Förfrågningsunderlag - Upphandlarversion 2013-08-19 Upphandlande organisation Upphandling SKL Kommentus Inköpscentral AB - SKI Upphandling earkiv 2013 Annelie Dufva 10119 Symbolförklaring: Texten ingår i annonsen Texten/frågan innehåller krav som måste uppfyllas Texten kommer att ingå i avtalet Texten ingår i kvalificeringen Texten kommer att publiceras i avtalskatalogen Texten innehåller sekretessbelagd information Frågan är viktad och ingår i delen av upphandlingen Frågan besvaras av köparen 2. Kravspecifikation Tjänst 2.1. Icke funktionella krav - Anbudsgivare 2.1.1. Ska krav Anbudsgivaren ska ha organisation för användarsupport, support för drifts- och administratörspersonal, felhantering, förvaltning och utveckling av tjänsten. supportorganisation. (/ svar) 2.1.2. Ska krav Anbudsgivaren ska erbjuda support på tjänsten där UM/UE kan beställa olika nivåer av tillgänglighet till support. Bifoga exempel på supportavtal med olika tillgänglighetsnivåer och relaterade priser. olika nivåer av tillgänglighet av support. (/ svar) Anbudsgivaren har bifogat supportavtal med olika tillgänglighetsnivåer och relaterade priser. (/ svar) 2.1.3. Ska krav Anbudsgivaren ska ha dokumenterade och etablerade rutiner för minst: a) felhantering b) test c) versionshantering Utskrivet: 2013-08-19 14:34 Sida 1 av 22
d) förvaltning e) vidareutveckling av tjänsten på så sätt att nya versioner kvalitetssäkras och successivt levereras till upphandlande myndighet under kontraktsperioden. Versionerna kan orsakas tex av lagändringar. rutiner. (/ svar) 2.1.4. Ska krav Anbudsgivaren ska bifoga en treårsplan för tjänstens utveckling. treårsplan för utveckling. (/ svar) Anbudsgivaren har bifogat treårsplan för utveckling. (/ svar) 2.1.5. Ska krav Anbudsgivaren ska beskriva ett införandeprojekt med avseende på minst följande: a) aktiviteter och dess inbördes beroenden b) roller hos anbudsgivaren och hos UM/UE c) anbudsgivarens resursåtgång d) resursåtgång som krävs av UM/UE e) kompetenskrav på UM/UE f) övriga kritiska framgångsfaktorer Beskrivning av införandeprojekt ska bifogas anbudet. beskrivning av införandeprojekt. (/ svar) Anbudsgivaren har bifogat beskrivning av införandeprojekt. (/ svar) 2.1.6. Ska krav Anbudsgivaren ska vara behjälplig vid avveckling. avveckling. (/ svar) 2.1.7. Bör krav Anbudsgivaren bör ha en användarförening eller liknande för att samla in krav och synpunkter på tjänstens vidareutveckling. Utskrivet: 2013-08-19 14:34 Sida 2 av 22
Anbudsgivaren har en användarförening. (/ svar) % 100 % 0 2.1.8. Ska krav Anbudsgivaren ska ha en organisation för samverkan på en strategisk, taktisk och operationell nivå. samverkansformer. (/ svar) 2.1.9. Ska krav Anbudsgivaren ska kunna erbjuda kompetens kopplat till tjänsten, inom: a) projekt för införande av tjänst för elektronisk arkivering b) anpassning och konfiguration av tjänsten c) systemutveckling d) kravfångst/kravanalys e) informationsmodellering f) projektledning g) utbildning h) test i) offentlig verksamhet och dess regelverk erbjuden kompetens. (/ svar) Beskriv hur ni uppfyller kraven på kompetens. (Fritextsvar) 2.1.10. Bör krav UM/UE bör av anbudsgivaren kunna beställa konsult- och införandetjänster för arkivrelaterade arbetsuppgifter kopplat till tjänsten. Exempel på arbetsuppgifter är: a) ta hand om inleverans b) verkställa föreskriven gallring c) genomföra arkivvård (uppdatera registerinformation, genomföra konverteringar och migreringar etc.). UM/UE kan av anbudsgivaren beställa konsult- och införandetjänster. (/ svar) % 100 % 0 2.1.11. Bör krav Anbudsgivaren bör ha en användarförening eller liknande för att samla in krav och synpunkter på tjänstens vidareutveckling. Anbudsgivaren har en användarförening. (/ svar) % 100 % 0 Utskrivet: 2013-08-19 14:34 Sida 3 av 22
2.1.12. Ska krav Anbudsgivaren ska tillhandahålla digital användardokumentation till slutanvändare. Användardokumentation och utbildningsmaterial som riktar sig till slutanvändare ska vara på svenska. digital användardokumentation. (/ svar) 2.1.13. Ska krav Anbudsgivaren ska ha minst två års erfarenhet av drift av lösningar enligt anbudsgivarens tjänstekoncept (inte nödvändigtvis av tjänst för e-arkivlösningar). erfarenhet av drift av lösningar. (/ svar) 2.1.14. Ska krav Anbudsgivaren ska erbjuda tillgänglighet av tjänst där UM/UE kan beställa olika nivåer av tillgänglighet. Bifoga exempel på avtal med olika tillgänglighetsnivåer och relaterade priser. olika nivåer av tillgänglighet. (/ svar) Anbudsgivaren har bifogat avtal med olika tillänglighetsnivåer samt priser. (/ svar) 2.1.15. Ska krav Anbudsgivaren ska kunna erbjuda olika instanser av tjänsten, tex för test och utbildning. insatser för tjänsten. (/ svar) 2.1.16. Ska krav Systemdokumentation dvs högnivåbeskrivningar, inkl teknisk dokumentation för integrationsgränssnitt ska finnas. systemdokumentation. (/ svar) Beskriv kort vad dokumentationen innefattar. (Fritextsvar) 2.1.17. Ska krav Anbudsgivaren ska till upphandlande myndighet kunna tillhandahålla utbildning av minst: Utskrivet: 2013-08-19 14:34 Sida 4 av 22
a) slutanvändare b) administratörer utbildning. (/ svar) 2.1.18. Ska krav Anbudsgivaren ska utföra och dokumentera en riskanalys som underlag för anbudsgivarens ledningssystem och skyddsåtgärder. Anbudsgivaren ska initialt och bör minst en gång per år göra en riskanalys. En riskanalys ska alltid ingå som underlag vid varje ändring av driftmiljön. riskanalys. (/ svar) 2.1.19. Ska krav Vid de tillfällen då anbudsgivaren utför uppdrag på plats i UM/UEs lokaler ska anbudsgivaren att följa av UM/UE framtagna säkerhets och krisberedskapsplaner om sådan situation skulle uppstå. säkerhets och krisberedskapsplaner. (/ svar) 2.1.20. Överföring av personuppgifter till tredjeland Enligt 33 Personuppgiftslagen (1998:204) är det förbjudet att till tredje land föra över personuppgifter som är under behandling om landet inte har adekvat nivå för skyddet av personuppgifterna. Förbudet gäller också överföring av personuppgifter för behandling i tredje land. Som tredje land räknas en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES). SKI accepterar att personuppgifter får föras över till tredje land om och i den utsträckning Europeiska kommissionen har konstaterat att landet har en adekvat nivå för skyddet av personuppgifter i enlighet med artikel 25.6 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Vilka länder eller organisationer som omfattas av Europeiska kommissionens beslut om adekvat skyddsnivå för personuppgifter framgår av bilaga 1 till Personuppgiftsförordningen (1998:1191). Anbudsgivaren ska säkerställa att information transporteras, lagras och hanteras på ett konfidentiellt sätt. Anbudsgivaren ansvarar för att informationen i varje läge skyddas mot åtkomst eller möjlighet till åtkomst från tredje part. överföring av personuppgifter till tredje land. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 5 av 22
Om anbudsgivaren har för avsikt att transportera, lagra eller hantera information utanför Sveriges gränser, ange vilka länder. (Fritextsvar) 2.2. Funktionella krav 2.2.1. Ska krav Anbudsgivaren ska erbjuda en tjänst för e-arkivering. Med tjänst menas att anbudsgivaren tillhandahåller funktionen e-arkiv i enlighet med kraven i denna kravspecifikation, och svarar för drift och tillgänglighet av samt äger, underhåller och vidareutvecklar den underliggande tekniska plattformen och systemet. tjänst för e-arkivering (/ svar) 2.2.2. Ska krav Tjänsten ska möta de generella krav på funktionalitet som framgår av definitionen av e-arkiv i avsnitt 3.1 i Bilaga 5, Beskrivning av projektet earkiv. generella krav på funktionalitet (/ svar) 2.2.3. Ska krav Tjänsten ska erbjuda möjligheter att skapa kostnadseffektiva och funktionellt anpassade lösningar för upphandlande myndigheter av olika storlek och med skilda behov. kostnadseffektiva och funktionellt anpassade lösningar (/ svar) 2.2.4. Ska krav Tjänsten ska ekonomiskt, funktionellt och tekniskt kunna anpassas efter förändrade förutsättningar hos de upphandlande myndigheterna under avtalsperioden. anpassning efter förändrade förutsättningar. (/ svar) 2.2.5. Ska krav Tjänsten ska följa principerna och specifikationerna för den funktionella uppdelningen av gränssnitt, komponenter och informationspaket för arkivhantering enligt OAIS ISO 14721:2003 Open Archival Information System reference model, eller likvärdig. OAIS ISO 14721:2003 eller likvärdig. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 6 av 22
Beskriv övergripande den offererade lösning i text och bilder. Eventuella bilder bifogas anbudet. Beskrivningen ska minst omfatta:a) Lösningsarkitektur med ingående delkomponenter och hur dessa refererar till OAIS-modellenb) Använda produkter och/eller ramverk (egna eller 3:e parts, specificera)c) Teknisk plattform (Fritextsvar) 2.2.6. Ska krav Tjänsten ska kunna ta emot, lagra, vårda, återsöka och hämta ut elektroniska handlingar, dokument, ärenden, databaser mm (arkivobjekt), oavsett format, med tillhörande metadata så att de kan bevaras och hanteras enligt definierat och gällande regelverk. att ta emot, lagra, vårda, återsöka och hämta ut elektroniska handlingar, dokument, ärenden, databaser mm (arkivobjekt), oavsett format (/ svar) 2.2.7. Bör krav Tjänsten bör ha funktionalitet för att skapa informationspaket för inleverans (SIP eller likvärdigt). Tjänsten har funktionalitet för att skapa informationspaket för inleverans (SIP eller likvärdigt). (/ svar) % 100 % 0 2.2.8. Ska krav Tjänsten ska ha funktionalitet för att skapa informationspaket för lagring (AIP eller likvärdigt) och utleverans (DIP eller likvärdigt). funktionalitet för att skapa informationspaket för lagring och utleverans. (/ svar) 2.2.9. Bör krav Tjänsten bör ha funktionalitet för att vid inleverans konvertera elektroniska handlingar i ej arkivbeständiga ursprungsformat till arkivbeständiga. Vägledande för vilka format som är lagringsbeständiga är Riksarkivets föreskrifter för statliga myndigheter. Ange vilka format som stöds med grundkonfiguration för att vid inleverans konvertera elektroniska handlingar i ej arkivbeständiga ursprungsformat till arkivbeständiga. (Fasta svarsalternativ) % 100 Väl godkänd % 50 Godkänd % 0 Underkänd 2.2.10. Ska krav Tjänstens datamodell ska vara anpassningsbar inför olika upphandlande myndigheters specifika lagringsbehov och specifika leveranstyper, såsom personal, ekonomi, webb, ärende Utskrivet: 2013-08-19 14:34 Sida 7 av 22
och diarie mm. anpassning inför olika upphandlande myndigheters specifika behov. (/ svar) 2.2.11. Ska krav Tjänsten ska ha funktionalitet för att ta emot och validera olika typer av informationspaket, s.k. SIP:ar enligt OAIS, med variationer av metadata, objekt och struktur. validering av olika typer av informationspaket. (/ svar) 2.2.12. Ska krav Tjänsten ska ha funktionalitet för att kunna ta emot och validera informationspaket enligt Riksarkivets Förvaltningsgemensam Specifikation för paketstruktur för e-arkiv eller likvärdig. att kunna ta emot och validera informationspaket. (/ svar) 2.2.13. Ska krav Tjänsten ska kunna hantera minst följande typer av inleveranser: a) kontinuerliga leveranser (löpande leveranser från producenter till e-arkiv via en direktanslutning) b) periodvisa leveranser (leveranser som kommer stötvis över en längre tid, men som är sammanhängande med varandra) c) enstaka leveranser (exempelvis avställning av ett system) d) manuella leveranser inleveranser. (/ svar) 2.2.14. Ska krav Tjänsten ska ha funktionalitet för att kontrollera leverans och avfärda ej godtagbara leveranser med kvittens till producent och i enlighet med respektive upphandlande myndighets gällande regelverk funktionalitet för att kontrollera leverans. (/ svar) 2.2.15. Bör krav Tjänsten bör ha funktionalitet för att kontrollera leverans och avfärda ej godtagbara delar av leverans med kvittens till producent och i enlighet med respektive upphandlande myndighets gällande regelverk. Utskrivet: 2013-08-19 14:34 Sida 8 av 22
Tjänsten har funktionalitet för att kontrollera leverans och avfärda ej godtagbara delar av leverans (/ svar) % 100 % 0 2.2.16. Ska krav Leveranskontroll ska kunna utföras avseende: a) Att leveransen överensstämmer med specifikationen b) Att leveransen är komplett c) Integritet, det vill säga att filerna inte har ändrats eller korrumperats leveranskontroll. (/ svar) 2.2.17. Ska krav Tjänsten ska ha funktionalitet för att automatiskt komplettera metadata på arkivobjekt enligt fastställt regelverk, avseende t.ex. sekretess och personuppgifter automatiskt komplettera metadata. (/ svar) 2.2.18. Ska krav Tjänsten ska ha funktioner för en användare att manuellt komplettera och uppdatera metadata på arkivobjekt. funktioner för användare att manuellt komplettera och uppdatera metadata. (/ svar) 2.2.19. Ska krav Tjänsten ska kunna skydda arkivobjekten mot otillåten eller oavsiktlig förändring eller förlust. skyddande av arkivobjekten mot otillåten eller oavsiktlig förändring eller förlust (/ svar) Ange hur kravet uppfylls avseende skyddande av arkivobjekten mot otillåten eller oavsiktlig förändring eller förlust. (Fritextsvar) 2.2.20. Ska krav Tjänsten ska ha funktionalitet för att redovisa handlingar i e-arkivet i enlighet med av verksamheten vald arkivredovisningsstruktur, t.ex. verksamhetsbaserad arkivredovisning eller allmänna arkivschemat. redovisning handlingar. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 9 av 22
2.2.21. Bör krav Tjänsten bör kunna integreras med ett arkivredovisningssystem. Tjänsten kan integreras med ett arkivredovisningssystem. (/ svar) % 100 % 0 Ange eventuella färdiga integrationer med ett arkivredovisningssystem. (Fritextsvar) Ange eventuella färdiga integrationer med andra verksamhetssystem. (Fritextsvar) 2.2.22. Ska krav Tjänsten ska ha funktioner för att definiera gallringsregler och för att utföra automatisk gallring av metadata och av arkivobjekt. Med gallring avses planerad och varaktig förstörelse. funktioner för att definiera gallringsregler. (/ svar) 2.2.23. Bör krav Tjänsten bör ha funktionalitet för en användare att utföra manuell gallring av metadata och av arkivobjekt. Tjänsten har funktionalitet för en användare att utföra manuell gallring av metadata och av arkivobjekt. (/ svar) % 100 % 0 2.2.24. Bör krav Tjänsten bör ha funktionalitet för att hindra återläsning av gallrat material från backuper. Tjänsten har funktionalitet för att hindra återläsning av gallrat material från backuper. (/ svar) % 100 % 0 2.2.25. Ska krav Tjänsten ska ha grafiska användargränssnitt för inleverans, lagring, redovisning, återsökning, administration av regelverk etc. grafiska användargränssnitt. (/ svar) Ange omfattning av grafiska användargränssnitt. (Fritextsvar) 2.2.26. Ska krav Tjänsten ska kunna tillhandahålla elektroniska handlingar till konsument genom: Utskrivet: 2013-08-19 14:34 Sida 10 av 22
a) användargränssnitt för sökning b) integrationsgränssnitt för sökning från annat system tillhandahållandet av elektroniska handlingar. (/ svar) Ange hur återsökt material kan presenteras för konsumenten. (Fritextsvar) 2.2.27. Ska krav Tjänsten ska ha funktioner för fritextsökning och sökning på metadata. funktioner för fritextsökning och sökning på metadata. (/ svar) 2.2.28. Bör krav Tjänsten bör möjliggöra vidareutnyttjande av elektroniska handlingar i enlighet med "Lag (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen". Tjänsten möjliggör vidareutnyttjande av elektroniska handlingar (/ svar) % 100 % 0 2.2.29. Bör krav Grafiska användargränssnitt bör innehålla hjälpfunktioner, t.ex. elektroniska manualer eller kontextuell hjälp. Ange i vilken form och omfattning det grafiska användargränssnitt innehåller hjälpfunktioner. (Fritextsvar) Tjänsten har grafiska användargränssnitt som innehåller hjälpfunktioner. (/ svar) % 100 % 0 2.2.30. Ska krav Tjänsten ska kunna hantera klassificering av och differentierad tillgång till information med hänsyn till olika typer av inskränkningsbehov såsom sekretess, personuppgifter, upphovsrätt mm. klassificering av och differentierad tillgång till information. (/ svar) 2.2.31. Ska krav Tjänsten ska ha funktionalitet för migrering och konvertering av arkivredovisningsstruktur, metadata och arkivobjekt till framtida gällande format och versioner av e-arkivet. Utskrivet: 2013-08-19 14:34 Sida 11 av 22
funktionalitet för migrering och konvertering. (/ svar) 2.2.32. Ska krav Hela eller delar av arkivet, med dess bestånd, ska kunna exporteras till annan plattform. export till annan plattform. (/ svar) Ange hur hela eller delar av arkivet, med dess bestånd, exporteras till annan plattform. (Fritextsvar) 2.2.33. Ska krav Tjänsten ska stödja import/export från och till andra systemlösningar för e-arkivering baserat på öppna, dokumenterade specifikationer (tex Riksarkivets Förvaltningsgemensamma specifikation för paketstruktur för e-arkiv). import/export från och till andra systemlösningar. (/ svar) 2.2.34. Ska krav Tjänsten ska erbjuda funktioner för att bygga rapporter och sammanställa statistik- och loggning/loggar. funktioner för att bygga rapporter och sammanställa statistikoch loggning/loggar. (/ svar) 2.3. Icke funktionella krav - Teknik 2.3.1. Ska krav Tjänsten ska, via maskingränssnitt kunna integreras, med olika verksamhetsstyrda externa komponenter för att stödja UM/UEs regelverk, som t.ex. behörighetssystem. maskingränssnitt (/ svar) 2.3.2. Ska krav För högsta möjliga integrationsmöjlighet med kringgärdande tjänster, ska tjänsten och dess funktioner kunna anropas via öppna och dokumenterade kommunikations- och integrationsgränssnitt. integrationsmöjlighet. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 12 av 22
Beskriv tjänstens kommunikations- och integrationsgränssnitt med referens till relevanta och använda standarder. (Fritextsvar) 2.3.3. Ska krav Anbudsgivaren ska ange vilka krav tjänsten ställer på klientmiljön, tex krav på webbläsare. klientmiljö. (/ svar) 2.3.4. Bör krav Tjänsten bör hantera klientexekvering via Citrix eller likvärdigt. Tjänsten kan hantera klientexekvering via Citrix eller likvärdigt. (/ svar) % 100 % 0 2.3.5. Bör krav Grafiska användargränssnitt bör vara utformade så att de kan användas av bredast möjliga krets av användare, oavsett faktorer såsom kön, ålder, funktionshinder och etnisk/kulturell bakgrund. Webbgränssnitt bör följa WCAG2. Tjänstens grafiska användargränssnitt är utformat så att det kan användas av bredast möjliga krets av användare. (/ svar) % 100 % 0 2.3.6. Bör krav Grafiska användargränssnitt bör vara ändamålsenliga, effektiva och ge god tillfredsställelse i användningen, såsom definierat i den internationella standarden ISO 9241-11 eller likvärdig. Tjänstens grafiska gränssnitt följer den internationella standarden ISO 9241-11 eller likvärdig. (/ svar) % 100 % 0 2.3.7. Bör krav Grafiska användargränssnitt som riktar sig till slutanvändare bör vara på svenska. Tjänstens grafiska gränssnitt är på svenska. (/ svar) % 100 % 0 2.3.8. Ska krav Tjänsten ska innehålla funktion för upptäcktsrutiner när informationsöverföring eller uppdatering inte lyckats. rutiner för upptäcksrutiner. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 13 av 22
2.3.9. Bör krav Tjänsten bör innehålla kompenseringsrutiner för hantering av uppkomna diskrepanser. Tjänsten innehåller kompenseringsrutiner för hantering av uppkomna diskrepanser. (/ svar) % 100 % 0 2.4. Icke funktionella krav - Prestanda/skalbarhet/tillförlitlighet 2.4.1. Bör krav Tjänsten bör stödja skiktade lagringsformer, dvs att material med högre återsökningsfrekvens kan lagras på snabbare media, och material med lägre återsökningsfrekvens kan lagras på långsammare media. Tjänsten stödjer skiktade lagringsformer. (/ svar) % 100 % 0 2.4.2. Bör krav Tjänsten bör ha funktioner för att konfigurera de skiktade lagringsformerna. Ange ev begränsningar och om det finns automatik i konfigureringen. Tjänsten har funktioner för att konfigurera de skiktade lagringsformerna. (/ svar) % 100 % 0 2.4.3. Ska krav Anbudsgivaren ska beskriva hur prestanda och skalbarhet hanteras i tjänsten. prestanda och skalbarhet. (/ svar) Anbudsgivaren ska besksriva kravet avseende prestanda och skalbarhet. (Fritextsvar) 2.4.4. Ska krav Tjänsten ska kunna hantera variationer i: a) Antal samtidiga användare b) Antal paket för inleverans, per tidsenhet c) Antal paket för utleverans, per tidsenhet d) Antal objekt i inleverans- eller utleveranspaket e) Antal objekt i arkivet f) Lagringsvolym g) Ange eventuella storleksbegränsningar per objekt h) Antal inleveransspecifikationer i) Antal levererande system variationer. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 14 av 22
Ange hur kravet tillgodoses och vilka eventuella begränsningar som finns. (Fritextsvar) 2.4.5. Ska krav Anbudsgivaren ska ange normgivande mätbara värden för svarstider. svarstider. (/ svar) Ange normgivande mätbara värden för svarstider. (Fritextsvar) 2.4.6. Ska krav Anbudsgivaren ska mäta och följa upp avtalade svarstider för tjänsten och som på begäran utlämnas till UM/UE. mätning och uppföljning. (/ svar) 2.4.7. Bör krav Anbudsgivaren bör beräkna och prognostisera kapacitetsbehov samt löpande hålla UM/UE informerad om kapacitetsbehovet. Anbudsgivaren beräknar och prognostiserar kapacitetsbehov samt löpande hålla UM/UE informerad om kapacitetsbehovet. (/ svar) % 100 % 0 2.4.8. Ska krav Tjänsten ska ha funktionalitet för att återläsa tidigare systemversioner i de fall ändringar visar sig vara felaktiga. återläsning. (/ svar) 2.5. Icke funktionella krav - Säkerhet 2.5.1. Ska krav Tjänsten ska ha stöd för autentisering med olika metoder vid inloggning. autentisering. (/ svar) Beskriv de olika metoderna avseende autentisering. (Fritextsvar) Utskrivet: 2013-08-19 14:34 Sida 15 av 22
2.5.2. Ska krav Tjänsten ska ha stöd för stark autentisering. Med stark autentisering menas minst två-faktors autentisering. stark autentisering. (/ svar) 2.5.3. Bör krav Tjänsten bör gå att konfigurera för olika metoder av autentisering vid inloggning. Tjänsten går att konfigurera för olika metoder av autentisering vid inloggning. (/ svar) % 100 % 0 2.5.4. Bör krav Tjänsten bör ha stöd för federerad inloggning enligt SAML 2.0 eller senare. Tjänsten har stöd för federerad inloggning. (/ svar) % 100 % 0 2.5.5. Ska krav Tjänsten ska ha funktionalitet för kontroll av åtkomst till tjänsten, funktioner och information i tjänsten genom ett behörighetssystem. behörighetssystem. (/ svar) 2.5.6. Ska krav Behörigheter, dvs tillgång till information och funktioner, ska kunna styras baserat på användare, roll, funktion och attribut på objekt. tillgång till information och funktioner. (/ svar) 2.5.7. Ska krav Behörigheter ska kunna tidsbegränsas. tidsbegränsning. (/ svar) 2.5.8. Ska krav Tjänsten ska ha funktion för att administrera behörigheter via särskilt användargränssnitt. administrering av behörigheter (/ svar) Utskrivet: 2013-08-19 14:34 Sida 16 av 22
2.5.9. Ska krav Tjänsten ska innehålla funktion för att märka och hantera arkivobjekt med olika skyddsvärdesnivåer. informationsobjekt. (/ svar) Beskriv hanteringen av skyddsvärdesnivåer. (Fritextsvar) 2.5.10. Ska krav För spårbarhet ska nödvändiga uppgifter kunna samlas in och lagras i loggar. Loggarna ska innehålla information om minst: a) vem som utfört vilken åtgärd, och vid vilken tidpunkt b) genomförd gallring c) drift- och övervakningshändelser loggar. (/ svar) 2.5.11. Bör krav Tjänsten bör ha funktionalitet för sökning i och analys av loggar. Tjänsten har funktionalitet för sökning i och analys av loggar. (/ svar) % 100 % 0 2.5.12. Ska krav Anbudsgivaren ska tydligt definiera ansvarsfördelningen för informationssäkerheten i sin driftorganisation och ansvaret ska fördelas i utpekade och dokumenterade roller. Särskilt ska ansvaret för hantering av ledningssystemet vara utpekat. ansvarsfördelning för informationssäkerhet. (/ svar) 2.5.13. Ska krav Anbudsgivaren ska tillse att de roller som är definierade upprätthålls av personer hos anbudsgivaren som har tillräcklig kompetens, är lämpliga för sina roller och att de förstår sitt ansvar för de roller som de tilldelats. roller. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 17 av 22
2.5.14. Ska krav Anbudsgivaren ska ha dokumenterade rutiner för ändringshantering avseende uppdatering av driftmiljö för tjänsten. dokumenterade rutiner för ändringshantering. (/ svar) 2.5.15. Ska krav Anbudsgivaren ska ha dokumenterade rutiner för riskhantering. riskhantering. (/ svar) 2.5.16. Ska krav Anbudsgivaren ska vidta de skyddsåtgärder för driftmiljön som i riskanalysen bedömts som nödvändiga för att upprätthålla lämpligt skydd. skyddsåtgärder för driftmiljön. (/ svar) 2.5.17. Ska krav Anbudsgivaren ska skydda system och information i driftmiljön från obehörig åtkomst genom behörighetskontroller och spårbarhet ner på individnivå. obehörig åtkomst. (/ svar) 2.5.18. Ska krav Anbudsgivaren ska skydda tjänsten och information i tjänsten för driftspersonal genom behörighetskontroll och spårbarhet ner på individnivå. driftpersonal. (/ svar) 2.5.19. Ska krav Tjänsten ska vara beskaffad med funktioner för övervakning och larm av driftsstörningar, belastning och attacker, exempelvis: a) ska ha kompenseringsrutiner där det är lämpligt b) ska ha dokumenterade rutiner för hantering inklusive delegationsordning funktioner för övervakning och larm. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 18 av 22
2.5.20. Ska krav Tjänstens övervaknings- och larminformation ska lagras och analyseras av anbudsgivaren. lagring av övervaknings- och larminformation. (/ svar) 2.5.21. Ska krav Övervaknings- och larminformation ska göras tillgänglig för UM/UE. tillgängligheten av larm- och övervakningsinformationen. (/ svar) 2.5.22. Ska krav Anbudsgivaren ska ha loggfunktioner påslagna. loggfunktioner. (/ svar) 2.5.23. Ska krav Loggar ska lagras på ett integritetsskyddande sätt under den tid som överenskommits med UM/UE. lagring av loggar. (/ svar) 2.5.24. Ska krav System- och driftloggar ska göras tillgängliga för UM/UE vid förfrågan. tillgänglighet av system- och driftloggar. (/ svar) 2.5.25. Ska krav Anbudsgivaren ska regelbundet analysera loggarna knutna till driften. analysering av loggar. (/ svar) 2.5.26. Ska krav Anbudsgivaren ska kunna göra användar- och behörighetsloggar tillgängliga för UM/UE. Utskrivet: 2013-08-19 14:34 Sida 19 av 22
tillgänglighet av användar- och behörighetsloggar. (/ svar) 2.5.27. Ska krav Tjänsten ska ha skydd mot överbelastningsattacker. överbelastningsattacker. (/ svar) 2.5.28. Ska krav Tjänsten ska ha funktioner för upptäckt och skydd av intrång. upptäckt och skydd av intrång. (/ svar) 2.5.29. Ska krav Tjänsten ska ha funktioner för upptäckt och skydd av skadlig kod. upptäckt och skydd av skadlig kod. (/ svar) 2.5.30. Bör krav UM/UE bör ha möjlighet att påverka servicefönster. UM/UE har möjlighet att påverka servicefönster. (/ svar) % 100 % 0 2.5.31. Ska krav Tjänsten ska ha funktioner och dokumenterade regelbundna rutiner för säkerhetskopiering som också omfattar återläggning. säkerhetskopiering. (/ svar) 2.5.32. Ska krav Anbudsgivaren ska testa funktioner och rutiner för säkerhetskopiering och återläggning regelbundet. säkerhetskopiering. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 20 av 22
2.5.33. Ska krav Tjänsten ska vara utformad så att ingen information kan förloras eller bli korrupt efter återläggning. utformning. (/ svar) 2.5.34. Ska krav Anbudsgivaren ska ha lösning för skydd av säkerhetskopior i minst två exemplar varav ett ska lagras i brandcell med geografisk åtskillnad. skydd av säkerhetskopior. (/ svar) 2.5.35. Ska krav Anbudsgivaren ska ha dokumenterade rutiner för kontinuitetsplanering för drift av tjänsten. kontinuitetsplanering. (/ svar) 2.5.36. Ska krav Anbudsgivaren ska i sin driftmiljö ha rutiner för hantering och rapportering av incidenter. incidenter. (/ svar) 2.5.37. Ska krav Incidenter ska rapporteras till UM/UE enligt överenskommelse. rapportering av incidenter. (/ svar) 2.5.38. Ska krav All kommunikation över nät ska ha insyns- och integritetsskydd. insynoch integritetsskydd. (/ svar) Beskriv hur tjänsten uppfyller krav avseende insyn- och integritetsskydd. (Fritextsvar) 2.5.39. Ska krav Anbudsgivaren ska tillhandahålla en logiskt separerad miljö för varje UM/UE. Utskrivet: 2013-08-19 14:34 Sida 21 av 22
logiskt separerad miljö. (/ svar) 2.5.40. Ska krav Anbudsgivaren ska logiskt separera behörighetssystem och loggar för varje UM/UE. separerat behörighetssystem och loggar. (/ svar) 2.5.41. Ska krav Anbudsgivaren ska ha nödvändigt skalskydd med tillträdeskontroll för driftmiljön, och skydda driftmiljön från annan extern påverkan såsom brand, strömavbrott, översvämning mm. skalskydd. (/ svar) 2.5.42. Ska krav Anbudsgivaren ska vid utbyte av lagringsmedia säkra att känslig information raderas. byte av lagringsmedia. (/ svar) Utskrivet: 2013-08-19 14:34 Sida 22 av 22