT Operations Management IT Operations Management består av områdena; IT Operations Control och Facilities Management. IT Operations Control säkrar driftsmiljöns stabilitet genom att genomföra definierade dagliga processer och aktiviteter. I detta ingår ansvar för att utföra operativa aktiviteter såsom batchkörningar och back-up. Förutom ansvaret att säkra att ett system eller process är igång har även IT Operations Management ett ansvar för att kontinuerligt driva förbättringsarbete för att öka kvaliteten och kostnadseffektiviteten i leveransen. Facilities Management ansvarar för att sätta upp och leverera datacenter och disaster recovery site.

SID 7 (21) 4.2.2.1 Specifika aktiviteter inom IT Operations Control Övervakning Leverantören ska kontinuerligt genomföra tekniskt underhåll och övervakning av befintlig it-miljö. Leverantören ansvarar för att tillhandahålla en it-miljö fri från skadlig och fientlig kod. I detta ingår nödvändiga licenser för säkerhetsprogramvaror, installation och konfiguration av dessa programvaror samt att säkerhetsprogramvarorna uppdateras enligt branschstandard. Leverantören ska ha system för att aktivt söka och upptäcka förekomst av skadlig kod samt logga resultatet av övervakningen. Leverantören ska vara drivande i Event Management genom att övervakningen omfattar larmhantering och incidentrutiner dygnet runt av såväl prestanda som loggfiler och processer. Leverantören ska övervaka operativsystem och relaterade mjukvaror, hålla kontinuerlig bevakning utifrån dokumenterade tröskelvärden för cpu, minne, diskutrymme, skrivarköer och övriga processer. Tröskelvärdena ska vara baserade på leverantörens processer för Capacity, Availability och Continuity Processes. Om tröskelvärden uppnås ska i förväg överenskomna åtgärder utföras och fel som inte kan åtgärdas ska eskaleras till expertfunktion hos leverantören. Om expertfunktionen bedömer en risk för driftstörningar ska berörd objektansvarig omedelbart underrättas om detta. Verktyg och processer för övervakning ingår i uppdraget. Support Leverantören ska tillhandahålla resurser och kompetens för kundstöd, teknisk support och systemsupport till stadens användare. Supporten ska vara planerad och dimensionerad utifrån givna SLA i bilaga 2B. Supporten ska samarbeta med Service Desk som tar emot frågor och synpunkter från stadens användare. Rutinkörningar Leverantören ansvarar för schemaläggning och körning av rutinjobb som batchoch scriptkörningar enligt stadens riktlinjer för driftsrutiner, batchkörningar och information om eventuella systemberoenden. Leverantören ska tillhandahålla underhåll och support på databaser, hårdvara, middleware (exklusive stadens integrationsplattform som hanteras med eget SLA) och systemprogramvara, samt säkerställa prestanda och kapacitet. I detta ingår att hantera elektronisk dataöverföring och att utveckla och förvalta register för samtliga elektroniska överföringar, leveranspunkter och leveranstidpunkter. Backup & Återställningskörningar Leverantören ska löpande utföra backup, lagra, hantera, arkivera och distribuera back-up-media för leveransen enligt branschpraxis. Leverantören ska även säkerställa möjlighet till kontinuerligt återställande av back-up-media. Backup ska ligga i lagringslösning som är logiskt och fysiskt åtskild från produktionsmiljön. Leverantören ska säkerställa att backuper kan användas för komplett systemåterställning, för att återskapa skadade eller förlorade filer och för att återställa förlorat databasinnehåll. Leverantören ansvarar för att återställning sker med korrekt backup så att inte felaktig eller korrupt data återläses i produktionsmiljön. Leverantören ska ha rutiner för disaster recovery, och minst en gång per år genom test säkerställa att rutinerna fungerar. Leverantören ska kunna hantera en snabb återläsningsteknik.

SID 8 (21) Säkerhetskopiering ska ske till annat medium som förvaras i separat brandzon enligt fastställt schema. Back-up-schema ska överenskommas med respektive objektansvarig. Om inte annat överenskommits tas inkrementella backuper varje dygn, full backup tas varje vecka och en full backup tagen var fjärde vecka ska förvaras på annan plats på ett sätt som överensstämmer med avtalade säkerhetskrav. Backuper ska sparas i en generation. Arkivering Leverantör ska tillhandahålla tjänst för att långtidslagra data som sällan begärs på säker och mer kostnadseffektivt lagringsmedia. Utökat öppethållande Parterna kan överenskomma om att ett system tillfälligt ska ha utökat öppethållande, att extra bemanning ska sättas in under vissa tider eller att extra batchkörningar ska köras utöver vad som är schemalagt. Tekniskt underhåll Lastbalansering: För att säkra tillgängligheten och minimera svarstider för driftstjänsterna ska där så krävs kontinuerlig lastbalansering av körningar och processer ske. Detta ska göras på ett sådant sätt och med lastbalanseringsverktyg så att inte säkerheten förändras i produktionsmiljön. Storage Area Network(SAN)/lagring: Leverantören ansvarar för att lagringslösningen är tillgänglig, fungerande och dokumenterad samt att lösningen löpande utökas och uppgraderas utifrån kundbehov, leverantörsrekommendationer samt omvärldsbevakning. I ansvaret ingår att ta fram förslag på nödvändiga förändringar, som till exempel migrering till arkiveringsmedia, samt att säkerställa att tjänsten har rätt kapacitet och säkerhetsnivå. Vid behov ska leverantören informera och utbilda användare inom staden gällande lagringslösningen samt säkerställa att rätt kompetensnivå finns inom organisationen. 4.2.2.2 Specifika ansvar inom Facilities Management Leverantören ansvarar för att sätta upp och leverera datacenters, datarum samt katastrofmiljöer/siter Leverantören ansvarar för att säkerheten lever upp till de ställda kraven i bilaga 4, Säkerhetskrav. 4.2.3 Tilläggstjänster Dessa tjänster ingår inte i den grundläggande systemdriftstjänsten utan är endast aktuella för vissa system eller systemområden. Utdatahantering Leverantören ansvarar för att tillhandahålla tjänster för bearbetning i samband med leverans av tryckt material och elektroniska utdata, inklusive fjärrutskrift, utskrift till fil, utskrift till fax och skanning till e-post. Leverantören ansvarar för efterbehandling och kuvertering samt lagerhållning av papper, kuvert, blanketter mm. Leverantören ska distribuera bearbetat material till utpekade leveransplatser inklusive paketering för och koordinering med distributörer.

SID 9 (21) Efterbehandling och kuvertering avser delning, ryckning, limbindning, maskinell eller manuell kuvertering, frankering och packning. Integrationstjänster Leverantör ska kunna hämta och lämna information via av staden utpekad integrationsplattform och standard. Tjänsten ska omfatta interna och externa integrationer. Som interna integrationer avses filöverföringar mellan system installerade inom staden. Som externa integrationer avses filöverföring mellan ett system som finns inom staden och en extern part. Samtliga externa integrationer ska ske via en krypterad kanal. Leverantör ska tillhandahålla filöverföringstjänst enligt FTP-standard eller annan av staden senare utsedd standard. Redundant systemdrift Leverantör ska för överenskomna system tillhandahålla kapacitet i ett sekundärt datacenter innehållandes identisk hårdvara och speglad produktionsdata för systemen ifråga. I händelse av en katastrof där huvuddatacentret skadas startas stadens system i det sekundära datacentret i enlighet med överenskomna SLAnivåer. 4.3 Ingående processer i Systemdrift Många av processerna involverar leverantören, staden och övriga leverantörer till staden. För att processerna ska fungera enligt avtalad specifikation krävs därför att leverantören samarbetar med övriga intressenter. Då de ingående parternas nivå av detaljkunskap och processmognad skiljer sig innebär det att gränsytorna mellan de olika aktörerna måste definieras för varje enskild tjänst. Som beskrivits ovan är leverantören ansvarig för att detta sker. Staden ansvarar för att varje tjänst har identifierade objektansvariga i staden. De processer som staden ser som extra prioriterade i systemdriftstjänsten är följande: 4.3.1 Service Level Management Avtalade SLA ska vara etablerade och fullt accepterade inom leverantörens organisation och eventuella underleverantörers organisation. Leverantören ansvarar för att sätta upp rutiner för rapportering gällande efterlevnad av SLA till staden. Leverantören svarar för mätning av tjänsten enligt metod som definieras i detta avtal och varningssystem ska finnas om en nivå i ett serviceavtal är på väg att brytas. Leverantören ansvarar för att samtliga tjänster finns beskrivna i en tjänstekatalog, inklusive aktuella SLA-nivåer för respektive tjänst. Staden ska ha tittbehörighet i tjänstekatalogen och möjlighet att påpeka önskade förändringar. Vid behov ska staden kunna ladda ner innehållet i katalogen i elektroniskt format, till exempel genom att exportera vyer ur katalogen till Excel. 4.3.2 Capacity & Availability Management Leverantören ska löpande säkerställa tillräcklig kapacitet och prestanda för leveransen i enlighet med verksamhetens föränderliga krav. I detta ingår att kontinuerligt övervaka utnyttjandegraden och prestanda för it-resurser för att preventivt identifiera kapacitets-

SID 10 (21) och prestandafrågor, bedöma påverkan på kapacitetsutnyttjandet när befintligt it-stöd förändras samt att utveckla och dokumentera administrativa rutiner för kapacitetsplanering. Detta ska bland annat resultera i tröskelvärden för övervakningsåtgärder enligt IT Operations Control. Leverantören ska identifiera trender och prognostisera framtida kapacitetskrav, göra riskanalyser och föreslå kapacitetsförändringar för att säkerställa leverans enligt fastställda servicenivåer. Leverantören ska löpande kommunicera resultatet av dessa analyser med berörda objektansvariga i den operativa samverkan enligt bilaga 7, Samverkan. Parterna ska gemensamt överenskomma om åtgärder och justeringar inom ramen för upphandlad tjänst. 4.3.3 IT Security Beskrivs i bilaga 4, Säkerhetskrav. 4.3.4 Change Management & Release Management För uppsättande och införande av leveransen i sin helhet vid avtalsstart, återfinns särskilda villkor och krav i bilaga 6, Införande. Leverantören är ansvarig för att fastslå och definiera changeprocessen med enhetliga change-kategoriseringar, riskbedömningar och riskavvärjningsmodeller för it-miljön. Leverantören ska övervaka och minimera riskerna av ändringarna i stadens it-miljö. Leverantören ska föranmäla alla planerade förändringar i egen it-miljö till de av staden sammankallade och ledda veckovisa avstämningsmöten. På dessa möten skall leverantören delta med ansvarig Change Manager eller motsvarande befattningshavare. Följa prioriteringar och beslut För den löpande leveransen efter godkänt införande ansvarar leverantören för att samordna och granska alla planer och aktiviteter inför införande och migrering av nya eller förändrade system och för att driftsatta ändringar inte skapar problem i produktionsmiljön. Vid införande ska leverantören koordinera, av objektansvarig godkänd, information samt själva införandet med Service Desk och övriga berörda leverantörer till staden för införande av leverantörens tjänster. Leverantören ska även planera och tillhandahålla teknisk utbildning och kunskapsöverföring för leverantörens personal under införandet samt genomföra nödvändig utbildning av Service Desk. Leverantören ska bedöma och med berörda parter kommunicera potentiella risker och dess inverkan innan en förändring genomförs. Vid akuta problem som kräver uppgraderingar ska leverantören i samråd med staden omedelbart planera och genomföra sådan åtgärd. Leverantören ska föranmäla alla ändringar i it-miljön till staden och övriga leverantörer. Hur sådan samverkan ska gå till framgår av bilaga 7, Samverkan. Leverantören ska också ta initiativ till kontakter utöver dessa krav om det krävs för att leverantörens uppdrag ska kunna fullgöras. Alla ändringar i it-miljön ska registreras i ett system som staden och dess övriga leverantörer har åtkomst till/läsrättigheter i. Processen för ändringshantering ska vara helt etablerad/accepterad inom leverantörens organisation och det ska finnas releaseplaner för varje release. Leverantören ska ha en övergripande kalender som visar när olika ändringar

SID 11 (21) är planerade att genomföras eller produktionssättas. Releaser och andra servicefönster ska planeras tillsammans med staden. Kontroller ska finnas på plats för att säkra att ändringshanteringsprocessen efterlevs och aktiviteter ska finnas på plats för att säkerställa att ändringar är utvärderade, testade och införda under kontrollerade former. Leverantören ska ha rutiner för att granska ändringar efter implementering. 4.3.5 Asset & Configuration Management Leverantören ansvarar för att upprätthålla och uppdatera all dokumentation rörande systemdriftleveransen. Leverantören ska bland annat dokumentera och upprätthålla dokumentation för livscykelhantering av leveransen, inklusive driftsrutiner och konfigureringsinformation samt scheman för produktionskörningar och underhållsarbete. Leverantören ska ha en logisk modell av it som ska säkerställa att valda delar av en komplett tjänst, system eller produkt kan identifieras, mätas och underhållas och att ändringar av dem är kontrollerade. Leverantören ska även dokumentera beroenden mellan stadens olika system. Leverantören ska upprätthålla och underhålla register över integrationer till och från de system som ingår i leveransen, inklusive detaljerat innehåll i filöverföring, klockslag, filformat med mera. Service Desk leverantören tillhandahåller ett centralt CMS som driftleverantören utifrån Service Desks instruktioner och definitioner har ansvar att hålla uppdaterad. Följande delar är minimikrav gällande Configuration Management; Hårdvara o Stordatorer o o o o o Mjukvara o o o o o Servrar Nätverks komponenter Lagrings & Arkiveringsmedia Kluster Annan hårdvara som används för att bygga tjänsterna Operativsystem, inklusive Policies och konfigurering på operativsystemsnivå (GPO) Mellanprogramvara Affärsapplikationer Databaser Internet/web-plattformar 4.3.6 Incident Management Incidentprocessen ägs och drivs av Service Desk. Service Desk registrerar samt prioriterar och kategoriserar alla incidenter. Om leverantören ser behov av omprioritering ska leverantören ge rekommendation till Service Desk om detta.

SID 12 (21) Leverantören ska etablera och koordinera en effektiv samverkan för incident- och åtgärdshantering med Service Desk, samt övriga intressenter i incidentprocessen. Leverantören ska regelbundet utföra granskning av status för öppna incidenter och pågående åtgärdshantering samt i dialog med staden besluta om stängning av ärenden. Leverantören ska även tillhandahålla dokumentation över öppna incidenter och pågående åtgärdshantering. Leverantören ska informera Service Desk om status på öppna incidenter och pågående åtgärdshantering i enlighet med SLA. Det ska finnas aktiviteter och resurser på plats hos leverantören för att hantera incidenter i enlighet med avtalat SLA. Aktiviteterna för incidenthantering ska vara definierade och dokumenterade i form av en process med beskrivna eskaleringsflöden. Det ska även finnas stödsystem på plats för att registrera och följa upp incidenter samt kontroller för att se till att incidenthanteringsprocessen efterlevs. 4.3.7 Problem Management Leverantören äger och ansvarar för att samordna problemprocessen för hela it-miljön i SIKT-leveransen. Leverantören ansvarar för att alla problemärenden registreras samt prioriteras och kategoriseras. Om någon av stadens övriga leverantörer ser behov av omprioritering kan de ge rekommendation till leverantören om detta. Problemärenden som helt ligger inom övrig leverantörs ansvar, till exempel ett rent telefonirelaterat problem delegeras till aktuell leverantör. Leverantören ska identifiera och rapportera alla incidenter som kräver problemanalys och rekommendera lämpliga åtgärder. Som stöd till detta har leverantören läs och rapportbehörigheter i Service Desk incidentregistreringssystem. Leverantören ska etablera och koordinera en effektiv samverkan för problemprocessen med Service Desk och övriga leverantörer till staden. För återkommande problem ska leverantören analysera och rapportera dessa till staden samt leverera en preventiv trendanalys och lösningsförslag. Leverantören ska ha aktiviteter på plats för att minimera återkommande och olösta incidenter samt bakomliggande problem. Aktiviteterna för problemhantering ska vara definierade och dokumenterade i form av en process. Det ska även finnas kontroller för att säkra att problemhanteringsprocessen efterlevs. Service Desk leverantören tillhandahåller en central databas för kända fel ("Known Error") och en databas för tillfälliga lösningar ( Work Arounds ). Leverantören ansvarar för att dessa databaser är uppdaterade och kan användas av andra processer/funktioner, och stadens övriga leverantörer. 4.3.8 Continual Service Improvement (CSI) Leverantören ska agera proaktivt för att kontinuerligt säkra att levererade tjänster ligger i linje med stadens behov. Därför ska CSI vara implementerat för att på ett strukturerat sätt ge rekommendationer om förbättringar för varje fas i livscykeln för att öka kvalitet och kostnadseffektivitet. CSI ska vara en del av leverantörens kvalitetssystem för att säkerställa ett strukturerat sätt att stödja det ständiga förbättringsarbetet.

SID 13 (21) 5 SYSTEMFÖRVALTNING 5.1 Övergripande Systemförvaltning innebär att leverantören utför underhålls- och vidareutvecklingsarbete (systemförvaltningsarbete) som utgår från verksamhetens behov och som bedrivs genom en tydlig målstyrning med klargjorda roller och ansvar, där ett eller flera it-stöd ingår som delar. Syftet med systemförvaltningen är att öka verksamhetsnyttan av gjorda itinvesteringar. Systemförvaltningen utövas på uppdrag av stadens objektansvariga och är uppbyggd av funktioner, processer, roller och aktiviteter. Systemförvaltningen delas in i en bastjänst och tilläggstjänster. Den årliga volymen fastställs i överenskommelse med respektive objektansvarig. 5.2 Ingående Funktioner 5.2.1 Application Management Funktionen Application Management levererar tjänsten systemförvaltning. Leverantörens ansvar i Application Management är generellt att tillhandahålla och säkra effektiva strukturer, kompetenser och den expertis som krävs för att: Leda Application Management. Hantera inkommande krav på; funktionalitet, nyttjande av systemet, arkitektur, användargränssnitt, tjänstenivåer, underhåll och administration av systemet. Omsätta krav till specifikationer, rekommendera plattformsval och beskriva konsekvenser av ändringar. Bygga ny funktionalitet och testa sådan funktionalitet. Samarbeta med Systemdriften vid installation av ny funktionalitet och ge early life support. Utgöra second line och säkra 3rd line till Service Desk. Optimera leveransen genom analys och föreslå förbättringsförslag. Utveckla och bredda kunskap för att undvika personberoenden. Utbilda användare, Service Desk och andra grupper. För det enskilda objektet samordnar systemförvaltningen kringliggande tjänster som krävs för att staden ska erhålla avsedd och avtalad funktionalitet. Dessa kan till exempel bestå av systemdrift, datakommunikation och licenshantering. För att kunna åstadkomma en systemförvaltning som stödjer verksamheten på bästa sätt och ger hög verksamhetsnytta krävs både verksamhets- och it-kompetens. Detta innebär att både staden och leverantören behöver vara involverad i förvaltningsverksamheten. Ansvarsgränserna mellan staden och leverantören definieras för respektive system där styrande främst är om systemet är ett standardsystem, ett standardsystem med stora kundanpassningar eller ett egenutvecklat system. Systemförvaltningen omfattar all support för alla delar i systemlivscykeln, dock inte nivå 1 support till slutanvändare.

SID 14 (21) 5.2.1.1 Specifika aktiviteter i Application Management Samverkan Leverantören ska delta på drift- och förvaltningsmöten i enlighet med bilaga 7, Samverkan. På dessa möten görs avstämningar av gjorda leveranser till stadens objektansvarige. Leverantören ansvarar för rapportering och ska löpande tillhandahålla beslutade statusrapporter för utveckling och underhåll och rapportera status på mottagna utvecklingsärenden. Leverantören ska även rapportera efter hur lång tid de vanligtvis återkommer med tid- och kostnadsförslag. Rapportering sker mot fastställda servicenivåer. Leverantören ska ta fram, upprätthålla och utveckla utvecklingsplaner, identifiera kritiska beroenden, viktiga kritiska milstolpar och resultat som överenskommits mellan parterna för beslutad utveckling. Systemunderhåll Leverantören ska kontinuerligt utföra de aktiviteter som krävs för att förhindra att incidenter uppstår. Syftet med arbetet är preventivt, det vill säga leverantören ska arbeta för att hantera situationer innan de resulterar i faktiska felsituationer. Leverantören ska tillhandahålla systemunderhåll och användarstöd i enlighet med överenskomna förvaltningsplaner, samt teknisk och funktionell support. Leverantören ska informera om förändringar och uppgradering i tredjepartssystem, samt åtgärda fel, utföra korrigerande, adaptivt, förebyggande och perfektivt underhåll. Leverantören ska trimma stödprogram och verktyg för att erhålla optimal systemfunktion, samt tillhandahålla teknisk hjälp till Service Desk och eventuella superusers i staden. Leverantören ska ge anvisningar för installation av uppdateringar, service pack, nya programversioner, godkända säkerhetsuppdateringar och preventivt byta ut end of life itstödkomponenter. Installationer i produktionsmiljön hanteras i enlighet med Change och Release Management processen. Support Leverantören ska tillhandahålla resurser och kompetens för kundstöd, teknisk support och systemsupport till stadens användare. Supporten ska vara planerad och dimensionerad utifrån givna SLA. Supporten ska samarbeta med Service Desk som tar emot frågor och synpunkter från stadens användare. Operativ ledning av förvaltningen Leverantören ska koordinera och administrera de tjänster och aktiviteter som utförs inom ramen för förvaltning av ett system eller ett systemområde. Huvudmålet med förvaltningstjänsten är att säkra en genomgående hög kvalitet på alla delar av förvaltningen, och består i huvudsak av: Planläggning. Regelbunden uppföljning tillsammans med staden. Rapportering till staden. Redovisning av förbrukade förvaltningstimmar och åtgärder. Ändringshantering, inklusive produktionssättning av ändringar/felrättningar. Konfigurationsstyrning. Framställning av förvaltningsdokumentation inklusive mötesprotokoll.

SID 15 (21) Hantering av frågor i gränslandet mellan staden och tredjepartsleverantör för synkronisering av behov och utvecklings- och supportfrågor som inte naturligt hanteras direkt mellan dessa parter utan kräver en samordnare. 5.2.1.2 Specifika krav på Application Management Projektmodell För projekt som leverantören utför tillsammans med staden, eller där leverantören är projektledare, ska dokumenteras och utföras i enlighet med stadens projektmodell Lilla Ratten. Avveckling Vid avveckling av ett system ska Stockholms stads stadsarkiv informeras om släckning i god tid och därefter ska planering och utförande av eventuell arkivering till e-arkivet av systemet ske i samråd med dem. Leverantören ska föreslå objektansvarig att arkiveringsprojekt startas och ska medverka i arkiveringsprojektet på uppdrag av objektansvarig. Leverantören ska också på uppdrag av objektansvarig utföra det arbete och etablera de tekniska lösningar som arkiveringsprojektet förutsätter. 5.3 Ingående processer i systemförvaltning Många av processerna involverar leverantören, övriga leverantörer samt staden. För att processerna ska fungera enligt avtalad specifikation krävs därför att leverantören samarbetar med övriga intressenter. Då de ingående förvaltningstjänsternas mognad skiljer sig innebär det att gränssytorna mellan de olika aktörerna måste definieras för varje enskilt objekt. Som beskrivits ovan är leverantören ansvarig för att detta sker. Utöver de processer som prioriterats i systemdriftsleveransen ser staden även att systemförvaltningstjänsten prioriterar följande: 5.3.1 Supplier Management I de fall staden ansvarar för underliggande avtal med tredjepartsleverantörer förväntas leverantören hantera och samarbeta direkt med dessa underleverantörer för att förbättra leveransen till staden samt minska eventuella störningar för stadens användare. Leverantören ska kunna bistå staden i riskvärdering och utvärdering av underleverantörernas leveranser i förhållande till deras ansvar. 5.3.2 Change & Release Management Utöver det ansvar inom Change & Release Management beskrivna under Systemdrift har leverantören även ansvar att tillhandahålla etablering av för leveransen nödvändiga förvaltningsmiljöer. 5.3.3 Service Validation & Test Management Leverantören ska följa rutiner och strukturer för test i enlighet med objektansvarigas anvisningar. Staden kommer att ta fram övergripande riktlinjer för testning inför införandet. Det ska finnas en självständig testorganisation med verktyg för

SID 16 (21) defekthantering, testfallshantering och testramverk. Det ska finnas en etablerad process för testning med teststrategier, testplaner och som säkrar att testfall är baserade på framtagna krav. Testning ska vara integrerat i utvecklingscykeln och testbehovet ska styras utifrån risk. 5.3.4 Incident & Service Request Management För de leveranser där supporten för systemförvaltningstjänsten omfattas av avtalad tillgänglighet enligt A ska leverantören planera resurser och verktyg för att dessa SLA nås enligt avtal. 6 TILLÄGGSTJÄNSTER TILL SYSTEMFÖRVALTNING 6.1 Vidareutveckling Utveckling som ligger utanför normalt systemförvaltning, och som överenskommes mellan parterna, utgör vidareutveckling och utförs i separata projekt. Vidareutveckling kan utföras på egenutvecklade system eller som anpassning eller integrering av standardsystem. Det kan även avse utveckling av integrationer i sig. Vidareutveckling kan även omfatta versionsuppgradering eller processförändringar. Leverantören ska skapa övergripande designdokument baserade på verksamhetskrav och funktionella krav samt ta fram övergripande kostnader och tidsåtgång för respektive projekt. Leverantören ansvarar också för att, baserat på de övergripande dokumenten och efter stadens godkännande, skapa detaljerade designdokument och för att fastställa införanderiktlinjer, driftsättningsriktlinjer, projektplaner, testplaner och resursbehov för att uppfylla ställda krav i projekten. Leverantören ansvarar även för uppdatering av alla befintliga rutindokument, så att en överlämning till leverantörens förvaltningsorganisation kan ske. 6.2 Systemägarassistans Leverantören ska kunna agera i en assisterande roll åt stadens objektansvariga, och då ha ansvar för systemens funktion och användning. Uppdraget kan bestå i att utarbeta uppdragsbeskrivningar, prioritera uppdrag och felrättningar tillsammans med staden, hantera allokering av uppdrag, förebygga och hantera felsituationer med mera. Leverantören ska kunna agera samordnare för ett systemområde, och då samordna, hantera och leda samtliga utvecklingsprojekt inom ett systemområde, i samarbete med stadens objektansvariga. 6.3 Utbildning Leverantören ska kunna tillhandahålla utbildningsaktiviteter som är anpassade till systemets användare. Sådana utbildningsinsatser kan bestå av utbildning av enskilda användare på användarens arbetsplats och/eller organiserade användarutbildningar.

SID 17 (21) Utbildningsinsatserna ska kunna genomföras genom lärarledda kurser alternativt via e- learning. Kurserna ska kunna genomföras för att utbilda nya användare i existerande system, eller vara avsedda att utbilda erfarna användare i ny funktionalitet som införts i systemen. Utbildningar ska genomföras i en stadenmiljö, det vill säga med stadens uppsättningar av system, 6.4 Behörighetshantering Leverantören ska kunna tillhandahålla behörighetshantering. Tjänsten ska omfatta: Nyupplägg, ändring och avslut av användare och dess behörighet/roll i aktuellt system. Nyupplägg, ändring och avslut av användare. Leverantören ska upprätthålla aktuella process- och rutinbeskrivningar utifrån förändringar i stadens riktlinjer. 6.5 Beredskap och utökad tillgänglighet Leverantören ska kunna tillhandahålla utökad tillgänglighet och beredskap. Leverantören ombesörjer då att kompetens hålls tillgänglig för att starta felrättning och hantera felsituationer snabbt utanför normal avtalstid. Tjänsten ska kunna levereras som permanent tjänst eller för perioder av året som är speciellt kritiska för staden, till exempel i samband med bokslut, antagning till skolan, politiska budgetförhandlingar eller liknande. 6.6 Testhjälp Testhjälp innebär att leverantören bistår staden så att staden kan genomföra acceptanstester. Typiska uppgifter är utarbetande av testscript, organisering av testet, utarbetande av testdataspecifikationer samt rådgivning vid genomförande av testet. Leverantören ska även kunna bistå med testdata och vara behjälplig vid bearbetning av detta testdata. 6.7 VAN-tjänst Leverantören ska erbjuda en standardtjänst som ger möjlighet att ta emot och skicka elektroniska meddelanden av olika standardformat till ett önskat format till och från stadens EFH/ekonomi/affärssystem. Leverantören ska åtminstone hantera de affärsprocesser som rekommenderas och stöds av SFTI (ESAP). I standardtjänsten ska följande komponenter ingå: Kommunikationsprotokoll över internet. Transportprotokoll.

SID 18 (21) Meddelandehantering av valt fakturaformat. Loggning (överföringslogg, händelselogg). Support och driftövervakning. Återstartsfunktioner. Samtrafiksavtal Leverantören ska ha samtrafiksavtal med samtliga större aktörer på svenska marknaden, under förutsättning att leverantören och den aktuella aktören är överens om villkoren. Vid tvister ska frågan eskaleras till staden. Staden äger rätt att upphandla och köpa VAN-tjänster av annan leverantör om behov föreligger utifrån kommande funktionalitet och upphandlingar. Leverantören har således inte ensamrätt att leverera tjänsten e-faktura företag, B2B, till staden. 6.7.1 Tjänst för staden som avsändare av meddelanden Tjänsten ska omfatta följande: Sändning av elektroniska meddelanden på uppdrag av staden till avsedd mottagare, inklusive nödvändiga kommunikationslinjer Förmedling av elektroniska meddelanden utan kontroll eller konvertering Konvertering av elektroniska meddelanden till det format staden avtalat med sina affärsparter, från stadens standardformat Validering av elektroniska meddelanden innan de sänds till mottagaren, för att säkerställa att de uppfyller överenskomna regler Signering av elektroniska meddelanden ska kunna utföras Arkivering av elektroniska meddelanden, utöver den tillfälliga lagring som ska ingå i grundtjänsten. Arkivering ska ske så att det går att se vad som gällde vid en given tidpunkt under hela 10-årsperioden enligt bokföringslagens krav (till och med det tionde året efter utgången av räkenskapsåret) om inte annat överenskommes Arkivering omfattande en lösning för spårning och återsökning av meddelanden, samt framhämtning inom anvisad tidsram Hantering av kvittenser från mottagaren Loggning av sända meddelanden och övervakning av behandlingen av meddelanden i tjänsten Vid behov ska tjänsten även omfatta en web-portal för att skapa elektroniska meddelanden (till exempel en leverantörsportal). Staden ska via portalen kunna skapa och ta emot elektroniska meddelanden samt erbjuda EDI-gränssnitt mot affärsparter Vid behov ska staden kunna skicka meddelanden direkt via transportfilen direkt till en affärspart eller via någon annan VAN-leverantör om behov så föreligger. Detta ska dock nyttjas restriktivt och endast om synnerliga skäl finns. 6.7.2 Tjänst för staden som mottagare av meddelanden Tjänsten ska omfatta följande: Mottagning av elektroniska meddelanden Generering av kvittenser som med automatik sänds till staden Arkivering av elektroniska meddelanden, utöver den tillfälliga lagring som ska ingå i grundtjänsten. Arkivering ska ske så att det går att se vad som gällde vid en given tidpunkt under hela 10-årsperioden enligt bokföringslagens krav (till och

SID 19 (21) med det tionde året efter utgången av räkenskapsåret) om inte annat överenskommes. Validering av elektroniska meddelanden, avseende syntax- och innehåll. Sammankoppling av elektroniska meddelande, till exempel fakturor kopplas samman med bilagor för vidare behandling eller arkivering. Validering av digital signatur på elektroniska meddelanden på uppdrag av staden. Förnyad validering av digitala signaturer efter den ursprungliga valideringen, till exempel vid en revision. Förmedling av elektroniska meddelanden utan kontroll eller konvertering Konvertering av elektroniska meddelanden till det format staden har, från det format affärsparten valt. Information ska inte förändras eller elimineras i samband med konvertering under förutsättning att mottagande format har stöd för informationen. Det ska finnas dokumentation om konverteringsreglerna har utformats heltäckande, eller vilka uppgifter som inte kan tas omhand, vilka som ändrats och vilka som måste läggas till vid en konvertering. En web-portal där stadens affärsparter ges möjlighet att sända meddelanden till staden. Loggning av sända meddelanden och övervakning av behandlingen av meddelanden i tjänsten Säkerhets- och sekretesshantering för de elektroniska dokument som har specifika säkerhetskrav Vid behov ska staden kunna ta emot meddelanden direkt via transportfilen direkt till en affärspart eller via någon annan VAN-leverantör om behov så föreligger. Detta ska dock nyttjas restriktivt och endast om synnerliga skäl finns. Vid behov ska det vara möjligt för staden att ta fram en lösning där staden själv kan styra meddelanden till produktionsmiljön eller testmiljön. 6.8 Skanningtjänst Leverantören ska tillhandahålla en tjänst för skanning och tolkning av olika typer av leverantörsfakturor inklusive arkivering av fakturaoriginal. Tjänsten ska omfatta följande: Mottagande av fakturor på en skanningcentral Öppning, tömning och återvinning av kuvert Avlägsning av gem från fakturor och bilagor Kassering och återvinning av fakturakopior, broschyrer och reklam Vidareförmedling till staden av ovidkommande post såsom betalningspåminnelser, krav och orderbekräftelser Returnering av felaktiga fakturor till fakturaavsändaren, alternativt vidareförmedling till staden Skanning av fakturor och dess bilagor samt tolkning av fakturainformationen Manuell kontroll att skannade fakturor är korrekt tolkade Arkivering av behandlade fakturor i 10 år. Vid upphörande av avtalet har staden rätt att återfå originalfakturor som arkiverats Möjlighet för staden till fysiska eller elektroniska återskick Återsökning av originalfakturor som ej är äldre än sex månader

SID 20 (21) Vid start av tjänsten ska specifieras fält som ska tolkas samt hantering av övriga delar vilka är relaterad till aktuell skanningtjänst, till exempel nollfakturor, inkassokrav/påminnelser, reklam etcetera. All kommunikation mellan skanningcentralen och staden ska ske genom stadens VANtjänst i och med att konvertering görs av filerna. Konvertering och övervakning ska ske i VAN-tjänsten för att säkerställa säkerhet och leverans. I samband med hantering av aktuella filer i VAN-tjänsten ska även filerna splittras för respektive förvaltning/bolag, lösningen ska utformas så att respektive förvaltning/bolag enbart behöver läsa in en fil med aktuella fakturor (en fil med redovisningsdata samt tillhörande bildfiler). Inom ramen för detta ingår också att hantera administration, kundunik statistik och uppföljning. Externa integrationer Ett med korrekta redovisningsdata till stadens ekonomisystem Ett med korrekta bildfiler till stadens ekonomisystem Respektive flöde ovan har också ett flöde för att hantera eventuella dubbletter. Ett flöde för felaktiga fakturor Interna integrationer Två interna integrationer för undanlagring av stora fakturavolymer, som läses ut och sedan tillbaka igen för bearbetning. 6.9 Drift av externa och interna integrationer Leverantören ska tillhandahålla drift av externa och interna integrationer. Objektansvarig avgör aktuella integrationstjänster för respektive system. Driften av externa och interna integrationer omfattar inte utveckling av nya integrationer. Externa integrationer avser dataöverföring från system i staden till extern mottagande. Tjänsten för externa integrationer omfattar: Integrationsmodul i stadens integrationsplattform Kryptering Kommunikation till mottagande part Kundstöd Interna integrationer avser dataöverföring mellan interna system inom staden. Tjänsten för interna integrationer omfattar: Integrationsmodul i stadens integrationsplattform Kryptering Kommunikation till mottagande part Kundstöd Förändringar av integrationer ska dokumenteras av leverantören i register över systemens integrationer.