0 FÖRFRÅGAN 1 (6) Mottagare HEMLIG Förfrågan om information gällande marknadens utbud av molnbaserade rekryteringssystem Om Säkerhetspolisen Säkerhetspolisen förebygger och avslöjar brott mot rikets säkerhet, bekämpar terrorism och skyddar den centrala statsledningen. Syftet med myndighetens verksamhet är att skydda det demokratiska systemet, medborgarnas fri- och rättigheter samt den nationella säkerheten. Säkerhetspolisen är en myndighet under regeringen. Verksamheten är indelad i fem områden; kontraspionage, kontraterrorism, författningsskydd, säkerhetsskydd och personskydd. Därtill arbetar myndigheten med att förhindra spridning, anskaffning och produktion av massförstörelsevapen. Ungefär 1000 personer arbetar vid vårt huvudkontor i Stockholm eller vid någon av de fem regionala enheterna ute i landet. Ytterligare information finns på www.sakerhetspolisen.se Bakgrund till denna förfrågan om information Säkerhetspolisen arbetar med att effektivisera myndighetens rekryteringsprocess. Detta ska ske genom förändrade arbetsmetoder med stöd av moderniserad teknik och ökad automatiserad informations hantering. Postadress Besöksadress Telefon Telefax E-post/Internet Box 12312 Bolstomtavägen 2 010-568 70 00 010-568 70 10 sakerhetspolisen@sakerhetspolisen.se 102 28 Stockholm 171 69 Solna +46-10-568 70 00 +46-10-568 70 10 www.sakerhetspolisen.se
Säkerhetspolisen FÖRFRÅGAN 2(6) Syfte med denna förfrågan om information Observera att denna förfrågan enbart är en förfrågan om information och inte en anbudsinbjudan till en offentlig upphandling. Inbjudan till offentlig upphandling avses att annonseras via TendSign senare under år 2016. Säkerhetspolisen planerar att anskaffa ett molnbaserat rekryteringssystem under år 2016. Denna förfrågan om information (härefter kallad RFI ) görs med syfte att få en bättre förståelse för de lösningar som finns ute på marknaden. Målsättningen är att tidigt få en uppfattning över vilka rekryteringssystem som olika leverantörer erbjuder, systemens funktionalitet, samt hur systemen hanterar olika juridiska krav gällande personuppgiftsbehandling och IT-säkerhetsfrågor. Genom att tillvarata leverantörers erfarenheter och kunskaper är det vår ambition att kunna upprätta ett för marknaden relevant, proportionerligt och ändamålsenligt förfrågningsunderlag vid en senare offentlig upphandling. Det är därför vår förhoppning att ni vill delta i denna RFI, varvid vi även uppmuntrar att ni berättar och framhåller vad ni bedömer att en upphandlande myndighet särskilt behöver tänka på vid utformning av frågeunderlag och utvärderingskriterier vid upphandling av ett molnbaserat rekryteringssystem så att god konkurrens uppnås där varje leverantörs kvalifikationer rättvist kommer att kunna visas. Det är helt frivilligt att delta i informationsdelningen och det är inte någon förutsättning för att få lämna anbud vid en kommande upphandling. Säkerhetspolisen ger ingen ekonomisk ersättning till leverantörer för medverkan i denna RFI. Tänk på att all e-post, handlingar, brev etc. som sänds till Säkerhetspolisen blir en allmän handling som kan bli offentlig om inte skäl för sekretesskydd föreligger! Kompletterande information I händelse av att Säkerhetspolisen behöver lämna kompletterande information så kommer sådan information att tillhandahållas på Säkerhetspolisens hemsida som nås via www.sakerhetspolisen.se/omsakerhetspolisen/upphandling. Likaså kommer all eventuell ytterligare information som har getts till någon enskild leverantör att tillhandahållas på samma hemsida. Allt i syfte att garantera full transparens.
Säkerhetspolisen FÖRFRÅGAN 3(6) Vad händer efter denna RFI? Efter att publiceringstiden för denna RFI gått ut kommer Säkerhetspolisen att gå igenom inkomna svar, beskrivningar och synpunkter. En upphandlingsgrupp kommer att upprätta en anbudsinbjudan till en offentlig upphandling. Om behov föreligger kan sådan anbudsinbjudan komma att föregås av ytterligare förfrågan om information eller att upphandlingsunderlaget tillställs marknaden på remiss för synpunkter. I sådant fall kommer underlaget att hållas tillgängligt via TendSign och Säkerhetspolisens hemsida. Frågeställningar till leverantör av rekryteringssystem Om leverantören Fråga 1 Beskriv era primära kundsegment. Ange branscher, storlek på kundföretag/organisationer samt var de är lokaliserade. Fråga 2 Beskriv era erfarenheter av att arbeta med kunder i offentlig sektor. Fråga 3 Beskriv existerande kunder som ni tror kan ha en liknande kravställning som vi, exempelvis myndigheter eller företag som har stort fokus på säkerhetsfrågor. Fråga 4 Beskriv organisationen som utvecklar systemet. Ange roller, numerär, var de fysiskt är lokaliserade samt om personerna arbetar internt på företaget eller externt hos en underleverantör. Fråga 5 Beskriv organisationen som sköter driften och förvaltningen av systemet och den tekniska plattformen. Ange roller, numerär, var de fysiskt är lokaliserade samt om personerna arbetar internt eller hos en underleverantör. Personuppgiftshantering och skydd för uppgifter Följande frågor ställs mot bakgrund av de rättsliga kraven på personuppgiftshantering enligt personuppgiftslagen (1998:204), PuL och offentlighets- och sekretesslagen (2009:400).
Säkerhetspolisen FÖRFRÅGAN 4(6) Fråga 6 Beskriv era erfarenheter av att agera som personuppgiftsbiträde. Fråga 7 Använder ni i egenskap av leverantör er av underleverantörer? Om ja, är någon av dessa lokaliserade utanför Sveriges gränser och i så fall var? Fråga 8 Uppgifter som inte längre är nödvändiga för sitt ändamål måste gallras eller göras tekniskt avskilt i systemet. Detta innefattar att ta bort/avskilja olika typer av information utifrån givna tidsramar. Beskriv hur detta skulle kunna utföras i ert system. Fråga 9 Beskriv hur kan ni vidta de lämpliga tekniska och organisatoriska åtgärder som krävs för att skydda uppgifter i systemet. Med tekniska åtgärder avses bl.a. kryptering, loggning, behörighetsstyrning, inloggningslösningar, säkerhetskopiering, skydd mot skadliga program m.m. exempelvis mot obehörig åtkomst, obehörig spridning och obehörig användning. Fråga 10 Beskriv hur ni har förberett er för att uppfylla kraven i den kommande EUförordning som kommer att ersätta PuL? Teknisk plattform Fråga 11 Beskriv den tekniska plattformen som systemet är installerat på. Ange arkitektur, mjukvara, utvecklingsspråk samt var den fysiskt är placerad. Fråga 12 Beskriv rutiner för utvecklingsmetod. Ange hur arbetet går till vid utveckling av systemet, vilka metoder som används, vad som styr prioriteringar samt hur testning sker. Fråga 13 Beskriv nuvarande rutin för releasehantering och systemuppgradering. Ange vilka typer av uppgraderingar som görs, hur ofta de görs samt hur de påverkar olika användare vid genomförandet.
Säkerhetspolisen FÖRFRÅGAN 5(6) Systemintegration Fråga 14 Vi vill automatiskt kunna föra över användarrelaterade händelseloggar samt övriga säkerhetsloggar till ett av oss kontrollerat logghanteringssystem. Beskriv hur detta skulle kunna utföras med ert system. Fråga 15 Vid vissa händelser i systemet så vill vi att information om denna automatiskt förs över till ett av oss kontrollerat system som är åtkomligt över internet. Exempel på detta är när en kandidat registrerar en ansökan och bifogar en CV i PDF- eller Wordformat. Beskriv hur detta skulle kunna utföras med ert system. Fråga 16 Autentisering och behörighetskontroll i systemet bör kunna ske utifrån konto och gruppinformation som härstammar utifrån en av oss kontrollerad katalogtjänst. Beskriv hur detta skulle kunna utföras med ert system. Incidenthantering Fråga 17 Beskriv existerande rutiner för att hantera säkerhetsincidenter. Ange vilka roller som gör vad, vilken information kunden får, hur informationen delges kunden och när/vid vilken tidpunkt informationen delges kunden. Fråga 18 Beskriv existerande rutiner för att hantera driftincidenter. Ange vilka roller som gör vad, vilken information kunden får, hur informationen delges kunden och när/vid vilken tidpunkt informationen delges kunden. Övrigt Fråga 19 Efter en genomförd upphandling kan Säkerhetspolisen ha behov av att genomföra en säkerhetsgranskning av det upphandlade systemet i en skarp test- och/eller labmiljö. Beskriv vilka möjligheter ni har att tillgodose detta och i så fall på vilket sätt. Fråga 20 Utöver ovanstående, finns det annat som ni vill lyfta fram och belysa?
Säkerhetspolisen FÖRFRÅGAN 6(6) Svar på RFI-frågor Frågorna besvaras skriftligen via e-post till upphandling@sakerhetspolisen.se. E-posten ska rubriceras med Rek 16 diarienr: 2015-6079. Frågorna besvaras i fristående dokument av format DOC alternativt PDF. Frågorna besvaras på svenska. Tidsramar Eventuella synpunkter på frågorna ska lämnas skriftligen till Säkerhetspolisen senast 24 mars 2016. Slutlig inlämning av svar på RFI lämnas senast 4 april 2016. Kontaktperson Kontaktperson vid Säkerhetspolisen är: Peter Waldenström Telefon: 010-56 88 496 Säkerhetspolisen Box 12312 102 28 STOCKHOLM Telefon (växel) 010-56 87 000