SSA-L Bilag 2 – Leverandørens beskrivelse av tjenesten
2024/6420 – Anskaffelse av e-læringsplattform
SSA-L Bilag 2 – Leverandørens beskrivelse av tjenesten
Innhold
3 Leverandørs oppfyllelse av formål 3
4 Leverandørs forutsetninger for leveransen 3
5 Myndighetskrav og eksterne rettslige krav 4
6 Spesifikasjon av programvare 4
7.3 Produksjon og distribusjon av kurs 6
7.4 Administrasjon, godkjenning og oppfølging 8
8 Personvern og Informasjonssikkerhet 9
8.1 Styring og kontroll med informasjonssikkerheten 9
8.6 Lagring og rekonstruksjon av data 13
8.7 Tiltak mot digitale angrep 13
8.8 Krise- og beredskapsplaner 13
11 Administrative bestemmelser 17
13 Samlet pris og prisbestemmelser 19
1 INNLEDNING
Kravene i kravspesifikasjonen er formulert som behov. I kolonnen for beskrivelse er det angitt hva som forventes av leverandørens besvarelse.
Kravene er kategorisert som følger:
• Kravtype A: Krav av høy viktighet som må være oppfylt ved tilbudsfrist (i dag). Leverandør må bekrefte og beskrive i Bilag 2 at kravet er oppfylt i dag.
• Kravtype V: Krav som er kategorisert som V (vurderingskrav) inngår i tildelingskriteriene. Leverandør må beskrive hvordan tjenesten og løsningen ivaretar kravet som er fremstilt.
• Kravtype AV: Både absolutte minimumskrav og vurderingskrav som inngår i tildelingskriteriene. I tillegg til at minimumskravet må være oppfylt ved tilbudsfrist må leverandøren beskrive hvordan tjenesten og løsningen ivaretar kravet som er fremstilt.
2 FORMÅL
Formålet med å anskaffe en læringsplattform og et system for produksjon av digital læring (e-læring) er å kunne tilby interne og eksterne brukere tilpasset opplæring. Bruk av e-læring som virkemiddel har mange fordeler:
• økt mulighet for læring og kompetanseheving
• tilpasset opplæring
• konsistent, enhetlig og standardisert opplæring
• et inkluderende arbeidsliv
• sparer tid, penger og miljø
Oppdragsgiver ønsker en leverandør som gir oss en sikker digital læringsplattform (LMS) der alle opplæringsaktiviteter er lett tilgjengelig, og man kan administrere, dokumentere og rapportere brukernes aktiviteter.
I tillegg skal det være mulig å produsere digitalt, teknologistøttet opplæringsmateriell (e-læring) på en enkel og brukervennlig måte.
3 LEVERANDØRS OPPFYLLELSE AV FORMÅL
Leverandørs oppfyllelse av formålet med anskaffelsen, skal inntas i L Bilag 2. Leverandøren skal gi en overordnet beskrivelse av tilbudt løsning, samt beskrive sin forståelse av anskaffelsens formål, herunder hvordan Leverandøren skal bidra for å oppnå dette.
Hvis løsningen forutsetter bruk av tredjepart verktøy skal dette spesifiseres.
4 LEVERANDØRS FORUTSETNINGER FOR LEVERANSEN
Leverandørs forutsetninger for leveransen skal inntas i L Bilag 2. Leverandøren skal beskrive de forutsetninger Leverandør finner nødvendig å ta for å vedstå seg sine forpliktelser under avtalen. Alle forutsetninger av generell, merkantil, funksjonell eller teknisk karakter som er relevante for at Kunden skal kunne benytte den tilbudte løsningen skal beskrives.
Hvis løsningen forutsetter bruk av tredjepart verktøy skal dette spesifiseres.
5 MYNDIGHETSKRAV OG EKSTERNE RETTSLIGE KRAV
Løsningen skal innfri aktuelle og relevante myndighetskrav. Dette omfatter krav pålagt gjennom lov og forskrifter, standarder og kodeverk, samt sikkerhetsmessige krav. Kravene omfatter både løsning og Leverandør, og skal besvares i L Bilag 2.
Leverandøren skal holde seg orientert om regelverksendringer og ha en strategi for å holde løsningen oppdatert til enhver tid.
Følgende styrende dokumenter, lover og forskrifter, veiledere og standarder skal legges til grunn (listen er ikke uttømmende):
LOV-2018-06-15-38 Lov om behandling av personopplysninger (Personopplysningsloven)
6 SPESIFIKASJON AV PROGRAMVARE
Leverandøren skal i L Bilag 2 gi en komplett oversikt over tilbudt programvare. Oversikten skal være en spesifisering av alle relevante komponenter og moduler, inkludert versjonsnummer. I tillegg skal det gis en roadmap over kommende versjoner med datoangivelse de neste 2-4 år. All annen programvare som er en forutsetning for at tilbudt programvare skal fungere optimalt, skal spesifiseres på tilsvarende måte.
Dersom standard programvare må leveres under standard lisensbetingelser og avtalevilkår, skal dette være uttrykkelig angitt i L Bilag 2. Kopi av lisensbetingelsene skal i så fall vedlegges tilbudet som L Bilag 9.
7 FUNKSJONELLE KRAV
Kundens funksjonelle behov og krav til løsning spesifiseres i kapitlene under. Leverandøren skal besvare kravene i SSA-L Bilag 2 Leverandørens løsningsspesifikasjon. Der leverandøren i sin besvarelse refererer til sin egen dokumentasjon skal nøyaktig plassering (kapittel, avsnitt, punkt etc. oppgis).
7.1 Generelt
Nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F1 | Brukergrensesnittet skal være oversiktlig og intuitiv. Det skal være mulig å tilpasse brukergrensesnittet til enkelte brukergrupper/den enkelte bruker. | V | Beskriv hvordan dette er ivaretatt i løsningen og hvordan den enkelte ansatte kan konfigurere brukergrensesnittet. |
F2 | Leverandøren og løsningen skal oppfylle de til enhver tid gjeldende obligatoriske krav i «Referansekatalog for IT-standarder i offentlig sektor». | A | Beskriv hvordan dette er ivaretatt. |
F3 | Løsningen bør være tilpasset alle digitale flater og støtte ulike nettlesere, og oppleves som rask og responsiv. | V | Beskriv hvordan dette er ivaretatt. |
Nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F4 | Det bør være en søkbar meny og mulighet til å filtrere søket i Kursportalen. | V | Beskriv hvordan dette er ivaretatt. |
F5 | Det skal være mulig å dele menyen inn i kategorier og underkategorier. | V | Bekreft og beskriv standard funksjonalitet for dette i tilbudt løsning |
F6 | Hvis brukere gjør feil ved bruk av systemet skal han/hun bli presentert med informative meldinger som gir nok forklaring til at brukeren selv kan korrigere eventuelle feil og mangler og komme videre i prosessen. | V | Bekreft og beskriv standard funksjonalitet for dette i tilbudt løsning |
F7 | Løsningen skal være tilgjengelig på norsk. Dette gjelder både brukergrensesnitt og standard tekster. | A | Beskriv hvordan dette er ivaretatt. |
F8 | Løsningen bør være tilgjengelig på bokmål og nynorsk. | V | Beskriv hvordan dette er ivaretatt. |
F9 | Xxxxxxxx bør selv kunne velge målform. | V | Beskriv hvordan dette er ivaretatt. |
F10 | Løsningen skal understøtte muligheten til å ivareta relevante krav til universell utforming i henhold til digitaliseringsdirektoratets (digdir) krav til universell utforming av IKT på | A | Beskriv hvordan løsningen ivaretar universell utforming. Beskriv eventuelle begrensninger og hvilke krav dere mener er relevante. |
F11 | Det skal være mulig å se når siste endring i et kurs ble gjort, og hvem som gjorde endringen (endringslogg). | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F12 | Løsningen bør inneholde mulighet for tilbakemelding/evaluering/rangering av kurs og innhold. | V | Beskriv hvordan dette er ivaretatt. |
7.2 Brukeradministrasjon
Nr. | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F13 | Systemet skal ha funksjon for enkelt å håndtere og forvalte brukere i systemet. Tilgangsstyringen skal være rollebasert – dvs. at rettigheter skal kunne settes for ulike typer moduler og oppgaver iht. den ansattes rolle i organisasjonen. • Administrator • Superbruker • Leder • Kursprodusent • Ansatt • Ekstern | AV | Bekreft og beskriv hvordan kravet er oppfylt. |
F14 | Deaktiverte navngitte brukere skal ikke medregnes som aktive brukere. | A | Vennligst bekreft. |
Nr. | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F15 | Når brukere deaktiveres, bør gjennomførte kurs likevel lagres for å sikre konsistens i statistikk og rapporter. | V | Beskriv hvordan kravet er oppfylt. |
F16 | Eksterne brukere bør ha mulighet til selvregistrering/selvpåmelding. | V | Beskriv mulighetene. |
F17 | Det skal være mulig å importere inn eksterne brukere i bulker via f.eks. Excel liste. | A | Vennligst bekreft. |
F18 | Det skal være mulighet for å gjøre opprydding/sletting av manuelt registrerte brukere. | A | Vennligst bekreft. |
F19 | Det skal være mulig å gi begrenset tilgang til enkeltbrukere utenfor oppdragsgivers organisasjon (eksterne brukere). | A | Bekreft og beskriv hvordan kravet er oppfylt. |
7.3 Produksjon og distribusjon av kurs
Nr. | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F20 | Produksjon av kurs bør være enkelt og intuitivt. | V | Bekreft og beskriv hvordan kravet er oppfylt. Det ønskes også presentasjon med demo av løsningen. |
F21 | Det er ønskelig med bistand til produksjon av kurs på timesbasis. | V | Beskriv hvordan kravet er oppfylt, timespris konsulent legges i Bilag 6 Prisskjema. |
F22 | Leverandøren må tilby opplæring i systemet. | V | Bekrefte og beskriv hvordan kravet er oppfylt. |
F23 | Det er behov for tilgang til ferdig utviklede kurs, innen fagområder for eksempel: • Onboarding av nye medarbeidere • Etiske retningslinjer • GDPR/Personvern • HMS grunnkurs • Office 365 kontorstøtteapplikasjoner • Informasjonssikkerhet Det er en fordel om kursene er tilpasset offentlig sektor. I forbindelse med utløsing av opsjon kan det være behov for kurs for prøvenemnda, faglige instruktører, veiledere og lærlinger. Kursene skal kunne tilpasses av kunden til eget behov. | V | Beskriv hvilke ferdigproduserte kurs som leverandøren eventuelt har, og om kunden kan bruke disse. |
F24 | Løsningen skal ha mulighet for å gjøre kurs tilgjengelig for ulike ansattgrupper, f.eks. ledere, faggrupper, nyansatte. Knyttes til sikkerhetsgrupper, distribusjonsgrupper fra Microsoft 365 eller manuelt opprettet grupper i løsningen. | A | Bekreft og beskriv hvordan kravet er oppfylt. |
F25 | Løsningen skal inneholde brukerveiledning og/eller en hjelpefunksjon hvor man kan | V | Bekreft og beskriv hvordan kravet er oppfylt. |
Nr. | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
finne hjelp, råd og tips når man skal lage kurs og opplæringsprogrammer. | |||
F26 | Løsningen skal inneholde støtte for å legge til ulikt medieinnhold, bilder, film og lyd, for eksempel fra Youtube. Beskriv hvilke filformater som støttes. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F27 | Løsningen bør ha innebygde effekter for å gjøre innholdet visuelt for å forsterke innholdet. f.eks. Animasjoner og lyder. | V | Beskriv hvordan kravet er oppfylt. |
F28 | Løsningen skal ha ulike designmuligheter i utforming av innhold som fonter, overskrifter, plassering av tekst/media, farger osv. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F29 | Løsningen bør inneholde ferdige maler som man kan velge blant med ulik utforming for eksempel nanolæring eller mer omfattende nettkurs. | V | Beskriv hvordan kravet er oppfylt. |
F30 | Det bør være mulig å kopiere over innhold fra et word dokument uten at innhold og formateringer går tapt. | V | Beskriv hvordan kravet er oppfylt. |
F31 | PDF-dokumenter må kunne lastes inn i systemet og åpnes som en del av kurset. Eks. Klikk på en .PDF-fil for å lese mer. | A | Bekreft og beskriv hvordan kravet er oppfylt. |
F32 | Løsningen skal ha mulighet til å få brukere til å bekrefte at informasjon er lest i som en del av et kurs. For eksempel en sikkerhetsinstruks. | V | Beskriv hvordan kravet er oppfylt. |
F33 | Systemet bør inneholde kunstig intelligens for hjelp til å lage innhold i kurs. | V | Beskriv hvilke KI-funksjoner systemet har. |
F34 | Hvis ja på 32; Ved bruk av kunstig intelligens, skal ikke innhold i kurs, dialog med brukere, personopplysninger knyttet til brukere mm. lagres hos ekstern KI/AI løsning. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F35 | Hvis ja på 32: Det bør være mulig å slå av kunstig intelligens i løsningen. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F36 | Det bør være mulig å importere data fra eksterne kilder som MS Excel, tekstfiler og/eller XML filer. f.eks. kursresultater på eksterne kurs. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
Nr. | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F37 | Det bør være mulig å eksportere data til eksterne kilder som MS Excel, tekstfiler og/eller XML filer. | V | Beskriv hvordan kravet oppfylles. Dette kan være f.eks lister på gjennomførte kurs |
F38 | Det bør være mulig å importere og eksportere innhold, som f.eks kurs utviklet med SCORM, xAPI og H5P. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F39 | Løsningen bør støtte adaptiv læring/undervisning, som samtidig ivaretar godt personvern. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F40 | Løsningen bør kunne bruke anbefalingsalgoritmer (kollaborative filtreringer) for å kunne anbefale relevante kurs til ulike ansatte, samtidig som løsningen ivaretar godt personvern. | V | Bekreft og beskriv hvordan kravet er oppfylt |
F41 | Hvis ja på F39 og F40; det bør være mulig å be seg unntatt for sporing. | V | Bekreft og beskriv hvordan kravet er oppfylt |
F42 | Det bør være mulighet for samproduksjon (flere bidrar til produksjon i samme kurs). | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F43 | Det må være mulig å dele kurs med andre kunder eller samarbeidspartnere, direkte fra samme verktøy (det skal altså ikke være behov for andre, eksterne verktøy). Deling av kurs med lenke uten pålogging. | A | Bekreft og beskriv hvordan kravet er oppfylt. |
7.4 Administrasjon, godkjenning og oppfølging
Nr. | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F44 | Løsningen skal inneholde muligheten for en “eksamensfunksjon” som må bestås for å få kurset som godkjent/gjennomført. | A | Bekreft og beskriv hvordan kravet er oppfylt. |
F45 | Beskriv muligheten for å følge opp sertifiseringer innen kurs/innhold som ansatte har gjennomført enten internt eller eksternt. Oppfølgingen av gjennomførte kurs skal være enkelt og brukervennlig, både for ansatte, ledere og superbrukere. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F46 | Det skal være mulig å dokumentere at en ansatt har gjennomført et kurs. Der det er aktuelt, skal løsningen også ha en oversikt over bestått/ikke bestått. Gjelder også eksterne som er registrert som bruker i systemet | A | Bekreft og beskriv hvordan kravet er oppfylt. |
Nr. | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
F47 | Løsningen bør ha mulighet til å kunne designe egne kursbevis og sertifikater | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F48 | Det er ønskelig at dokumentasjon på bestått kurs hentes ut i PDF format | V | Bekreft og beskriv hvordan kravet er oppfylt. |
F49 | Kunden bør selv kunne bestemme presentasjon/layout av kurs i kurskatalogen. | V | Beskriv hvilke layout kunden kan velge for å presentere kurs. |
F50 | Oversikt over “mine” kurs, planlagte kurs, obligatoriske kurs, anbefalte kurs og påbegynte kurs. | A | Bekreft og beskriv hvordan kravet er oppfylt. |
F51 | Det er ønskelig at løsningen har elementer eller metoder som kan benyttes for å øke ansattes motivasjon for å gjennomføre kurs/opplæring, for eksempel spillifisering (gamification). | V | Beskriv hvordan kravet er oppfylt. |
F52 | Hvis Ja på krav F51 bør funksjonaliteten kunne skrues av ved behov. | A | Beskriv hvordan kravet er oppfylt. |
8 PERSONVERN OG INFORMASJONSSIKKERHET
Kunden har etterspurt en løsning som ikke installeres i Kundens eget driftsmiljø, og data lagres utenfor Kundens eksisterende driftsmiljø/infrastruktur. Det er et viktig prinsipp for denne type leveranse at Kunden eier dataene.
Leverandøren bes akseptere dette og gi en oversikt over de regulerende lover og regler som berører Kundens sikkerhet for datalagring og datasletting i løsningen.
Leverandøren skal også forplikte seg på å bidra til gjennomføring av en ROS-analyse av løsningen i samarbeid med kunden ved behov.
Behandling av personopplysninger skal skje i henhold til Personopplysningsloven og EU’s personvernforordning gjeldende fra mai 2018. Det skal inngås en databehandleravtale mellom Kunde og Leverandør basert på Innlandet fylkeskommune sin standard databehandleravtale.
8.1 Styring og kontroll med informasjonssikkerheten
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P1 | Leverandør bør ha et etablert ledelsessystem for informasjonssikkerhet i henhold til en anerkjent standard, for eksempel ISO/IEC 27001:2017 eller nyere. | V | Leverandøren bes beskrive sitt styringssystem for informasjonssikkerhet |
P2 | Leverandøren skal ha tydelig definerte sikkerhetsmål og strategier. Videre skal leverandøren ha sikkerhetsdokumentasjon for bruk i egen virksomhet, herunder instrukser, sjekklister og beredskapsplaner for å understøtte arbeidet med sikkerhet i virksomheten og mot kunder. | V | Leverandøren bes om en overordnet beskrivelse av sine sikkerhetsmål og strategier. |
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P3 | Det er ønskelig at leverandøren innehar gyldige sertifiseringer og/eller kan vise til tredjepartsattestasjoner som er relevante for utvikling, drift og forvaltning av løsningen, med hensyn til informasjonssikkerhet. Eksempler kan være ISO 9001, 27001-sertifisering, sertifisering av datasentre, ISAE 3402- rapporter, CSA STAR-sertifisering, osv. | V | Leverandøren bes beskrive relevante sertifiseringer og/eller tilgjengelige attestasjonsprodukter for seg selv og eventuelle underleverandører. |
P4 | Leverandøren skal jevnlig gjennomføre interne revisjoner, herunder testing av tekniske, organisatoriske og fysiske sikkerhetstiltak. | V | Leverandøren bes beskrive hvordan de planlegger, gjennomfører og dokumenterer revisjoner og testing. |
P5 | Leverandøren skal sørge for at eventuelle underleverandører følger sikkerhetsrelaterte retningslinjer og krav. | V | Leverandøren bes beskrive hvordan de følger opp sikkerhetsarbeidet hos sine underleverandører. |
8.2 Tilgangsstyring
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P6 | Løsningen skal legge til rette for autorisasjon basert på tjenstlig behov. Flere personer skal ikke benytte samme autentiseringskriteria. | A | Leverandøren bes beskrive hvordan løsningen tilrettelegger for tildeling av brukerautentiseringsmekanisme og autorisasjon på en betryggende måte |
P7 | Leverandøren skal hindre uautorisert bruk og ivareta integritet og konfidensialitet ifb. fjernaksess. | A | Leverandøren bes beskrive sine rutiner for fjernaksess, herunder hvordan bruk av data sikres under og etter bruk av fjernaksess. |
P8 | Leverandøren skal separere data som tilhører forskjellige kunder. Leverandørens egne data skal separeres fra kundenes data. | A | Leverandøren bes beskrive sin sikkerhetsarkitektur med hensyn til separasjon av data som tilhører forskjellige kunder. |
P9 | Løsningen skal ha mulighet for Single Sign On (SSO, Entra ID/Azure AD, MFA) | A | Bekreft og beskriv hvordan kravet er oppfylt. |
P10 | Løsningen bør støtte automatisk opprettelse, oppdatering og sletting av brukere. Løsningen skal enten opprette/endre/slette brukere via Entra ID/Azures AD innebygde tjeneste for brukerprovisjonering eller manuelt i løsningen. | A | Bekreft og beskriv hvordan kravet er oppfylt. |
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P11 | Løsningen skal ha automatisk provisjonering av brukere hvor Innlandets organisatoriske hierarki i Microsoft Entra ID ivaretas. | V | Beskriv hvordan dette kan løses og hvilke importmuligheter/teknologier som finnes. |
P12 | Informasjon i løsningen skal kunne styres til roller med forskjellig behov. • Ansatte skal ikke ha mulighet til å se andre kursresultater enn sine egne • Ledere skal ha mulighet til å se sine ansattes kursresultater. • Kursprodusent skal kunne se informasjon om eget kurs, gjennomføring, kursresultat, tilbakemeldinger på eget produsert kurs. • Administratorer skal ha mulighet til å se alt. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
P13 | Det skal være mulig å sette opp separate portaler for interne og eksterne brukergrupper, med ulik forside/velkomstside. Portalene skal være helt adskilte fra hverandre slik at eksterne brukere ikke får tilgang til innhold/data i portal for interne brukere. | AV | Bekreft og beskriv hvordan kravet er oppfylt. |
8.3 Hendelsesregistrering
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P14 | Ved datainnbrudd eller andre uønskede sikkerhetshendelser på løsningen skal kunden varsles av leverandør. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
P15 | For å oppdage brudd eller forsøk på å bryte regelverket skal det som minimum føres logg over følgende: • Autorisert bruk av informasjonssystemene skal registreres. • Sikkerhetsbarrierene skal registrere sikkerhetsrelevante hendelser, bl.a. forsøk på uautorisert bruk av informasjonssystemet. | V | Leverandøren bes beskrive hvordan de vil etablere hendelsesregistrering i løsningen. |
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
• Nettverksoperativsystemer skal registrere alle forsøk på uautorisert bruk. • Alle informasjonssystemer skal registrere alle forsøk på uautorisert bruk. | |||
P16 | Loggene i hendelsesregistrene skal sikres mot uautorisert endring og sletting. | A | Leverandøren bes beskrive hvordan de sikrer hendelsesregistrene |
8.4 Kryptering
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P17 | Leverandøren skal ha mekanismer for sikring av data under transport, prosessering og lagring for å ivareta integritet og konfidensialitet. | A | Leverandøren bes beskrive hvordan de sikrer data under transport, prosessering og lagring. |
8.5 Konfigurasjonskontroll
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P18 | Det er en forutsetning at leverandøren har oversikt over og kontroll på alt eget utstyr og programvare som benyttes slik at konfidensialitet, integritet og tilgjengelighet blir ivaretatt. | V | Leverandøren bes beskrive hvordan de ivaretar oversikt over og kontroll på utstyr og programvare som benyttes i løsningen. |
P19 | Konfigurasjonsendringer, dvs. endringer i utstyr og/eller programvare, skal ikke settes i drift før risikoreduserende tiltak er gjennomført. Eksempler kan være: • Prosess for godkjenning og gjennomføring av endringer • Risikovurdering som viser at nivå for akseptabel risiko er oppnådd • Test som sikrer at forventede funksjoner er ivaretatt • Implementering som sikrer mot uforutsette hendelser • Ny konfigurasjon er dokumentert • Konfigurasjonsendringer er godkjent av kunden | V | Leverandøren bes beskrive hvordan de planlegger og gjennomfører konfigurasjonsendringer i utstyr og/eller programvare |
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P20 | Leverandøren skal dokumentere alle konfigurasjoner i et konfigurasjonskart over informasjonssystemene og teknisk beskrivelse av konfigurasjonen. Dokumentasjonen skal vise leverandørens og eventuelle underleverandørers datasentre og lokasjoner. | V | Leverandøren bes beskrive hvorledes de dokumenterer konfigurasjoner av utstyr og programvare |
8.6 Lagring og rekonstruksjon av data
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P21 | Det skal jevnlig tas sikkerhetskopi av data og informasjon som er nødvendig for gjenoppretting av normal bruk. | A | Leverandøren bes beskrive sine rutiner for sikkerhetskopiering. |
P22 | Sikkerhetskopier skal oppbevares avlåst og brannsikret, og adskilt fra driftsutstyret. | V | Leverandøren bes beskrive hvordan sikkerhetskopier sikres og oppbevares. |
P23 | Det skal jevnlig foretas test av at sikkerhetskopiene er korrekte og kan tilbakeføres. | V | Leverandøren bes beskrive hvordan de tester og dokumenterer gjenoppretting sikkerhetskopier. |
8.7 Tiltak mot digitale angrep
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P24 | Løsningen skal sikres mot sikkerhetstruende hendelser. | V | Leverandøren bes beskrive på en overordnet måte hvorledes løsningen sikres mot digitale angrep. |
8.8 Krise- og beredskapsplaner
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P25 | Det skal vedlikeholdes dokumentasjon og oversikt over informasjonssystemer som er kritiske for drift av løsningen. | V | Leverandøren bes beskrive hvorledes de dokumenterer løsningen og tilhørende informasjonssystemer med henblikk på kritikalitet. |
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P26 | Med utgangspunkt i klassifiseringen av informasjonssystemene skal det etableres nødprosedyrer for alternativ drift av løsningen uten informasjonssystemene, og alternativ drift med delvis støtte fra informasjonssystemene, samt testing av nevnte prosedyrer. | V | Leverandøren bes beskrive sine nødprosedyrer og hvorledes disse testes. |
8.9 Personvern
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
P27 | Løsningen skal tilrettelegges for å ivareta personvernprinsippene. | V | Leverandøren bes beskrive hvordan personvernprinsippene tenkes ivaretatt i løsningen. Beskrivelsen bør peke på tiltak, prosesser og rutiner som sikrer ivaretakelse av hvert av personvernprinsippene. |
P28 | Løsningen skal ha innebygd personvern og personvern som standardinnstilling. | V | Leverandøren bes beskrive hvilke tiltak, prosesser og rutiner som vil bidra til å ivareta innebygd personvern og personvern som standardinnstilling. |
P29 | Løsningen skal ivareta den registrertes rettigheter. | V | Leverandøren bes beskrive hvordan den registrertes rettigheter ivaretas, herunder blant annet rett til innsyn til egne opplysninger, informasjon om egen søknadshistorikk og logger, rett til retting og sletting, rett til begrensning av behandling og rett til dataportabilitet. |
P30 | Dersom personopplysninger tilgjengeliggjøres eller på andre måter behandles i land utenfor EU/EØS, skal det foreligge godkjent overføringsmekanisme, være gjennomført vurdering av beskyttelsesnivået samt iverksatt nødvendige tiltak slik at personopplysningene sikres på samme nivå som innenfor EU/EØS. | V | Leverandøren bes bekrefte at personopplysninger ikke tilgjengeliggjøres utenfor EU/EØS eller beskrive overføringsmekanisme, vurdering av beskyttelsesnivå i mottakerland samt hvilke ytterligere tiltak som er gjennomført for å sikre at personopplysningsvernet er på sammen nivå som innenfor EU/EØS. |
9 INTEGRASJONER
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
I1 | Integrasjoner skal utvikles og tilpasses etter et metodeverk. | V | Beskriv metodeverk for utvikling og tilpassing av integrasjoner med tredjeparts løsninger. Det skal fremkomme både teknisk tilnærming, prosjektmetodikk og kvalitetssikring. |
I2 | Løsningen bør ha et åpent API for både lesing og skriving. | V | Beskriv teknisk tilnærming/arkitektur. |
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
I3 | Løsningen bør ha integrasjon mot M365 Copilot. | V | Bekreft og beskriv hvordan kravet er oppfylt. |
I4 | Løsningen skal ha mulighet for Single Sign On (SSO, Entra ID, MFA) | A | Bekreft og beskriv hvordan kravet er oppfylt. |
I5 | Løsningen skal støtte automatisk opprettelse, oppdatering og sletting av brukere. Løsningen skal enten opprette/endre/slette brukere via Azures innebygde tjeneste for brukerprovisjonering eller manuelt i løsningen. | AV | Bekreft og beskriv hvordan kravet er oppfylt. |
I6 | Løsningen bør ha automatisk provisjonering av brukere hvor Innlandets organisatoriske hierarki i Microsoft Entra ID ivaretas. | V | Beskriv hvordan dette kan løses og hvilke importmuligheter/teknologier som finnes. |
10 PLAN FOR ETABLERING
10.1 Prosjektgjennomføring
Det er behov for en effektiv og vellykket implementering og innføring av løsningen.
Leverandør skal i L Bilag 3 beskrive en plan for gjennomføring fra signering av kontrakt til leveringsdag, inkludert etablering av vedlikeholdstjenesten. Planen skal inneholde alle nødvendige aktiviteter med ansvar og estimert tidsbruk. Kundens aktiviteter og ansvar skal også inngå i planen.
Leveransen skal gjennomføres ved anvendelse av Leverandørens etablerte prosjektmetoder samt Leverandørens beste praksis for tilsvarende leveranser.
10.2 Test og godkjenning
Kunden skal undersøke leveransen ved å gjennomføre en akseptansetest, jfr. de alminnelige kontraktsbestemmelsene.
Leverandør skal i L Bilag 3 beskrive plan for test og godkjenning, og legge ved en generisk testplan.
Kunden skal ikke være begrenset av de alminnelige kontraktsbestemmelsenes regulering av en testperiode på 10 dager. Testperioden avsluttes når alle planlagte tester er gjennomført og godkjenningskriteriene er oppnådd.
10.3 Opplæring
Kunden har følgende målgruppe for opplæring:
• Tjenesteansvarlig
• Tjenesteforvaltergruppe (teknisk og funksjonelt) Leverandør skal tilby tilpasset opplæring av de ulike målgruppene.
Leverandøren skal i L Bilag 2 beskrive hvordan leverandøren gjennomfører opplæring av målgruppene og i hvilken form.
Beskrivelsen skal inneholde følgende informasjon: Målgruppe, målsetting, innhold, varighet, sted/form på opplæring, krav til forkunnskap, resultat etter opplæring, dokumentasjon og anbefalt antall deltakere.
Alle priser skal oppgis i L Bilag 6.
Kunden forbeholder seg retten til enten selv å gjennomføre kurs i bruk av tilbudt applikasjon, eller å hente inn annen ekstern undervisningskompetanse.
10.4 Dokumentasjon
Kunden skal kunne bygge egen kompetanse på løsningen.
Det skal leveres brukerdokumentasjon på norsk som presenterer systemets virkemåte og funksjonalitet for brukerne, og dekker alle de ulike roller brukere av systemet kan ha.
Det skal leveres systemdokumentasjon som skal gi innsikt i og forståelse av applikasjonen.
All dokumentasjon skal foreligge elektronisk for kunde med mulighet til å redigere/editere på dokumentasjonen og kopiere denne til internt bruk.
All dokumentasjon skal være oppdatert, og klart merket med hvilken versjon, revisjon, rettelse etc. den relaterer seg til.
Leverandøren bes i L Bilag 2 beskrive tilbudt dokumentasjon.
11 ADMINISTRATIVE BESTEMMELSER
Leverandøren skal i L Bilag 5 beskrive sin planlagte organisering og bemanning av etableringsprosjektet. Dette skal dokumenteres med CV med relevant erfaring og referanser, for følgende roller.
• Prosjektleder
• Opplæringsansvarlig
Leverandøren skal beskrive organisasjonen som kreves for gjennomføring av ytelsen etter etablering, herunder roller og tilbudt kompetanse. Det skal også redegjøres for hvilke krav som stilles til medvirkning fra Kundens side.
Leverandøren skal beskrive sine rutiner for brukerstøtte og feilretting, herunder eskaleringsrutiner.
12 DRIFT OG VEDLIKEHOLD
12.1 Brukerstøtte
Brukerstøtte skal være inkludert i den faste avgiften. Med brukerstøtte menes bistand fra Leverandøren som ikke har tilknytning til feil i programvaren. Dette kan eksempelvis være forhold som:
• Kunden trenger forklaring på prosesser i systemet.
• Kunden ber om råd for å optimalisere bruken av systemet.
• Kunden har et rapportbehov og trenger hjelp til å finne ut hvilke rapporter de kan bruke i den sammenheng.
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
D1 | Kunden har i normal arbeidstid behov for brukerstøtte | V | Beskriv supportapparatet deriblant: • Tilgjengelighet • Gjennomsnittlig svartid • Gjennomsnittlig løsningstid • Support kanaler, eksempelvis epost, tlf, chat mm |
D2 | Kunden har behov for support på norsk. | A | Bekreft at kravet er oppfylt. |
12.2 Feilretting
Når kunden oppdager feil eller mangler ved leveransen, skal disse rapporteres til Leverandøren med kategori. Ved feilmelding foretar Xxxxxx selv kategorisering av feil innenfor de kategorier som er gitt i de alminnelige kontraktsvilkårene.
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
D3 | Det er Kunden som kategoriserer hva som er feil og hva som er endringsønsker. Xxxxxx rapporterer opplevde feil. Leverandøren kan ikke endre kategoriseringen uten Kundens samtykke. | V | Beskriv rutiner for mottak, behandling, endringer og retting av feil |
D4 | Dersom Kunden er i tvil om feilen skyldes programvare, utstyr eller nettverk kan Kunden kreve at Leverandøren iverksetter nødvendige tiltak for diagnostisering. | A | Leverandøren bes akseptere dette |
D5 | Leverandøren plikter å informere Xxxxxx om kjente feil, og å informere om hvordan og når feilen er tenkt løst samt informasjon om eventuelle midlertidige løsninger. | A | Beskriv hvordan dette er ivaretatt |
D6 | I spesielle situasjoner vil det være hensiktsmessig med en midlertidig løsning for å omgå innmeldte feil. Dette skal ikke påvirke opprinnelig kategorisering og heller ikke bli en permanent løsning for innmeldte feil. | A | Leverandøren bes akseptere dette |
12.3 Tjenestenivå
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
D7 | Kunden har behov for en robust tjeneste med høy tilgjengelighet og rask responstid. Leverandøren skal garantere stabiliteten på tjenesten. Manglende tilgjengelighet som skyldes forhold utenfor tjenesten levert av Leverandøren, eller planlagte ekstraordinære driftsstanser, omfattes ikke av tilgjengelighetsgarantien | V | Beskriv hvordan dette er ivaretatt i Bilag 4 eller i egen, vedlagte SLA. Beskrivelsen skal minimum inneholde: • Garantert oppetid • Responstider på feilhåndtering etter kategori • Responstid på brukerstøtte |
D8 | Ved brudd på tilgjengelighetsgarantien har Kunden rett på kompensasjon. Dersom bortfallet bare gjelder deler av tjenesten, reduseres betalingsplikten forholdsmessig etter omfang, skyld og avbruddstid. | V | Forholdsmessig prisavslag ved brudd på tilgjengelighetsgarantien skal være angitt i Bilag 5 eller vedlagt SLA. Metode for utregning skal også beskrives. |
D9 | Kunden har behov for varsling før planlagt nedetid. | A | Beskriv hvordan dette er ivaretatt i Bilag 4 eller i egen, vedlagte SLA. |
D10 | Kunden har behov for driftsvarsler eller oversikt over tjenestestatus dersom tjenesten ikke fungerer som tenkt og/eller er utilgjengelig. | V | Beskriv hvordan dette er ivaretatt. |
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
12.4 Nye versjoner
Krav nr | Kundens behov, beskrivelse av krav | Krav type | Krav til besvarelse |
D11 | Nye versjoner av programmer er inkludert i avtalen. Når nye versjoner av programmer er utgitt, skal Leverandøren tilgjengeliggjøre disse for Kunden. | A | Leverandøren bes bekrefte dette. |
D12 | Nye eller endrede funksjoner skal være ferdig utviklet og testet internt hos Leverandør før tilgjengeliggjøring til Kunden. | A | Leverandøren bes bekrefte dette. |
D13 | Løsningen skal til enhver tid være kompatibel med eksisterende versjoner av annen eller tredjeparts programvare den er integrert med. | A | Leverandøren bes bekrefte dette. |
D14 | Dersom nye versjoner krever endringer i teknisk infrastruktur eller 3.partsverktøy, må dette varsles Kunden i god tid, og endringene skal beskrives. | V | Leverandøren bes beskrive rutiner og metoder som benyttes ved endringer og videreutvikling av løsningen. |
D15 | Kunden ønsker mulighet til å påvirke utviklingen av løsningen. | V | Leverandøren bes beskrive hvordan kundens behov for å påvirke endringer og videreutvikling av funksjonalitet blir ivaretatt. |
13 SAMLET PRIS OG PRISBESTEMMELSER
Leverandøren skal, som L Bilag 6, fylle ut priser basert på oppdragsgivers vedlagte mal. Regulering av pris skjer etter de alminnelige avtalebestemmelsene og presiseringene i L Bilag 6.