Kapittel 11: Anskaffelser, vedlikehold og utvikling

Det skal være spesifisert hva slags krav til IT-sikkerhet som skal legges til grunn ved anskaffelse og utvikling av IT-systemer. Tilsvarende skal det være klare rutiner knyttet til oppgradering og vedlikehold av tjenestene og systemene. Det skal være et regime for testing av ny programvare og nye systemer, samt oppgradering av eksisterende før dette settes i produksjon.

Ved anskaffelse av IT-ressurser skal det stilles krav som sikrer at de anskaffete ressursene imøtekommer relevante IT-sikkerhetskrav. IT-direktøren er ansvarlig for å vurdere hva som er relevante krav ut fra anskaffelsens art. For utviklingsoppdrag gjelder dette uavhengig av om utvikling og vedlikehold skjer i egen regi eller i regi av tredjepart.

Universitetet skal ha et regime for vedlikehold og videreutvikling av eksisterende og etablering av nye tjenester og systemer som sikrer at:

  • Ordinær drift av tjenestene og systemene kan skje mest mulig avbruddsfritt
  • Kravene til sikkerhet og tjenestekvalitet er imøtekommet
  • Ny funksjonalitet og nye tjenester og systemer er underlagt et hensiktsmessig testregime og er akseptert av oppdragsgiver før de settes i produksjon

Anskaffelse kan skje enten ved kjøp eller utvikling. Utvikling kan skje enten i egen regi eller i regi av tredjepart. Anskaffelse omfatter alle typer IT-ressurser:

  • Infrastrukturkomponenter
  • Maskinutstyr
  • Informasjonssystemer, applikasjoner og programvare
  • Konsulentbistand og kjøp av driftstjenester

11.1. Anskaffelser

Alle anskaffelser, enten det skjer gjennom kjøp av ferdigsystemer eller gjennom utviklingsoppdrag skal skje i tråd med Lov om offentlige anskaffelser med tilhørende forskrifter samt universitetets strategi og bestemmelser på området. Der det foreligger rammeavtaler skal disse benyttes. USIT er kategoriansvarlig for IT-anskaffelser og har prosessansvar for alle slike anskaffelser og sørger for IT-kompetanse etter anskaffelsens art. Det eksisterer en egen aktivitetsbeskrivelse for slike prosesser. Slike prosesser følger universitetets prosessbeskrivelser for anskaffelser og skal ha med ansvarlig anskaffelsesrådgiver oppnevnt av Seksjon for innkjøp.

Ethvert kjøp skal så langt det er mulig baseres på konkurranse. Ethvert avvik fra dette skal være begrunnet og begrunnelsen skal være forankret i lov og forskrift og være godkjent av IT-direktøren.

11.1.1 Større anskaffelser

Ved større anskaffelser, enten de skjer gjennom kjøp eller utvikling, skal følgende opplysninger foreligge:

  • Ansvarlig eier av anskaffelsen, – og hvis dette ikke er USIT, skal også ansvarlig kontakt på USIT være identifisert
  • Ansvarlig anskaffelsesrådgiver
  • Beskrivelse av hva som skal anskaffes
  • Krav til autorisering, autentisering etc
  • Krav til kapasitet
  • Opplegg for testing og akseptanse før igangkjøring
  • Kostnadsestimat og oppsummering av markedsanalyse
  • Ytre krav, personvern, sikkerhet, standarder mm
  • Krav til omgivelser

Alle forespørselsdokumenter og resulterende avtale skal redegjøre for hvilke krav til IT-sikkerhet som stilles til de ressursene som skal anskaffes. Disse sikkerhetskravene vil være av to typer:

  • Generelle IT-sikkerhetskrav slik disse kan utledes av retningslinjene i ledelsessystemet
  • Spesifikke IT-sikkerhetskrav utformet på grunnlag av en risiko- og sårbarhetsanalyse av den spesifikke anskaffelsen

Ansvarlig for formuleringen av IT-sikkerhetskravene er USIT i samarbeid med ansvarlig for anskaffelsen.

11.1.2. Anskaffelse og innføring av IT-systemer

Ethvert IT-system skal ha en systemeier som er ansvarlig for spesifikasjon av hvilket formål man har med anskaffelsen og hvilke krav som skal stilles til systemet. USIT er systemeier hvis ikke noe annet er bestemt. Det skal alltid foreligge en dokumentert beslutning for innføring av ethvert IT-system uavhengig av størrelse.

Alle IT-systemer som skal kjøpes inn må enten ut på anbud eller anskaffes på grunnlag av tilgjengelige fellesavtaler for UH-sektoren eller for statlig virksomhet.

Anskaffelser av maskin- og programvare følger ordinære prosedyrer for anskaffelser på universitetet. USIT har ansvar for å etablere nødvendige avtaler på IT-siden. USIT etablerer rammeavtaler for løpende anskaffelser i tråd med universitetets innkjøpsstrategi og bestemmelsene i Innkjøpshåndboka.

For arbeidsplassutstyr skal inngåtte rammeavtaler med standardmodeller som er godkjent av USIT følges. Avvik fra disse skal være begrunnet og godkjent av IT-direktøren før anskaffelse. I dette ligger en mulighet til å vurdere eventuelle ekstra sikkerhetstiltak som trengs ved å fravike standardmodeller som ikke er omfattet av standard driftsopplegg.

For kjøp av IT-systemer, der kostnadsrammen er over 0,5 millioner kroner (eks. mva) delegerer innkjøpssjefen prosessen til USIT som på forespørselsnivå, utvelgelse og implementering ivaretar de IT-sikkerhetmessige hensynene.

Hvis ikke rammeavtaler skal benyttes må dette godkjennes av innkjøpskoordinator ved USIT og prisforespørsel ved kjøp må benyttes.

11.1.3. Etter anskaffelsen

Etter anskaffelsen skal ressursen inn i ordinært driftsregime:

  • Ressursen skal klassifiseres i tråd med retningslinjene i kapittel 7
  • Ressursen skal testes i tråd med testkravene gitt av klassifiseringen av viktighet
  • Overgang til operativ drift skal godkjennes av IT-direktøren eller den han bemyndiger og eventuell systemeier

11.2. Endringshåndtering

Universitetet skal ha et system for endringshåndtering som sikrer at:

  • Endringer identifiseres
  • Konsekvenser av endringer vurderes
  • Endringene planlegges og testes før de settes i produksjon
  • Endringer er godkjent
  • Brukere og andre interessenter varsles
  • Det eksisterer en fallback-løsning

11.3. Utviklings- og testmiljø

Tjenester og systemer klassifisert med viktighet 1 skal ha egne, separate utviklings- og testmiljø der testing skal skje på reelle data.

Publisert 28. feb. 2017 13:17 - Sist endret 27. nov. 2017 12:50
Del på e-post