Underpinning Contract (UC)
SSBTEK – Anslutningsavtal uppgiftslämnare
IT-tjänst
Sammansatt Bastjänst Ekonomiskt Bistånd
(SSBTEK)
Underpinning Contract (UC)
MALL (mätetalen för uppgiftslämnarens specifika mål ej ifyllda)
Driftleverantör
Uppgiftslämnare
IT
Innehåll
1 OMFATTNING 3
2 INGÅENDE PARTER 4
2.1 Parternas åtaganden 4
3 OPERATIV BESKRIVNING AV IT-TJÄNSTEN 4
3.1 IT-tjänstebeskrivning 4
3.1.1 Uppgiftslämnarens bidrag i IT-tjänsten 5
3.1.2 IT-tjänstens Start och Stopp 5
3.2 IT-tjänstens kritiska tidpunkter och aktiviteter 5
3.3 Avgränsningar och beroenden 5
3.3.1 Avgränsningar 5
3.3.2 Beroenden 5
4 SERVICENIVÅER 6
4.1 Öppettider 6
4.1.1 Servicenivåer Öppettid 6
4.1.2 Extra öppethållande 6
4.2 Support och supporttid 6
4.2.1 Servicenivåer Supporttid 6
4.3 Incidenthantering 7
4.3.1 Servicenivåer Incidenthantering 7
4.4 Beställningar 7
4.4.1 Servicenivåer Beställningar 8
4.5 Problemhantering 8
4.5.1 Servicenivåer Problemhantering 8
4.6 Ändringshantering 8
4.6.1 Planerade ändringar (Servicefönster) 9
4.6.2 Utbildning 9
4.6.3 Oplanerade förändringar 9
4.6.4 Servicenivåer Ändringshantering 9
4.7 Dimensionering/kapacitet 9
4.7.1 Servicenivåer Kapacitet 9
4.8 Prestanda 10
4.8.1 Servicenivåer Prestanda 10
4.9 Tillgänglighet och pålitlighet under öppettid 10
4.9.1 Servicenivåer Tillgänglighet 10
4.10 KVALITET (LEVERANSPRECISION) 11
4.10.1 Servicenivåer Kvalitet (Leveransprecision) 11
4.11 Säkerhet 11
4.11.1 Servicenivåer Säkerhet 11
4.12 Kontinuitet 11
4.12.1 Servicenivåer Kontinuitet 12
5 MÄTNING, RAPPORTERING OCH UPPFÖLJNING 12
5.1 SLA OCH UC RAPPORTERING 13
6 INFORMATION OCH ESKALERING 13
7 KONTAKT 14
Versionshantering
Datum | Version | Ändring | Utförd av: |
2015-01-14 | Mall skapad | Godkänd av styrgrupp SSBTEK | |
1 Omfattning
Detta förkortade Underpinning Contract (UC) är beroende av Överenskommelse om myndighetssamverkan (Överenskommelsen) för IT-tjänsten SSBTEK.
Detta UC beskriver leveransnivåer för IT-tjänsten SSBTEK som levereras av flertalet uppgiftslämnare.
SLA:et mellan SKL och Driftleverantören omfattar drift, övervakning, support, utbildning samt informationsspridning. I åtagandet ingår felsökning och åtgärdande av uppkomna problem för att säkerställa tillgänglighet, prestanda och funktionalitet. SLA:et omfattar även mätning, rapportering och uppföljning.
Sveriges kommuner
SKL samordnar krav från kommunerna
Anslutningsavtal tecknas direkt med Driftleverantören
SKL och Försäkringskassan IT
Producerande
Förvaltar och driftar tjänsten
UC parter:
Försäkringskassan IT och IT hos respektive Uppgiftslämnare
CSN (UC)
Delleverans SO
(UC)
Delleverans AF
(UC)
SKV (UC)
PM (UC)
.
2 Ingående parter
Parter till detta UC är följande: Driftleverantör Försäkringskassan IT
Kundansvarig:
Uppgiftslämnare
Myndighetens/organisationens namn: Roll:
2.1 Parternas åtaganden
Definieras i Överenskommelse om myndighetssamverkan (härefter Överenskommelsen), punkten 6 samt bilaga 2, ”Former för samverkan”.
3 Operativ beskrivning av IT-tjänsten
3.1 IT-tjänstebeskrivning
Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) är en IT-tjänst som via kommunernas handläggarsystem stödjer verksamhetsprocessen för Ekonomiskt bistånd hos Sveriges kommuner. SSBTEK erbjuds via Driftleverantören och innefattar information i Bastjänster tillhandahållen av flera olika myndigheter enligt den översiktliga funktionella beskrivningen nedan. De myndigheter (Uppgiftslämnare) som tillhandahåller information i Bastjänster är beskrivna i bilaga 1 i Överenskommelsen.
Översiktlig funktionell beskrivning:
1. En användare på Sveriges kommuner anropar IT-tjänsten SSBTEK via sitt handläggarsystem.
2. Anrop inkommer till IT-tjänsten SSBTEK via Driftleverantörens gränssnitt SHS.
3. Driftleverantören ”delar upp” IT-tjänstens inkommande anrop och fördelar dessa till respektive Uppgiftslämnare.
4. IT-tjänsten SSBTEK anropar (parallellt) respektive bastjänst hos respektive Uppgiftslämnare.
5. Respektive Uppgiftslämnare svarar på anropet och skickar svaret tillbaka till SSBTEK.
6. IT-tjänsten SSBTEK tar emot och ”sammanställer” alla svar från respektive bastjänst.
7. IT-tjänsten SSBTEK levererar svar tillbaka till användaren via handläggarsystemet.
3.1.1 Uppgiftslämnarens bidrag i IT-tjänsten
Uppgiftslämnaren bidrar till IT-tjänsten med uppgifter avseende ekonomiska förhållanden som behövs i handläggningen. De uppgifter som ingår i IT-tjänsten finns angivna på Informationsportalen, xxx.xxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxx/x-xxxxxxxx/xxxxxx.
3.1.2 IT-tjänstens Start och Stopp
IT-tjänsten, till den del som avser Driftleverantörens bastjänst, startar med att ett anrop är mottaget i Driftleverantörens webbtjänst eller SHS. IT-tjänsten kan också starta med att ett ärende tas emot i Driftleverantörens angivna supportgränssnitt.
IT-tjänsten, till den del som avser Uppgiftslämnarens bastjänst, slutar med att svar på anropet har kvitterats av Driftleverantören alternativt att ett felmeddelande har genererats.
IT-tjänsten kan också sluta med att ett ärende åtgärdats och återrapporterats till Driftleverantören.
3.2 IT-tjänstens kritiska tidpunkter och aktiviteter
För IT-tjänsten finns följande kritiska datum och tidpunkter som ligger till grund för prioriteringsmodellen i hanteringen av incidenter, samt är styrande för servicefönster och eventuella behov av beredskap eller akuta insatser av Driftleverantören och Uppgiftslämnaren.
Tidpunkt | Orsak/händelse |
Ökad användning från runt 20:e och till slutet av månaden | Orsaken är att man önskar ta del av utbetalningsinformation, samt att man som oftast ska utbetala försörjningsstöd när man normalt får lön utbetald |
3.3 Avgränsningar och beroenden
3.3.1 Avgränsningar
Undertecknad Uppgiftslämnare tar inte ansvar för den del av IT-tjänsten som tillhandahålls av Driftleverantören eller annan i Överenskommelsens bilaga 1 angiven Uppgiftslämnare. Det innebär att undertecknad Uppgiftslämnares ansvar börjar och slutar i Uppgiftslämnarens egna tekniska gränssnitt.
Uppgiftslämnaren tillhandahåller uppgifter i enlighet med Överenskommelsens punkt 6.2.3.
Uppgiftslämnarens Servicenivåer angivna i detta UC innefattar endast aktiviteter och åtgärder av IT-teknisk karaktär som sker efter att ärendet mottagits i Uppgiftslämnarens angivna supportgränssnitt.
3.3.2 Beroenden
Uppgiftslämnaren har ett beroende till Driftleverantörens del av den sammansatta bastjänsten för leverans av uppgifter enligt punkt 6.2.3 i Överenskommelsen.
4 Servicenivåer
Nedan anges de servicenivåer som gäller för IT-tjänsten.
Servicenivåerna utgör ett kvalitetsmått för leverans av IT-tjänsten. Överenskomna servicenivåer ska mätas och följas upp regelbundet och utgöra underlag för förbättringar av IT-tjänsten. Nedan följer definitioner av de olika servicenivåområdena liksom mål för respektive område. Uppföljning och rapportering av angivna servicenivåer sker månadsvis enligt tabellen i Kapitel 5.
4.1 Öppettider
Öppettid definieras som den tid då IT-tjänsten ska vara tillgänglig att användas av giltiga användare.
Åtkomst till IT-tjänsten garanteras inte under tid utanför definierad öppettid även om IT-tjänsten ändå kan vara åtkomlig.
Om tillgängligheten till IT-tjänsten avbryts inom angiven öppettid ska detta kommuniceras till Driftleverantören i enlighet med överenskomna rutiner i bilaga 2 till Överenskommelsen, ”Former för samverkan”.
4.1.1 Servicenivåer Öppettid
Nedan anges de tider då IT-tjänsten är öppen och åtkomlig att använda.
Måndag - fredag | Lördag | Söndag | Helgdagar (röda dagar) |
08.00 – 17.00 | - | - | - |
4.1.2 Extra öppethållande
Begäran om ökat öppethållande eller förlängt Servicefönster beställs av behöriga beställare enligt ordinarie kanaler. Se kapitel Kontakt för mer information. Beslutsmöte för extra öppethållande samt förlängda Servicefönster hålls av Driftleverantören torsdagar kl.13.00. En begäran om extra öppethållande ska inkomma till Uppgiftslämnaren senast 2 veckor innan beslutsmötet. Likaledes ska Uppgiftslämnarens önskemål om förlängda Servicefönster inkomma i så god tid som möjligt i de fall utökningen påverkar IT-tjänstens ordinarie öppettid. Underlag till Driftleverantören för att fatta beslut om extra öppethållande eller utökat Servicefönster lämnas av Uppgiftslämnaren senast 9.00 dagen för beslutsmötet.
4.2 Support och supporttid
Uppgiftslämnaren erbjuder en samlad och enhetlig kontaktyta för hantering av inkommande ärenden rörande IT-tjänsten. Kontaktytan anges i kapitlet Kontakt.
Uppgiftslämnaren säkerställer att incidenter (fel/störningar), frågor och beställningar som rör IT- tjänsteleveransen hanteras i Uppgiftslämnarens del av supportkedjan och återrapporteras till Driftleverantören inom angivna Servicenivåer.
Uppgiftslämnaren ansvarar för att dessa incidenter, frågor och beställningar registreras, kategoriseras, prioriteras och hanteras i enlighet med respektive Uppgiftslämnares ansvar enligt punkt 6.2.1 och 6.2.2 i Överenskommelsen. Uppgiftslämnaren ansvarar också för att incidenter som upptäcks via övervakning hanteras på samma sätt.
4.2.1 Servicenivåer Supporttid
Nedan anges de tider då support erbjuds av Uppgiftslämnaren.
Support | ||
Måndag – Fredag | Lördag | Söndag |
08.00-17.00 | Stängt | Stängt |
Transportstyrelsen Måndag - fredag kl. 08:00- 16:30
4.3 Incidenthantering
En incident definieras som ett fel som påverkar eller kan påverka leveransen av IT-tjänsten. Hantering av incidenter bestäms av den prioriteringsmodell som finns redovisad nedan.
Incidenter, information om dessa och eskalering hanteras enligt i samverkan genom det Driftsråd som inrättas enligt bilaga 2, till Överenskommelsen, ”Former för samverkan”.
Nedan beskrivs de inverkande faktorer som används vid bedömning av prioritet för alla inkommande incidenter. Kombinationen av påverkan för användaren och tidpunkten som incidenten inträffar, skapar tillsammans en prioritering. Varje prioriteringsnivå har sedan respons- och åtgärdstider knutna till sig.
Påverkan | Beskrivning |
1 | Totalt avbrott i flödet, inga anrop kan besvaras |
2 | En till 4 bastjänster är otillgängliga |
3 | Långa svarstider orsakar timeout i flertalet anrop, |
4 | Enstaka anrop kan inte besvaras |
Tidpunkt | Beskrivning |
1 | Under angiven öppettid under en kritisk tidsperiod |
2 | Under angiven öppettid i nära anslutning till en kritisk tidsperiod |
3 | Under angiven öppettid utanför kritiska tidpunkter |
4 | Under ”lågsäsong” |
Påverkan 1 | Påverkan 2 | Påverkan 3 | Påverkan 4 | |
Tidpunkt 1 | Kritisk | Hög | Medel | Låg |
Tidpunkt 2 | Hög | Hög | Medel | Låg |
Tidpunkt 3 | Medel | Medel | Medel | Låg |
Tidpunkt 4 | Låg | Låg | Låg | Låg |
4.3.1 Servicenivåer Incidenthantering
För 90 % av incidenterna ska överenskomna tider i tabellen nedan ha mötts för att Servicenivåmålen för Incidenthanteringen ska vara uppfyllda.
Prioritet | Responstid | Åtgärdstid |
Kritisk | 30 min | 8 timmar |
Hög | 60 min | 2 arbetsdagar |
Medel | 8 timmar | 5 arbetsdagar |
Låg | 24 timmar | 7 arbetsdagar |
4.4 Beställningar
Beställningar definieras som ärenden av typen frågor/information, behörighetsadministration och anslutningar samt eventuella förgodkända standardändringar. Övriga beställningar och önskemål hanteras i enlighet med beskrivningen i bilaga 2 till Överenskommelsen, ”Former för samverkan”.
4.4.1 Servicenivåer Beställningar
För 90 % av beställningarna ska överenskomna tider i tabellen nedan ha mötts för att Servicenivåmålen för Beställningshanteringen ska vara uppfyllda.
Beställning | Responstid | Åtgärdstid |
Anslutning till IT-tjänsten | N/A | 5 arbetsdagar |
Frågor/information | N/A | 2 arbetsdagar |
4.5 Problemhantering
Ett problem definieras som ett fel med okänd orsak, där en grundorsaksutredning behöver genomföras i syfte att etablera ett Känt fel. Problemärenden, information om dessa och eskalering hanteras enligt överenskomna rutiner i bilaga 2 till Överenskommelsen, ”Former för samverkan”.
Hanteringen av problem bestäms av en prioriteringsmodell som utgår från kombinationen av Påverkan och Tid.
Påverkan baseras på Incidenthanteringen fokuserat till tre olika faktorer:
• Andel användare som påverkas av totala antalet användare för en drabbad tjänst
• Hur incidenten påverkar kundens verksamhet
• Nivå på allvarlighetsgrad vid incidenter med påvisad säkerhetsrisk/säkerhetsbrist
Tiden, hur bråttom det är att finna en lösning på problemet styrs av:
• hur ”bra” den tillfälliga lösningen är och hur troligt det är att incidenten inträffarigen
• om det finns någon kritisk tidpunkt ur verksamhetens synvinkel ex utbetalningstidpunkt varje månad eller att det påverkar pengaflödet eller beslut till få eller många medborgare
• om problemet kan vara av intresse för media och eller om det är av intresse säkerhetsmässigt.
Kombinationen av påverkan för användaren och tidpunkten skapar tillsammans en prioritering. Varje prioriteringsnivå har sedan respons- och åtgärdstider knutna till sig enligt nedan.
4.5.1 Servicenivåer Problemhantering
För 90 % av incidenterna ska överenskomna tider i tabellen nedan ha mötts för att Servicenivåmålen för Incidenthanteringen ska vara uppfyllt.
Prioritet | Responstid | Åtgärdstid |
Kritisk | 1 arbetsdag | 6 dagar |
Hög | 3 arbetsdag | 15 arbetsdagar |
Medel | 4 arbetsdagar | 25 arbetsdagar |
Låg | 10 arbetsdagar | 60 arbetsdagar |
4.6 Ändringshantering
Eventuella förändringsbehov på IT-tjänsten som Kunden (Användaren), SKL, Driftleverantören, eller Uppgiftslämnaren identifierar ska löpande kanaliseras inom förvaltningsorganisationen för utvärdering och beslut om åtgärd.
Vid ändringar av IT-tjänstens innehåll ska detta ske i enlighet med beslutade processer och rutiner, se bilaga 2 till Överenskommelsen, ”Former för samverkan”. Beroende på konsekvenser, så som ekonomiska och/eller ändrade krav på servicenivåer, kan detta UC behöva revideras och eventuella bilagor tillkomma eller tas bort.
Eventuella behov av åtgärdsplaner för förbättringar av IT-tjänsten beslutas gemensamt mellan Driftleverantör och Uppgiftslämnare. Detta diskuteras och beslutas också i ett möte med Driftsrådet.
När justering av IT-tjänstens innehåll ska göras, ska även alla tillhörande tjänsteartefakter ses över och eventuellt justeras. Exempel på tjänsteartefakter är:
• SLA-dokument och underliggande överenskommelser (t.ex. UC)
• Designbeskrivning
• Driftdokumentation
Se bilaga 2 till Överenskommelsen, ”Former för samverkan”, för närmare beskrivning av processer och rutiner.
4.6.1 Planerade ändringar (Servicefönster)
Planerade ändringar (Servicefönster) ska planeras gemensamt mellan parterna
Ett aktuellt schema för planerade ändringar ska alltid finnas publicerat på Informationsportalen, xxx.xxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxx/x-xxxxxxxx/xxxxxx. Eventuella förändringar i detta schema ska först stämmas av med respektive part innan beslut kan fattas och alltid kommuniceras via överenskomna kanaler i enlighet med bilaga 2 till Överenskommelsen, ”Former för samverkan”.
Allt planerbart arbete sker utanför IT-tjänsternas öppettider. I de fall förlängning av ett servicefönster sker där information inte utgått enligt rutiner ska överskridande tid räknas som otillgänglighet.
Då IT-tjänsten har beroenden till Bastjänster levererade av övriga Uppgiftslämnare inklusive Driftleverantören ska ändringar så långt det är möjligt samlas i gemensamma driftsättningar, så kallade releaser, som sker vid fastställda tidpunkter.
4.6.2 Utbildning
Vid förändring av IT-tjänsten ska Uppgiftslämnaren erbjuda Driftleverantören och, om så efterfrågas, Kundens utsedda representanter utbildning avseende förändringen. Driftleverantören har dock ett ansvar att samordna eventuella utbildningsinsatser med Kundens organisation.
Båda parter har också ett ansvar att utbilda sin egen supportorganisation i de förändringar som införs.
Uppgiftslämnaren ansvarar för att säkerställa att kompetenskrav uppfylls för att utveckla, underhålla och förvalta sin del av IT-tjänsten.
4.6.3 Oplanerade förändringar
Det kan förekomma att någon komponent i en IT-tjänst går sönder eller påverkas av annan störning så att åtkomst till IT-tjänsten inte längre är möjlig. En akut åtgärd kan då vara nödvändig att genomföra vilket kan innebära otillgänglighet under en begränsad tid. Informationsflödet vid ändringar beskrivs i dokumentet ”Rutin för Informationsspridning SSBTEK”. Aktuell version av rutinen finns tillgänglig på Informationsportalen, xxx.xxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxx/x- tjanster/ssbtek.
4.6.4 Servicenivåer Ändringshantering
Planerade ändringar utanför releaser som påverkar IT-tjänsten ska kommuniceras och verifieras mellan parterna i god tid, senast 4 veckor innan ändringen.
4.7 Dimensionering/kapacitet
Med Kapacitet avses det förväntade nyttjandet av IT-tjänsten i form av belastning inom IT-tjänsten. Eventuella förändringar av användningsmönster eller volymer ska kommuniceras till Uppgiftslämnaren så snart som möjligt för att optimera resursutnyttjandet och säkerställa att rätt kapacitet kan levereras. På så sätt kan Uppgiftslämnaren förutse ev. behov av investeringar samt undvika avbrott i IT-tjänstens tillgänglighet till följd av oväntat hög belastning.
4.7.1 Servicenivåer Kapacitet
Överenskommet antal användare av IT-tjänsten samt uppskattad volym per tidsenhet.
Antal användare | Antal anrop per timme |
290 st. kommuner Ej fastställt antal handläggare | 3 anrop/sekund eller maximalt 200 samtidiga anrop/minut |
4.8 Prestanda
Prestanda är det mått som visar hur snabbt flödet i IT-tjänsten fungerar. Det mäts som ”svarstid” i en frågeställning (ett anrop). Svarstiden mäts inom ramen för IT-tjänstens definierade ”start och stopp”.
4.8.1 Servicenivåer Prestanda
För anrop som avser ett personnummer/samordningsnummer ska svar levereras tillbaka:
• inom 7 sekunder för minst 90 % av förfrågningarna
• inom 12 sekunder för återstående 10 % av förfrågningarna
För anrop som avser flera personnummer/samordningsnummer ökar svarstiden med 1,5 sekunder per person, dvs. 8,5 sek resp. 13,5 sek vid två personnummer/samordningsnummer osv.
Xxx xxxxx personnummer/samordningsnummer per förfrågan är 10 stycken.
Det åligger Driftleverantören att mäta målen för prestanda och eskalera eventuella brister till Uppgiftslämnaren.
4.9 Tillgänglighet och pålitlighet under öppettid
Tillgängligheten anger till vilken grad en IT-tjänst är tillgänglig. En IT-tjänst anses tillgänglig, då den kan användas på det sätt som avses i IT-tjänstebeskrivningen av de användare den riktar sig till under IT-tjänstens angivna Öppettid. Otillgänglighet definieras som att Kommunernas handläggares svar uteblir helt eller ett felsvar om att tjänsten inte går att nås. Vid svar från 3 eller fler producerande myndigheter anses tjänsten som tillgänglig med störning. Incident ska då upprättas hos Driftleverantörens SPOC.
Tillgängligheten redovisas i tre enheter; tillgänglighet, otillgänglighet och pålitlighet. Redovisningen tillämpas enligt följande:
• Tillgänglighet redovisas i timmar och minuter under mätperioden samt procentuell uppfyllnad.
• Otillgänglighet redovisas i timmar och minuter under mätperioden
• Pålitlighet redovisas i antal oplanerade avbrott under mätperioden
Tillgängligheten anges i både % -sats och timmar/minuter så att det blir tydligt för användarna vad de kan förvänta sig och hur långa avbrott som eventuellt kan förekomma. Tillgängligheten följs upp och rapporteras med stöd av centrala mätningar och analyser av incidenter och felrapporter.
4.9.1 Servicenivåer Tillgänglighet
Överenskomna målsättningar om nivåer av tillgänglighet, maximal otillgänglighet och pålitlighet redovisas nedan. Definierade avgränsningar för IT-tjänsten är viktiga för att förstå vilka delar som mäts.
Tillgänglighet under definierad öppettid | Pålitlighet |
98 % Maximal nedtid 62 timmar per år (inklusive igångsättning av felsökning) | 4 ggr/mån, max 12 ggr/år |
4.10 Kvalitet (Leveransprecision)
IT-tjänstens huvudsyfte är att förse handläggare av Ekonomiskt Bistånd med information från olika myndigheter för att säkerställa att rätt beslut fattas i handläggningen av ett ärende. Ett mått på IT-tjänstens kvalitet är därför att mäta andelen uteblivna svar på de anrop som inkommer till IT-tjänsten. Driftleverantören kommer med hjälp av uppsatt övervakning att kunna sammanställa andelen uteblivna svar och rapporterar detta till Kravställaren och Uppgiftslämnarna i samband med Driftleverantörens SLA-rapportering till Kravställaren.
4.10.1 Servicenivåer Kvalitet (Leveransprecision)
Överenskomna målsättningar om kvalitet i IT-tjänsten utifrån måttet Leveransprecision redovisas nedan.
Leveransprecision KPI | Målsättning |
Xxxxx levererade svar i förhållande till andel inkommande anrop, redovisat som avvikelser | Minst 98 % av alla anrop ska vara besvarade per månad. |
4.11 Säkerhet
Driftleverantören arbetar efter ett ledningssystem för informationssäkerhet baserat på SS- ISO/IEC 27001:2 006 och SS-ISO/IEC 27002:2005 och ställer därmed krav på att Uppgiftslämnaren är införstådd med kraven i denna standard samt följer denna till de delar som är av vikt för leveransen av IT-tjänsten.
Informationsflödet i IT-tjänsten sker via SHS-gränssnittet och Uppgiftslämnaren använder sig av
s.k. i-loggning för att säkerställa spårning av aktiviteter inom den egna delen av IT-tjänsten. I all övrig kommunikation ska säker e-post eller angivna telefonkanaler användas.
Uppgiftslämnarens personal får endast kopiera eller ändra säkerhetsnycklar och andra parametrar om det ingår i det ärende som de ska utföra.
Säkerhetsaspekter rörande IT-tjänsten:
• Säkerhetsklassning av IT-tjänsten och dess ingående data har genomförts genom en risk- och sårbarhetsanalys av IT-tjänsten.
• Frågor avseende personer med skyddad identitet (SID-ärenden) hanteras genom att svaret från Uppgiftslämnaren ”flaggas” som ett SID-ärende. Det är sedan respektive Kommuns ansvar att ärendet hanteras korrekt
• Behörighet till IT-tjänsten regleras genom angiven Anslutningsrutin.
4.11.1 Servicenivåer Säkerhet
Uppgiftslämnaren åtar sig att registrera och hantera samtliga säkerhetsrelaterade Incidenter enligt samma förfarande och Servicenivåer som för övrig Incidenthantering.
4.12 Kontinuitet
I händelse av katastrofsituation orsakad av omständigheter utanför Uppgiftslämnarens kontroll, såsom hårt väder, brand, explosion, etc., finns en beredskap och en plan för att säkerställa kontinuerlig leverans av IT-tjänsten.
Uppgiftslämnaren arbetar då utifrån en kontinuitetsplan, innehållande det som krävs för att återstarta IT-tjänsterna i rätt ordning och med rätt prioritering med målsättningen att säkerställa återgång till normal verksamet så fort som möjligt.
Kontinuitetsmålen definieras utifrån IT-tjänstens kritikalitet för verksamheten med hjälp av två nyckeltal:
• Nyckeltalet ”Maximal tidsrymd för återställning” (Recovery Time Objective - RTO) vilket stipulerar hur långt ett totalt avbrott får pågå.
o Exempel på nivåer kan t.ex. vara ”omedelbart”, ”inom 72 timmar” eller ”inom 1 arbetsvecka”.
• Nyckeltalet ”Maximalt tillåten dataförlust” (Recovery Point Objective – RPO) vilket stipulerar vilken punkt i dataflödet som IT-tjänsten ska kunna återställas till.
o Exempel på nivåer för detta mätetal kan vara ”till senaste sparade transaktion” eller ”till senast tagna säkerhetskopia (per dag eller vecka)”.
IT-tjänstens kontinuitetsplaner ska regelbundet verifieras och detta sker enligt fastställda rutiner i samarbete med berörda intressenter. Uppföljning av verifieringarna sker i de återkommande avstämningarna mellan Driftleverantör och Uppgiftslämnare.
I Driftleverantörens åtagande ingår att medverka vid kontinuitetstester initierade av Uppgiftslämnaren med i förväg överenskommen periodicitet. I Uppgiftslämnarens åtagande ingår likaledes att medverka vid kontinuitetstester initierade av Driftleverantören med i förväg överenskommen periodicitet.
I händelse av katastrof eller större incidenter är det av stor vikt att Uppgiftslämnaren kan komma i kontakt med Driftleverantören för att exempelvis verifiera akut införda förändringar, redogöra för planerade åtgärder eller få beslut för genomförande. I Driftleverantörens åtagande ingår därmed att utsedda roller i Driftleverantörens organisation ska finnas tillgängliga i enlighet med överenskomna eskaleringsrutiner. Motsvarande gäller även för Uppgiftslämnarens åtagande.
4.12.1 Servicenivåer Kontinuitet
Nedan anges de mål som är uppsatta för IT-tjänsten avseende återställning i händelse av katastrof.
Maximal tidsrymd för återställning (RTO-Recovery Time Objective) | Punkt att återställa till (RPO- Recovery Point Objective) | Frekvens för säkerhetskopiering |
5 Mätning, Rapportering och Uppföljning
Uppgiftslämnaren mäter leveransen av IT-tjänsten utifrån de överenskomna mätetal som definieras inom ramen för SLA. Resultatet av överenskomna servicenivåer ska rapporteras den 10’e i varje månad så länge detta UC gäller.
För att Uppgiftslämnaren och Driftleverantören ska vara överens om att en IT-tjänst har varit åtkomlig och fungerande under en viss given period krävs en gemensam förståelse för mätningsmetodiken som tillämpas, innan överenskommelse tecknas. Nedan följer en beskrivning av hur mätetalen mäts.
Mätetal | Beskrivning |
Tid från beställning till leverans | Tid för hantering av inkommen förfrågan, från status registrerad till status avslutad, redovisas i relation till överenskommelse. |
Antal användare och mängd data (volym) | Utfall av utnyttjad kapacitet inom IT-tjänsten i relation till överenskommelse. Antal användare, samtidiga anrop samt totalt antal anrop ackumulerat över tiden. |
Tillgänglighet och Pålitlighet (antal avbrott), Återställelsetider (längd på varje avbrott) | Det totala antalet oplanerade driftstopp redovisas med tidpunkt, orsaksbeskrivning, åtgärdsplan (om någon sådan behöver upprättas) och längd på varje avbrott samt med en sammanställning över tid. |
Prestanda | Prestandan mäts i IT-tjänstens svarstider mätt från att ett anrop tas emot i SHS tills att ett svar levererats tillbaka till Driftleverantören. |
Responstid | Tid från mottaget ärende till status påbörjad, redovisas i relation till överenskommelse. |
Åtgärdstid | Tid från mottaget ärende tills ärendet är åtgärdat och återrapporterat till felanmälare |
Incidenter - Antal och prioritet | Redovisas utifrån antal och prioritet, lösta inom och utom överenskomna KPI:er. |
Problem – Xxxxxxxxxx och åtgärd | Redovisas utifrån antal och prioritet samt med eventuella föreslagna åtgärder relaterade till respektive problem. |
Planerade Ändringar – status och utfall | Planerade ändringar redovisas med gällande status vid rapporteringstillfälle samt resultat från uppföljning av genomförda ändringar under perioden. |
Kontinuitet | Redovisas utifrån resultaten från genomförda kontinuitetstester samt efter att en kontinuitetsplan nyttjats i en reell situation. |
Kvalitet (Leveransprecision) | Avvikelserapportering avseende levererat innehåll i förhållande till efterfrågat innehåll i inkommande anrop. Mätpunkten för detta mätvärde är idag hos Driftleverantörn. |
5.1 SLA och UC rapportering
Överenskomna rapporter markeras med [x].
Innehåll i månadsrapport | x |
Incidenter | x |
Beställningar | x |
Problem | x |
Planerade Ändringar | x |
Kapacitet | |
Prestanda | Rapporteras av Driftleverantören |
Tillgänglighet och Pålitlighet | x |
Säkerhet | x |
Kontinuitet | |
Kvalitet | Rapporteras av Driftleverantören |
6 Information och eskalering
Hur informationsspridningen går till vid allvarliga incidenter eller andra tillfällen då intressenter behöver informeras framgår av bilaga 2, ”Former för samverkan”, samt i dokumentet ”Rutin för Informationsspridning SSBTEK. Aktuell version av rutinen finns tillgänglig på Informationsportalen, xxx.xxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxx/x-xxxxxxxx/xxxxxx.
7 Kontakt
Vid frågor om överenskommelsen är det nedan angivna personer som ska kontaktas.
Organisation | Roll | Namn | Telefonnummer | E-post |