Kapittel 11: Anskaffelser, vedlikehold og utvikling

Det skal v?re spesifisert hva slags krav til IT-sikkerhet som skal legges til grunn ved anskaffelse og utvikling av IT-systemer. Tilsvarende skal det v?re klare rutiner knyttet til oppgradering og vedlikehold av tjenestene og systemene. Det skal v?re et regime for testing av ny programvare og nye systemer, samt oppgradering av eksisterende f?r dette settes i produksjon.

Ved anskaffelse av IT-ressurser skal det stilles krav som sikrer at de anskaffete ressursene im?tekommer relevante IT-sikkerhetskrav. IT-direkt?ren er ansvarlig for ? vurdere hva som er relevante krav ut fra anskaffelsens art. For utviklingsoppdrag gjelder dette uavhengig av om utvikling og vedlikehold skjer i egen regi eller i regi av tredjepart.

Universitetet skal ha et regime for vedlikehold og videreutvikling av eksisterende og etablering av nye tjenester og systemer som sikrer at:

  • Ordin?r drift av tjenestene og systemene kan skje mest mulig avbruddsfritt
  • Kravene til sikkerhet og tjenestekvalitet er im?tekommet
  • Ny funksjonalitet og nye tjenester og systemer er underlagt et hensiktsmessig testregime og er akseptert av oppdragsgiver f?r de settes i produksjon

Anskaffelse kan skje enten ved kj?p eller utvikling. Utvikling kan skje enten i egen regi eller i regi av tredjepart. Anskaffelse omfatter alle typer IT-ressurser:

  • Infrastrukturkomponenter
  • Maskinutstyr
  • Informasjonssystemer, applikasjoner og programvare
  • Konsulentbistand og kj?p av driftstjenester

11.1. Anskaffelser

Alle anskaffelser, enten det skjer gjennom kj?p av ferdigsystemer eller gjennom utviklingsoppdrag skal skje i tr?d med Lov om offentlige anskaffelser med tilh?rende forskrifter samt universitetets strategi og bestemmelser p? omr?det. Der det foreligger rammeavtaler skal disse benyttes. USIT er kategoriansvarlig for IT-anskaffelser og har prosessansvar for alle slike anskaffelser og s?rger for IT-kompetanse etter anskaffelsens art. Det eksisterer en egen aktivitetsbeskrivelse for slike prosesser. Slike prosesser f?lger universitetets prosessbeskrivelser for anskaffelser og skal ha med ansvarlig anskaffelsesr?dgiver oppnevnt av Seksjon for innkj?p.

Ethvert kj?p skal s? langt det er mulig baseres p? konkurranse. Ethvert avvik fra dette skal v?re begrunnet og begrunnelsen skal v?re forankret i lov og forskrift og v?re godkjent av IT-direkt?ren.

11.1.1 St?rre anskaffelser

Ved st?rre anskaffelser, enten de skjer gjennom kj?p eller utvikling, skal f?lgende opplysninger foreligge:

  • Ansvarlig eier av anskaffelsen, – og hvis dette ikke er USIT, skal ogs? ansvarlig kontakt p? USIT v?re identifisert
  • Ansvarlig anskaffelsesr?dgiver
  • Beskrivelse av hva som skal anskaffes
  • Krav til autorisering, autentisering etc
  • Krav til kapasitet
  • Opplegg for testing og akseptanse f?r igangkj?ring
  • Kostnadsestimat og oppsummering av markedsanalyse
  • Ytre krav, personvern, sikkerhet, standarder mm
  • Krav til omgivelser

Alle foresp?rselsdokumenter og resulterende avtale skal redegj?re for hvilke krav til IT-sikkerhet som stilles til de ressursene som skal anskaffes. Disse sikkerhetskravene vil v?re av to typer:

  • Generelle IT-sikkerhetskrav slik disse kan utledes av retningslinjene i ledelsessystemet
  • Spesifikke IT-sikkerhetskrav utformet p? grunnlag av en risiko- og s?rbarhetsanalyse av den spesifikke anskaffelsen

Ansvarlig for formuleringen av IT-sikkerhetskravene er USIT i 亚博娱乐官网_亚博pt手机客户端登录 med ansvarlig for anskaffelsen.

11.1.2. Anskaffelse og innf?ring av IT-systemer

Ethvert IT-system skal ha en systemeier som er ansvarlig for spesifikasjon av hvilket form?l man har med anskaffelsen og hvilke krav som skal stilles til systemet. USIT er systemeier hvis ikke noe annet er bestemt. Det skal alltid foreligge en dokumentert beslutning for innf?ring av ethvert IT-system uavhengig av st?rrelse.

Alle IT-systemer som skal kj?pes inn m? enten ut p? anbud eller anskaffes p? grunnlag av tilgjengelige fellesavtaler for UH-sektoren eller for statlig virksomhet.

Anskaffelser av maskin- og programvare f?lger ordin?re prosedyrer for anskaffelser p? universitetet. USIT har ansvar for ? etablere n?dvendige avtaler p? IT-siden. USIT etablerer rammeavtaler for l?pende anskaffelser i tr?d med universitetets innkj?psstrategi og bestemmelsene i Innkj?psh?ndboka.

For arbeidsplassutstyr skal inng?tte rammeavtaler med standardmodeller som er godkjent av USIT f?lges. Avvik fra disse skal v?re begrunnet og godkjent av IT-direkt?ren f?r anskaffelse. I dette ligger en mulighet til ? vurdere eventuelle ekstra sikkerhetstiltak som trengs ved ? fravike standardmodeller som ikke er omfattet av standard driftsopplegg.

For kj?p av IT-systemer, der kostnadsrammen er over 0,5 millioner kroner (eks. mva) delegerer innkj?pssjefen prosessen til USIT som p? foresp?rselsniv?, utvelgelse og implementering ivaretar de IT-sikkerhetmessige hensynene.

Hvis ikke rammeavtaler skal benyttes m? dette godkjennes av innkj?pskoordinator ved USIT og prisforesp?rsel ved kj?p m? benyttes.

11.1.3. Etter anskaffelsen

Etter anskaffelsen skal ressursen inn i ordin?rt driftsregime:

  • Ressursen skal klassifiseres i tr?d med retningslinjene i kapittel 7
  • Ressursen skal testes i tr?d med testkravene gitt av klassifiseringen av viktighet
  • Overgang til operativ drift skal godkjennes av IT-direkt?ren eller den han bemyndiger og eventuell systemeier

11.2. Endringsh?ndtering

Universitetet skal ha et system for endringsh?ndtering som sikrer at:

  • Endringer identifiseres
  • Konsekvenser av endringer vurderes
  • Endringene planlegges og testes f?r de settes i produksjon
  • Endringer er godkjent
  • Brukere og andre interessenter varsles
  • Det eksisterer en fallback-l?sning

11.3. Utviklings- og testmilj?

Tjenester og systemer klassifisert med viktighet 1 skal ha egne, separate utviklings- og testmilj? der testing skal skje p? reelle data.

Publisert 28. feb. 2017 13:17 - Sist endret 27. nov. 2017 12:50