Hugbúnaðarrammi Fjársýslunnar

Þjónustuaðili:

Reynsla Fjársýslunnar hefur sýnt fram á vöntun á heildstæðum leiðbeiningum fyrir opinbera aðila þegar kemur að fjárfestingu í hugbúnaði.

Því var brugðið á það ráð að setja saman leiðarvísi fyrir opinbera aðila við kaup á hugbúnaði, með það að markmiði að einfalda ferlið og draga úr áhættu.

Leiðarvísirinn fjallar um mikilvægi þarfagreiningar, markmiðssetningar og varna gegn birgjalæsingu, ásamt því að útlista tæknilegar og lagalegar kröfur sem ber að hafa í huga við val á mismunandi tegundum hugbúnaðar, þar á meðal staðlaðar, sérlausnir og Power Platform.

Hann veitir einnig innsýn í mótun útboðsgagna, greiðslufyrirkomulags og krafna er varða þróun, prófanir og skil hugbúnaðar.

Byggt er á lærdómi Fjársýslunnar af fyrri útboðum, gögnum frá Stafrænu Íslandi og Fjármálaráðuneytinu, gögnum frá Norskum, Breskum og Dönskum systurstofnunum Ríkiskaupa ásamt reynslu höfundar af hugbúnaðarþróun.

Leitaðu í handbókinni

Forsíða handbókar

4. Tæknilýsing útboðsgagna

Í tæknilýsingu þarf að taka fram tæknileg gæði og eiginleika vöru, verks eða þjónustu. Tæknilegar kröfur eru lágmarkskröfur þar sem bjóðendur fá annað hvort „staðið/fallið“ flokkun í útboðum. Það þýðir að þær þurfa allar að vera uppfylltar svo tilboð fyrirtækis komi til greina.

Vanda ber tæknilýsinguna eins og kostur er, því breytingar á kröfum eftir að smíði kerfis hefst eru oft mjög kostnaðarsamar.

Við hönnun og gerð hugbúnaðar er nauðsynlegt að huga að eftirfarandi þáttum til að tryggja t.d. virkni hugbúnaðar, að hann sé notendavænn, viðhaldshæfur og skalanlegur.

https://island.is/ad-kaupa-inn-fyrir-opinbera-adila/1-greining

Efni kaflans

Þegar hér er komið hefur þarfagreining verið framkvæmd, þjónusta island.is og UMBRA skoðuð og markaður kannaður.

Hægt er að velja tegund hugbúnaðar og setja fram kröfur og þarfir í takt við valið. Einnig er hægt að hafa hugsanlegu kaupin opnari og hafa allar leiðir listaðar upp í tæknilýsingu útboðsgagnana.

Til þess að geta valið á milli er gott að horfa á þarfagreininguna og hafa eftirfarandi spurningar í huga.

Uppfyllir stöðluð lausn allar kröfur og þarfir?

Þörf er að meta hvort að stöðluð lausn geti uppfyllt á ásættanlegan máta þær þarfir, kröfur og virkni sem settar hafa verið fram í þarfagreiningu. Ef ekki, þarf annað hvort að kanna hvort hægt sé að breyta ferlum innan stofnunar og þannig fækka eða breyta kröfum og þörfum svo hægt sé að velja staðlaðan hugbúnað. Ef ekki, gæti sérlausn eða Power Platform verið betri kostur.

Er hægt að skipta þörfunum upp?

Fá þannig lausnir frá mismunandi birgjum þar sem við á og tengja saman?

Hver er kostnaðurinn?

Bera þarf saman kostnað á mögulegum lausnum þar sem allir þættir eru teknir með í reikninginn. T.d. innleiðing, áskriftir, þjónusta, hönnun, þróun, viðhald, hýsing, gjöld o.fl. er tekið inn í reikninginn. Einnig þarf að taka tillit til heildarkostnaðar við eignarhald (TCO) yfir áætlaðan líftíma hugbúnaðarins.

Er gerð krafa um stuttan innleiðingartíma?

Ef svo er þá hafa staðlaðar lausnir oftar en ekki styttri innleiðingartíma samanborið við þróun og innleiðingu á sérlausn, ásamt Power Platform gæti einnig haft sambærilegan innleiðingartíma og stöðluð lausn og hugsanlega styttri innleiðingartíma en sérlausn ef á viðbótum/breytingum/sérsmíði er þörf.

Er þörf á eða gerð krafa um skalan- og sveigjanleika?

Ef slík þörf eða krafa er fyrir hendi þá er sérlausn almennt sveigjanlegri og skalanlegri þar sem hún er smíðuð algjörlega eftir hentisemi stofnunar og getur því þróast og aðlagast breytingum innan og utan fyrirtækis. Sú þróun kallar þó ávallt á aukið fjármagn til verkefnisins. Staðlaðar lausnir geta þó einnig uppfyllt þörfina um skalan – og sveigjanleika, þar sem staðlaðar lausnir eru í stöðugri þróun með áherslu á þarfir markaðarins. Ef um sértækar þarfir eða kröfur er að ræða er hugsanlega farið í þróun undir ákveðnum forsendum t.d. þurfa þær að vera hagkvæmar fyrir lausnina og í samræmi við framtíðarsýn lausnarinnar. Power Platform falla á milli staðlaða lausna og sérlausna þar sem töluverður sveigjanleiki og skalanleiki er í boði.

Eru möguleikar á samþættingu við annan hugbúnað til staðar?

Kanna þarf hvort að staðlaða lausnin geti verið samþætt við núverandi hugbúnað og innviði, helst í gegnum samþættingarlag tengt með API. Ef ekki er hægt að tengja staðlaða lausn við núverandi hugbúnað þarf að meta bæði þörf á núverandi hugbúnaði og þörfina til tengingar. Sérlausn getur þó tryggt samþættingu við núverandi hugbúnað þar sem þróun er sérsniðin að hagsmunum stofnunarinnar. Power Platform lausnir bjóða einnig upp á auðvelda samþættingu við hugbúnað frá sama birgja. T.d. Microsoft Power Platform á mjög auðvelt með að tengjast öllu í Microsoft umhverfinu.

Hver er þörfin á stuðningi og viðhaldi?

Meta þarf hversu mikinn stuðning og viðhald hugbúnaðurinn þarf. Byrgi staðlaðar lausnar sér um viðhald á lausninni og veitir stuðning eftir þjónustusamning (SLA). Power Platform fær allan sinn stuðning frá birgja/þróunaraðila og þarfnast ekki innanborðs þekkingar. Sérlausn gæti veitt betri stjórn á stuðningi og viðhaldi en fer það eftir því hvort að umsjónarteymi sé innanhúss eða útvistað. Í öllum tilfellum þarf að meta viðhalds og stuðnings kostnað hugbúnaðarins ásamt hvort tækniþekking sé til staðar innan húss eða ekki.

Uppfyllir staðlaðar- eða Power Platform lausnir þær öryggis- og lagalegu kröfur í samræmi við þarfagreiningu stofnunarinnar ásamt almennum kröfum?

Ef ekki þá gæti sérlausn verið betri kostur þar sem hægt er að sérsníða hugbúnaðinn til að mæta settum kröfum.

Besta leiðin fer eftir því hvaða þarfir eru fyrir hendi. Fyrir einfaldar lausnir sem þurfa ekki mikið sérsnið gætu Power Platforms eða Staðlaðar lausnir verið betri valkostur. Hins vegar, ef þörf er fyrir einstaka lausn með eiginleikum sem ekki eru í boði á almenna markaðnum, gæti Sérsmíðuð lausn verið rétta leiðin.

Efni kaflans

Persónuvernd

Hugbúnaður þarf að vera byggður upp á þann hátt að stofnun geti framfylgt GDPR löggjöfinni https://gdpr.eu/ er viðkemur persónugreinanlegum upplýsingum.
Ásamt lögum um persónuvernd og vinnslu persónuupplýsinga.
Gagnaflokkun skal styðja við að persónuupplýsingar séu unnar í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Vinnslur sem m.a. eru skráðar í vinnsluskrár ríkisaðila geta tekið til eins eða fleiri gagna og mikilvægt að öll gögn sem innihalda persónuupplýsingar séu flokkaðar

Lög um opinber skjalasöfn nr. 77/2014.

https://radgjof.skjalasafn.is/
Varðveisluskylda er á öllum skjölum og gögnum sem hafa orðið til, borist eða verið viðhaldið við starfsemi afhendingarskyldra aðila og er óheimilt að eyða nokkrum upplýsingum nema að heimild liggi fyrir samkvæmt lögum um opinber skjalasöfn.

Reglugerð um vernd trúnaðarupplýsinga (nr. 959/2012)

Reglugerð um vernd trúnaðarupplýsinga, öryggisvottanir og öryggisviðurkenningar á sviði öryggis- og varnarmála tekur sérstaklega til þeirra trúnaðarupplýsinga sem varnarmálalög, nr. 34/2008 taka til og aðgangs að trúnaðarupplýsingum á grundvelli samninga við Evrópusambandið, aðrar þjóðir og alþjóðlegar stofnanir

Upplýsingalög nr. 140/2012.

Gagnaflokkun styður við markmið upplýsingalaga um gagnsæi í stjórnsýslu, aðgengi að upplýsingum hins opinbera og að auka traust almennings á stjórnsýslu með því að beita kerfisbundnum aðferðum til að flokka og meðhöndla gögn hins opinbera

Lög um öryggi net- og upplýsingakerfa mikilvægra innviða nr. 78/2019

Markmið þessara laga er að stuðla að öryggi og viðnámsþrótti net- og upplýsingakerfa mikilvægra innviða eins og þeir eru skilgreindir í lögum þessum.
https://www.althingi.is/lagas/nuna/2019078.html

Gera þarf vinnslusamning ef um meðferð persónuupplýsinga er að ræða.

Vinnslusamningur í hugbúnaðarþróun er samningur sem lýsir því hvernig á að vinna með gögn eða þjónustu sem er verið að þróa eða veita. Í þessu samhengi getur þetta oft verið tengt því hvernig á að meðhöndla persónuupplýsinga eða önnur viðkvæm gögn.

Í vinnslusamningum byggða á GDPR reglugerðinni um persónuvernd, þarf að huga sérstaklega að aðkomu þriðja aðila þar sem hann þarf mögulega að vinna með persónuupplýsingar. Í slíkum samningum er m.a. gert ráð fyrir:

Hverjum markmiðum vinnslan þjónar.
Hvernig gögnin eru vernduð og hvernig aðgangur að þeim sé tryggður.
Hvernig og hvenær gögnum verður eytt eða skilað aftur eða færð á annan stað.
Hvaða skyldur verða á hugbúnaðarþróunaraðilanum hvað varðar persónuvernd og örugga vinnslu.
Eftirlit og skilyrði um endurmat.

Vinnslusamningurinn tryggir að bæði viðskiptavinurinn og hugbúnaðarþróunaraðilinn skilji hlutverk sitt og skyldur þegar kemur að gagnanna vinnslu og að þær verði framkvæmdar í samræmi við gildandi lög og reglugerðir. Samningurinn skapar þannig skilyrði fyrir skilvirkni, öruggri og löglegri vinnslu gagna í hugbúnaðarþróunarferlinu.

Eftir að kröfur um virkni hugbúnaðarins hafa verið settar fram í tæknilýsingu er nauðsynlegt að setja fram eftirfarandi tæknilegar kröfur til hugbúnaðarins sjálfs til varnar því að lenda í læstri stöðu hjá birgja.

Kröfur um stöðluð gagnaform

Notast skal við staðlað gagnaform (data type/ format) þegar kemur að úttaki, vistun og vinnslu.

Kröfur um öryggi hugbúnaðar

Fylgja þarf viðmiðum um öryggi sem íslensk stjórnvöld hafa sett fram. T.d.
- gera kröfu um þekking á Open Web Application Security Project (OWASP) þarf að vera til staðar hjá seljanda saman ber tæknistefnu Stafræns Íslands https://docs.devland.is/technical-overview/technical-direction Þegar kemur að öryggi vefþjónusta.
https://cheatsheetseries.owasp.org/index.html

Ákveða þarf hvernig kerfið á að höndla bilanir og niður tíma (failure).

Gera þarf áætlun um rekstrarsamfellu (Business continuity) til þess að tryggja lágmarks niður tíma, áframhaldandi traust notanda og framtíðar viðbætur/lagfæringar.
Kaupandi þarf að vera undirbúin og:
- framkvæma áhættumat
- setja upp öryggisstefnu og framkvæma reglulegt áhættumat.
- gera kröfu um vöktunarkerfi sem greinir óeðlilega hegðun í rauntíma.
- gera kröfu um að öryggisafrit af gögnum og stillingum sé reglulega tekin.
- Gera kröfu um að gerð sé aðgerðaáætlun sem lýsir því hvaða skref skal taka ef bilun/mistök verða og samskipti við kaupanda. Hún ætti að vera auðskiljanleg og aðgengileg öllum starfsfólki. Til dæmis mætti áætlunin að innihalda eftirfarandi kaflaÁ meðan bilun/mistök eru til staðar sem framkallar rekstrarstöðvun.
  - Lausn og endurheimt frá viðgerð til atvikaskráningar.
  - Eftir bilun/mistök frá rannsókn, uppfærslum og þjálfun.
  - Tilkynning til netöryggissveitar ef um alvarlegt atvik eða áhættu sem ógnar öryggi að ræða.

Kröfur um aðgangsstýringu og notenda stjórnun

Aðgangsstýringar þurfa að vera skýrar, útlistaðar og í höndum stofnunar við verklok.
Skilgreina þarf hlutverk notanda vel og réttindum úthlutað í samræmi við hana.
Aðgangsstjórnun síðna (User Management)
- Stýra réttindum niður á
- Síður
- Einingar
- Ákveðna hluta

Krafa varðandi aðgengismál

Þegar kemur að útfærslu og hönnun notendaviðmóts hugbúnaðarins þarf hann að uppfylla WCAG Level AA staðalinn ef almenningur er endanotandinn þó er kaupandi hvattur til að nýta ávallt þessa kröfu. Hönnun skal vera skýr, einföld og aðgengileg ásamt því að samræmis skal gætt á milli viðmóts og notenda flæðis.

Við innleiðingu hugbúnaðar fyrir opinbera aðila þarf að setja fram kröfur sem endurspegla hvort um er að ræða almenna hugbúnaðarinnleiðingu, stöðluð (SaaS) kerfi, Power Platform (kerfisforrit) eða sérsmíðaða hugbúnaðarlausn.

Kröfur um að standast verkáætlun sem inniheldur:

Tímalínu verkefnis
Kostnað
Áfangaskiptingu
Ábyrgð
Skipulagningu auðlinda
Gæða- og áhættustjórnun.

Öryggis og rekstraröryggis kröfur:

Kröfur um öryggi, þar með talið áhættumat, reglubundið öryggiseftirlit og öryggisafritun, eiga að vera fyrir hendi.
Hönnun á hugbúnaðinum þarf að tryggja að hann þoli bilanir og geti tryggt samfelldan rekstur eins mikið og mögulegt er.
Allar innleiðingar þurfa að uppfylla strangar öryggiskröfur, með áherslu á vernd gagna, aðgengi, og viðeigandi aðgangsstýringar.
Afturkröfur: Ákveða hvað gera skal ef eitthvað fer úrskeiðis, svo sem með endurheimtunarkerfi eða afturköllun á breytingum.

Eignarhald gagna:

Hið opinbera þarf að tryggja að eigið gögnin sem eru vistuð hjá þjónustuveitanda, að þau séu á stöðluðu sniði og auðveldlega flutt á milli kerfa.

Kostnaðarskipting:

Kostnaðarliðir og gjaldskrá þurfa að vera skýrir og áætlanir um innleiðingu aðgengilegar. Þetta nær yfir leyfisgjöld, gagnageymslugjöld og notendakostnað.

Kröfur um þjálfun og stuðning

Þjálfun starfsmanna: Skilgreina þarf hvers konar þjálfun notendur og tækniteymi þurfa og hvernig henni verður komið á.
Stuðningsþjónusta: Ákveða hvernig stuðningsþjónusta verður skipulögð í innleiðinggarferlinu.
Leiðbeiningar og námskeið: Þurfa að vera til staðar/haldin þegar innleiðing hefst til að auðvelda starfsmönnum að setja upp og nota hugbúnaðinn rétt.

Prófanir

Framkvæma prófanir fyrir innleiðingu, til að tryggja að hugbúnaðurinn virki eins og til er ætlast.
Staðfestingarkerfi: Setja upp ferli fyrir samþykki viðskiptavina eða notenda, þannig að hugbúnaðurinn sé yfirfarinn og samþykktur á hverju stigi.
Endurteknar prófanir: Eftir hverja breytingu eða viðbót, framkvæma prófanir til að ganga úr skugga um að allt virki rétt.

Kröfur um skýrslugjöf

Framvinduskýrslur: Setja upp reglubundnar framvinduskýrslur um stöðu innleiðingarinnar.
Árangursmælingar: Ákvarða lykilmælikvarða (KPI) fyrir árangur innleiðingarinnar, svo sem notkun, ánægju notenda, og tíma til að ljúka ferlinu.

Almennar kröfur fyrir innleiðingu á hugbúnaðarlausnum eru mikilvægar til að tryggja að ferlið gangi vel, að hugbúnaðurinn uppfylli þörfina og að innleiðingin styðji heildarmarkmið opinbera aðilans.

Við gerð þjónustusamnings vegna kaupa á hugbúnaði, hvort sem það er staðlaður hugbúnaður eða Power Platform lausnir, er mikilvægt að hafa nokkra þætti í huga til að tryggja öryggi, skýr samskipti og viðunandi þjónustustig.

Þegar þjónustusamningur er gerður þarf first að skilgreina hvaða þjónustu er verið að biðja um, þar að segja hvaða kerfishlutar eða hugbúnað samningurinn nær yfir, eftirfylgni og fleira.

Hægt er að nota tæknilýsingu útboðs til að byggja grunn að þjónustusamningnum.

Í mörgum tilfellum hafa fyrirtæki fram að færa staðlaða þjónustusamninga en þarf þá að passa uppá að þessar grunn þarfir komi fram og hver ber ábyrgð á hverju.

Mikilvægt er að þjónustusamningurinn sé kaflaskiptur niður á deild/svið t.d. ef um fleiri þjónustueiningar (deildir) innan birgja þurfa að þjónusta hugbúnaðarlausnina.

Í almennum þjónustusamning þurfa að koma fram kröfur er varða:

Þjónustustig (SLA - Service Level Agreement) sem inniheldur upplýsingar um:
- Viðbragðstíma fyrir viðbrögð og úrlausnir uppákoma
- Áreiðanleiki og ábyrgð á kerfi t.d. með kröfu um “uppitíma”.
- Virkni kröfur en skilgreina lágmarks frammistöðukröfur hugbúnaðar.
- Aðgengi að tækniaðstoð og skilmálar hennar (t.d. 24/7 stuðningur eða takmarkaður aðgangur).
- Hafðu skýran tengilið: Báðir aðilar ættu að hafa tilnefnda tengiliði til að auðvelda samskipti.
- Reglubundin fundahöld: Skipuleggja reglulega yfirferðir til að tryggja að allt gangi smurt.
Persónuvernd og öryggi, að allt sé í samræmi við lög, reglur og samninga.
- Samræmi við lög og reglur, t.d. GDPR.
- Skýrt hvaða aðili á gögnin og hvernig meðhöndlun þeirra fer fram.
- Að innbrotsvarnir, og hætta á gagnaþjófnaði sé haldið við.
Uppfærsla og viðhald, að uppfærslur séu innifaldar og reglubundnu viðhaldi sinnt.
Greiðsluupplýsingar
- Gjalddagar og hugsanleg viðurlög við vanskilum.
- Ófyrirséður kostnaður, skýra vel hvað er ekki innifalið í grunnverði.
Ábyrgð, hvað ber seljandi ábyrgð á (t.d. villuleiðréttingum, virkni kerfisins)

Fyrri kafli

Næsti kafli

Hugbúnaðarrammi Fjársýslunnar

4. Tæknilýsing útboðsgagna

Val á tegund hugbúnaðar

Lagalegar skyldur, staðlar og kröfur

Almennar lágmarkskröfur til hugbúnaðar

Kröfur varðandi almenna innleiðingu hugbúnaðar

Kröfur er varaða almenna þjónustusamninga