Bilag 3 - Leveranceog

Transkript

1 EU-udbud af WAN infrastruktur Bilag 3 - Leveranceog ydelsesbeskrivelse

2 INDHOLD 1. FORMÅL MED BILAGET UDBUDDETS OMFANG OG GENSTAND KRAV TIL SIKKERHED Grundlæggende sikkerhedskrav Overholdelse af sikkerhedsstandarder ISO/IEC ISMS ISO/IEC Risikovurdering Anvendelse af standard for risikovurdering Specifikke informationssikkerhedskrav Informationssikkerhedspolitik Organisering af informationssikkerhed Personalesikkerhed Personalesikkerhed Styring af aktiver Adgangsstyring Adgangsstyring Fysisk sikring og miljøsikring Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Driftssikkerhed Kommunikationssikkerhed Kommunikationssikkerhed Anskaffelse, udvikling og vedligeholdelse af systemer Styring af informationssikkerhedsbrud Lagring og transport af data inden for EØS Årlig IT-revisionsrapport IT-sikkerhedsrevision Bilag 3 Leverance- og ydelsesbeskrivelse Side 2/37

3 3.7 Adgang til Leverandørens sikkerhedsdokumentation Leverandørens kriseberedskab Orientering om alvorlige sikkerhedshændelser Ændringer i Leverandørens forhold Risikoreducerende tiltag Styring af underleverandører Sikkerhedskrav til underleverandører Oversigt over underleverandører Sikkerhedskrav til underleverandører In-sourcing af underleverandørers opgaver Udenlandsk tredjeparts adgang til data og systemer Ansvar for informationssikkerhed i forbindelse med outsourcing Fastholdelse af informationssikkerhedskompetencer YDELSER Sortiment Geografisk leveranceområde Sikkerhed og adskillelse Logisk opdeling Prioritering af trafik (Quality of Service) Båndbredde i trafikklasser Prioritering af trafik i forhold til øvrige kunder Understøttelse af Multicast MTU størrelse på WAN forbindelsen IPv6 support Kapacitet og redundans Sortiment af WAN forbindelser Volumen Bestilling Bindingsperiode og Exit fee Op- og nedgradering af kapacitet Opsigelse Flytning Redundans og alternativ fremføring Redundans i Leverandørens netværk CPE Routning og Protokol Routningsprotokol BGP peering Multi Exit Discriminator (MED) Bilag 3 Leverance- og ydelsesbeskrivelse Side 3/37

4 4.3.3 BGP peering AS nummer BGP KEEPALIVE og HOLD-DOWN Timer BGP Graceful Restart BGP Routningsprotokol, antal prefixes DHCP relay Kvalitet Garanteret båndbredde (throughput) Pakketab Latency i primær område Latency i primær område Latency udenfor primær område Jitter Fremføring til og i bygninger Mammografistandere WAN forbindelser CPE CPE snitflade Logisk opdeling Logisk snitflade SNITFLADER CHANGE MANAGEMENT SERVICE REQUEST SUPPORT PORTALLØSNING DRIFTSHÅNDBOG LEVERANDØRENS BESVARELSE MILJØ- OG ENERGIKRAV TIL DATAKOMMUNIKATIONSUDSTYR Center for Energibesparelsers Indkøbsvejledning Strømstyring PVC i emballage Mærkning af plastkomponenter Bilag 3 Leverance- og ydelsesbeskrivelse Side 4/37

5 1. FORMÅL MED BILAGET Nærværende bilag indeholder en beskrivelse af de Ydelser og Leverancer, som Leverandøren skal levere i forbindelse med udbuddet. Bilaget indeholder krav, konkurrencekrav og beskrivelser af udbuddets omfang og genstand. Bilaget har en nær tilknytning til den øvrige del af udbudsmaterialet, hvorfor der vil være henvisninger til de respektive dele af udbudsmaterialet. Alt udover konkurrencekrav i nærværende bilag er minimumskrav og skal derfor opfyldes uden forbehold. 2. UDBUDDETS OMFANG OG GENSTAND Kunden udbyder en samlet WAN infrastruktur og tilknyttede services med det formål at sammenbinde alle de i bilag 2.1 nævnte lokationer i én fælles WAN infrastruktur med den efterspurgte kapacitet, sikkerhed og driftsstabilitet. Kundens driftsområder er blandt andet sygehuse, psykiatriske afdelinger og sociale institutioner. Langt størstedelen af de data, der skal transmitteres i den udbudte WAN infrastruktur er derfor personfølsomme data, hvorfor det for Kunden er afgørende, at sikkerheden i den udbudte WAN infrastruktur samt Leverandørens drift heraf er på et tidssvarende og professionelt niveau (krav hertil er defineret under punkt 3). Kunden anvender i væsentligt omfang IP-baserede tale og videokommunikationsløsninger, hvorfor det for Kunden er afgørende, at den udbudte WAN infrastruktur har funktionalitet til prioritering af f.eks. trafik til og fra realtidsapplikationer. Kundens krav til denne prioriteringsfunktionalitet er beskrevet i punkt til punkt i nærværende bilag. Den udbudte WAN infrastruktur skal af Kunden anvendes som en Alle-til-alle netværksinfrastruktur, hvor alle forbundne lokationer og medarbejdere herpå frit kan kommunikere henover. På trods af alle-til-alle princippet, ønsker Kunden en logisk opdeling på den udbudte WAN infrastruktur således, at Kunden efter eget valg kan segmentere dele af trafikken. Kunden er selv ansvarlig for fordeling af trafik og routning mellem de logiske net, som Leverandøren stiller til rådighed på den udbudte WAN infrastruktur. Kundens krav til den logiske opdeling af den udbudte WAN infrastruktur er beskrevet i punkt i nærværende bilag. Af hensyn til kapacitet og udviklingsmuligheder ønsker Kunden, at den udbudte WAN infrastruktur i hovedreglen kun etableres på fiberbaseret fremføring. I punkt i nærværende bilag er kravene til dette præciseret yderligere. Kunden efterspørger Bilag 3 Leverance- og ydelsesbeskrivelse Side 5/37

6 den udbudte WAN infrastruktur som Network as a Service (NaaS). For Kunden indebærer NaaS, at Leverandøren bærer det fulde ansvar for: At anskaffe alle nødvendige komponenter til produktion af den udbudte WAN infrastruktur At forestå installation af alle disse komponenter At forestå drift af alle disse komponenter At sikre at de definerede krav til sikkerhed overholdes At vedligeholde alle komponenter, som indgår i produktionen af den udbudte WAN infrastruktur At fejlsøge på den udbudte WAN infrastruktur At fejlrette på den udbudte WAN infrastruktur At supportere den udbudte WAN infrastruktur At implementere Service requests At sørge for miljømæssig korrekt bortskaffelse af alle komponenter, som indgår i produktionen af den udbudte WAN infrastruktur Både den fysiske og ansvarsmæssige snitflade til Leverandøren er defineret som det kundevendte interface på Leverandørens CPE. Kunden vil alene være ansvarlig for klimakontrol samt spændingsforsyning inklusiv UPS til Leverandørens CPE udstyr på Kundens lokationer. Kunden har en eksisterende WAN infrastruktur baseret på NaaS, og det er denne leverance der genudbydes i nærværende udbud. 3. KRAV TIL SIKKERHED 3.1 Grundlæggende sikkerhedskrav Samfundet har gennem en årrække oplevet en omfattende digital udvikling og he r- under en digitalisering af vigtige samfundsfunktioner. Digitaliseringen er i dag ikke længere et valg, men et vilkår. Med digitaliseringen følger et behov for kontinuerligt gennem styring af risici at sikre en effektiv beskyttelse mod de trusler, som den informations- og kommunikationsteknologiske infrastruktur løbende udsættes for. Det skal blandt andet ske for at hindre, at truslers indvirkning kan få alvorlige følger, eksempelvis for Kundens sikkerhed. Formålet med sikkerhedskravene i nærværende Kontrakt er således, at Leverandøren på baggrund af en risikostyringsproces løbende sikrer passende informationssik- Bilag 3 Leverance- og ydelsesbeskrivelse Side 6/37

7 kerhed i relation til levering af Ydelserne under Leverancen, såvel i forhold til tilgængelighed som fortrolighed og integritet. Hensigten er, at Leverandørens løbende arbejde med informationssikkerheden bas e- res på en vurdering af risici i forhold til aktuelle trusler, og at Leverandøren gennemfører sikringstiltag ud fra en styret og standardiseret tilgang. Dette skal ske med henblik på at minimere sikkerhedsrisici i relation til de Ydelser, der leveres til Kunden i henhold til Kontrakten. På baggrund af ovenstående formål, skal Leverandøren ved levering af Ydelser i henhold til Kontrakten til enhver tid sikre følgende: Overholdelse af krav til sikkerhed skal ved Leverandørens brug af indarbejdede processer understøtte kontinuerlig styring og håndtering af risici ved levering af Leverancens Ydelser. Overholdelse af sikkerhedskrav ved levering af Leverancens Ydelser skal til enhver tid sikre en effektiv beskyttelse mod de på det pågældende tidspunkt aktuelle og potentielle trusler, som informations- og kommunikationsteknologisk infrastruktur udsættes for, og herunder være egnet til at minimere si k- kerhedsrisici samt hindre alvorlige sikkerhedsmæssige følger for bl.a. Kundens sikkerhed. Overholdelse af sikkerhedskrav ved levering af Leverancens Ydelser skal ske i henhold til en kontinuerlig risikovurdering, i henhold til hvilken, der fastsættes et til enhver tid passende niveau for informationssikkerhed i form af tilgængelighed, fortrolighed og integritet i forhold til det aktuelle trusselsbillede imod informations- og kommunikationsteknologisk infrastruktur. Ved levering af Ydelser i henhold til Kontrakten skal Leverandøren til enhver tid sikre, at efterlevelsen af de i punkt er egnet til overholdelse af ovenstående generelle krav til sikkerhed. 3.2 Overholdelse af sikkerhedsstandarder ISO/IEC ISMS Det er et krav, at Leverandøren med henblik på løbende sikring af sikkerhedskrav e- ne i tilknytning til levering af Ydelserne har etableret et ledelsessystem for informationssikkerhedsstyring (ISMS) efter den til enhver tid gældende version af ISO/IEC eller tilsvarende (national eller international) anerkendt standard, baseret på en risikostyringsproces med krydsreference til de krav, der fremgår af punkt 3.4 nedenfor (jf. gældende ISO/IEC Annex A). Bilag 3 Leverance- og ydelsesbeskrivelse Side 7/37

8 Senest ved ikrafttræden af Kontrakten skal Leverandøren have udarbejdet dokumentation for, hvilken standard Leverandørens ISMS er baseret på i relation til lev e- ring af Ydelserne samt, i det omfang denne ikke er baseret på ISO/IEC 27001, angive krydsreferencer mellem Leverandørens valgte standard og de krav, der fremgår af punkt 3.4 nedenfor (jf. ISO/IEC Annex A). Materialet skal senest på dette tidspunkt gøres tilgængeligt for Kunden ISO/IEC ISO/IEC Konkurrencekrav nr. 1 til bilag 3 Vægtning: 8 % Konkurrencekravet: Kan Leverandøren ved levering af Ydelserne sikre levering i overensstemmelse med den til enhver tid gældende version af ISO/IEC eller tilsvarende (national eller international) anerkendt standard? (Gældende version pt. er "ISO/IEC 27011:2016 Information technology, Security techniques, Code of practice for information security controls based on ISO/IEC for telecommunications organizations"). Vælger Leverandøren, at anvende en tilsvarende (national eller internati o- nal) anerkendt standard skal Leverandøren til sit tilbud vedlægge fuld dokumentation for mapning mellem ISO/IEC og den anvendte standard. Beskrivelse af konkurrencekravet: Det vægtes positivt og tildeles 8 point, såfremt Leverandøren opfylder kravet om levering i overensstemmelse med ISO/IEC eller tilsvarende (national eller international) anerkendt standard. Opfyldes kravet ikke tildeles 0 point. Leverandørens besvarelse (Ja/Nej): (Besvares i bilag 9) 3.3 Risikovurdering Det er et krav, at Leverandørens risikostyring af informationssikkerheden i forhold til løbende levering af Ydelser til Kunden baseres på en dokumenteret og regelmæssigt opdateret risikovurdering. Leverandøren skal som minimum opdatere sin risikovurdering i forbindelse med forestående ændringer af Leverandørens egne organisatoriske forhold, forestående ændringer af en eventuel underleverandørs forhold eller forestående ændringer af Bilag 3 Leverance- og ydelsesbeskrivelse Side 8/37

9 anvendt teknologi og infrastruktur herunder Leverancens udstyr. Leverandøren skal desuden opdatere sin risikovurdering efter påbud fra Kunden om at inkludere en specifik trussel i risikovurderingen. Risikovurderingen skal til enhver tid inkludere en vurdering af behovet for sikke r- hedsgodkendelse af medarbejdere hos Leverandøren eller dennes underleverandører, jf. gældende teleregulering ( 63, stk. 1, i Lov om elektroniske kommunikat i- onsnet og -tjenester). Leverandøren skal på Kundens anmodning indenfor 10 arbejdsdage give Kunden adgang til Leverandørens risikovurderinger iht. nærværende Kontrakt Anvendelse af standard for risikovurdering Anvendelse af standard for risikovurdering Konkurrencekrav nr. 2 til bilag 3 Vægtning: 8 % Konkurrencekravet: Anvender Leverandøren principperne beskrevet i ISO/IEC eller ti l- svarende (national eller international) anerkendt standard som ramm e- værktøj for risikovurderingsprocessen i forhold til levering af Ydelser? Vælger Leverandøren, at anvende en tilsvarende (national eller international) anerkendt standard skal Leverandøren til sit tilbud vedlægge fuld dokumentation for mapning mellem ISO/IEC og den anvendte standard. Beskrivelse af konkurrencekravet: Det vægtes positivt og tildeles 8 point, såfremt Leverandøren opfylder kravet om levering i overensstemmelse med ISO/IEC eller tilsvarende (national eller international) anerkendt standard. Opfyldes kravet ikke tildeles 0 point. Leverandørens besvarelse (Ja/Nej): (Besvares i bilag 9) 3.4 Specifikke informationssikkerhedskrav Følgende specifikke krav, baseret på kontroller fra ISO/IEC27001 Annex A, vurderes som væsentlige i forhold til Leverandørens håndtering af informationssikkerh e- den i Leverancen. De væsentligste krav er uanset opfyldelse af kravene i punkt 3.2 udtrykt som minimumskrav. Bilag 3 Leverance- og ydelsesbeskrivelse Side 9/37

10 Det bemærkes, at de i parentes anførte referenceangivelser henviser til kontrollerne i ISO/IEC27001:2013 Annex A Informationssikkerhedspolitik Det er et krav, at Leverandøren for levering af Ydelser har udarbejdet og løbende ajourfører politikker og retningslinjer inden for informationssikkerhed i overensstemmelse med de forretningsmæssige krav. Samtidig skal der eksistere en kontrolfunktion, der løbende følger op på, om politikker og retningslinjer overholdes når Ydelser leveres. (Ref. A5.1.1, A5.1.2) Organisering af informationssikkerhed Det er et krav, at Leverandøren i forhold til levering af Ydelser har etableret et ledelsesmæssigt grundlag i form af en informationssikkerhedsorganisation, hvor roller og ansvar for varetagelsen af alle relevante sikkerhedsopgaver ved levering af ydelser er beskrevet og kommunikeret. Der skal i fordelingen af kritiske roller og ansvar tages højde for krav om funktionsadskillelse ved levering af Ydelser. Senest ved Kontraktens ikrafttræden skal Leverandøren beskrive sikkerhedsorganisationens bemanding samt fordelingen af informationssikkerhedsmæssigt ansvar og tilhørende opgaver. Materialet skal senest på dette tidspunkt gøres tilgængeligt for Kunden. (Ref. A6.1.1, A6.1.2) Personalesikkerhed Det er et krav, at Leverandøren sikrer, at medarbejdere, der varetager drifts- og sikkerhedsmæssige opgaver relateret til levering af Ydelser til Kunden, har den fornødne kompetence/uddannelse til at varetage disse opgaver samt løbende videreuddannes og ajourfører deres kompetencer i forhold til de for Ydelserne relevante sikkerhedspolitikker og -procedurer. På Kundens foranledning, skal Leverandøren fremsende relevant dokumentation herfor, eksempelvis dokumentation for relevant uddannelse/certificering på ITsikkerhedsområdet i forhold til arbejdsområdet for anvendte medarbejdere til lev e- ring af Ydelser. (Ref. A7.2.2) Bilag 3 Leverance- og ydelsesbeskrivelse Side 10/37

11 3.4.4 Personalesikkerhed Det er et krav, at Leverandørens medarbejdere eller samarbejdspartnere bærer synligt billedidentifikationskort og anvender billedidentifikationskortet til at legitimere sig over for Kunden i forbindelse med Leverancer på Kundens adresser eller lokationer. Leverandøren skal anvende sikkerhedsgodkendt personale til Leverancer på Kundens adresser eller Lokationer samt til brugeradministration. Efter anmodning skal Leverandøren til enhver tid gøre en liste over medarbejdere med gyldige billedidentifikationskort og sikkerhedsgodkendelser tilgængelig for Kunden Styring af aktiver Det er et krav at Leverandøren etablerer en proces, der sikrer en kontinuerlig vedligeholdelse af fortegnelsen over Leverandørens kritiske informationsaktiver i forhold til levering af Ydelserne. For hvert enkelt kritisk aktiv skal der være tilknyttet en ejer og aktivets klassifikation skal endvidere fremgå af fortegnelsen. (Ref. A8.1.1, A8.1.2, A8.2.1) Adgangsstyring Det er et krav, at Leverandøren i forhold til levering af Ydelser skal have politikker, processer og procedurer for adgangsstyring af den logiske og fysiske adgang til l o- kationer, systemer og services mm. Adgangsstyringen skal struktureres således, at brugere kun har adgang til det, som de er autoriseret til at benytte og kun så længe behovet er til stede. Politikkerne skal understøttes af procedurer, der beskriver tildeling og afmelding af brugeradgang og rettigheder, som f.eks. ved funktionsskifte eller ændring af ansættelsesforhold. Leverandørens ledelse skal sikre regelmæssig attestering af brugerrettigheder, og styring/revision af privilegerede rettigheder. (Ref. A9.1.1, A9.1.2, A9.2.1, A9.2.2, A9.2.3, A9.2.5, A9.2.6, A9.4.1) Adgangsstyring Det er et krav, at Leverandøren i forhold til levering af Ydelserne skal have procedurer, der understøtter adgangsstyringspolitikker, og som beskriver adgang til systemer og applikationer via sikker log-on. Dette skal inkludere passende autentifikationsmetoder til verifikation af brugerens identitet og administration af adgangskoder. Det skal sikres, at udvalget af adgangskoder er af høj kvalitet, at der foretages regelmæssige skift, forhindres genbrug, og at adgangskoder lagres og transmitteres i krypteret form. (Ref. A9.4.2, A9.4.3) Bilag 3 Leverance- og ydelsesbeskrivelse Side 11/37

12 3.4.8 Fysisk sikring og miljøsikring Det er et krav, at Leverandøren skal have en politik for fysisk sikring af de aktiver, der indgår i Ydelserne, som Leverandøren har ansvaret for. Den skal understøttes af retningslinjer, der beskriver den fysiske perimetersikring, adgangskontrol, alarmer, overvågning, og sikring af installationer således, at kun autoriseret personale kan få adgang. Sikkerhedsniveauet skal baseres på en risikovurdering i forhold til levering af Ydelserne, hvor eksterne og miljømæssige trusler skal indgå for at sikre, at der opnås et passende sikkerhedsniveau. Denne skal inkludere placering af udstyr, sikring af kabler, vedligeholdelse af udstyr, genbrug af udstyr, opbevaring af udstyr, og brug af udstyr uden for Leverandørens lokaler. Foranstaltningerne skal beskytte mod strømsvigt, sabotage, aflytning, interferens, tyveri, uautoriseret adgang, eksterne og miljømæssige trusler, mm. (Ref. A11.1.1, A11.1.2, A11.1.3, A11.1.4, A11.1.5, A11.2.1, A11.2.2, A11.2.3, A11.2.4, A11.2.5, A11.2.6, A11.2.7) Driftssikkerhed Det er et krav, at Leverandøren har dokumenterede driftsprocedurer, der beskriver driftsaktiviteter og -processer ved levering af Ydelser, i f.eks. Information Technology Infrastructure Library (ITIL) processer, eller tilsvarende anerkendte driftsproce s- ser. Disse skal sikre beskrivelse af ændringsstyringsprocessen, herunder styring af softwareændringer i Ydelserne. Ved levering af Ydelser skal Leverandøren sikre, at der implementeres og anvendes procedurer for rollback af software, således at et system hurtigt kan bringes tilbage i drift, såfremt en opdatering fejler. Yderligere skal leverandøren sikre, at udviklings-, test- og driftsmiljøer adskilles, for at beskytte mod uautoriseret adgang til eller ændringer af driftsmiljøet for Ydelserne. Leverandøren skal sikre at alle ændringer, der kan påvirke informationssikkerheden i Ydelserne, bliver godkendt og testet inden udrulning i driftsmiljøet. Herunder skal Leverandøren sikre, at der etableres en proces for håndtering af problemer (Problem management) i tilknytning til Ydelserne. (Ref. A12.1.1, A12.1.2, A12.1.4, A12.5.1) Driftssikkerhed Det er et krav, at der for Leverandørens eget udstyr, der anvendes ved levering af Ydelserne, skal være en dokumenteret proces for beskyttelse mod malware. Denne proces skal inkludere procedurer for opdatering af beskyttelsessoftware, kontroller Bilag 3 Leverance- og ydelsesbeskrivelse Side 12/37

13 til detektering af malware, og til at forhindre at malware kan sprede sig, samt procedurer for gendannelse af de påvirkede aktiver. (Ref. A12.2.1) Driftssikkerhed Det er et krav, at Leverandøren skal have en dokumenteret procedure for backup og restore af data til brug for sikring af alle væsentlige systemer og data, der understøtter eller anvendes ved levering af Ydelserne. Det skal også beskrives, hvorledes backupsystemet er opbygget, samt hvorledes backupdata opbevares, under hvilke forhold, samt hvordan backupdata/medier transporteres. (Ref. A12.3.1) Driftssikkerhed Det er et krav, at Kunden, med henblik på at vurdere det aktuelle sikkerhedsniveau, vederlagsfrit kan få adgang til de logs, der genereres af routere, switche og andre centrale netværkskomponenter samt systemlogs i de dele af Leverandørens ne t- værk, som anvendes ved levering af Ydelserne. Kunden skal efter anmodning kunne få udleveret eller downloade disse logs i læsbart format (CSV, MS Excel eller lignende) med henblik på senere efterbehandling hos Kunden, eller en af Kunden udpeget repræsentant. Følgende informationer eller tilsvarende skal som minimum fremgå af logs: Afsendende IP-adresse Modtagende IP-adresse Transportprotokol Afsendende portnummer Modtagende portnummer Tidspunktet for kommunikationens start og afslutning Leverandøren skal lagre ovenstående trafikinformation i mindst 6 måneder. Lev e- randøren skal ved levering af netværksforbindelse oplyse, om tjenesteydelsen lev e- res med ovennævnte logning. (Ref. A12.4) Driftssikkerhed Driftssikkerhed (Ref. A12.4) Konkurrencekrav nr. 3 til bilag 3 Vægtning: 8 % Konkurrencekravet: Bilag 3 Leverance- og ydelsesbeskrivelse Side 13/37

14 Sker håndtering af logs centralt hos Leverandøren, som er beskrevet i punkt ? Beskrivelse af konkurrencekravet: Det vægtes positivt og tildeles 8 point, såfremt Leverandøren håndterer logs centralt via et Security Incident and Event Management System (SIEM) og iht. f.eks. Information Technology Infrastructure Library (ITIL) processer eller tilsvarende anerkendte processer for loghåndtering. Opfyldes kravet ikke tildeles 0 point. Leverandørens besvarelse (Ja/Nej): (Besvares i bilag 9) (Ref. A12.4) Driftssikkerhed Det er et krav, at Leverandøren foretager særskilt logning af al administratoraktivitet udført i tilknytning til levering af datakommunikationstjenester. Leverandøren skal til enhver tid kunne gøre logs over administratoraktivitet tilgængelig for Ku n- den. (Ref. A12.4.3) Driftssikkerhed Det er et krav, at Leverandøren skal holde sig opdateret i forhold til annonceringer af nye sårbarheder (vulnerability management), der retter sig mod aktiver, som indgår i eller anvendes ved levering af Ydelserne, f.eks. ved abonnering på kendte informationssikkerhedskilder. Dette inkluderer også sårbarheder på tredjepartspr o- dukter, der indgår i eller anvendes ved levering af Ydelserne. Efter anmodning skal Leverandøren til enhver tid gøre liste over abonnering på kendte informationssikkerhedskilder tilgængelig for Kunden. (Ref. A12.6.1) Driftssikkerhed Det er et krav, at der for Leverandørens eget udstyr, som indgår i eller anvendes ved levering af Ydelserne, skal være en dokumenteret patch management proces for hardware, software, og netværkskomponenter, herunder applikationer, services, OS, servere, databaser, firmware, og netværksudstyr. Patch management processen skal inkludere test af patches før udrulning, normal patch cyklus, udrulning af pa t- ches i nødsituationer, f.eks. ved annoncering af en patch mod 0-dags sårbarheder og patches fra tredjepartsleverandører. (Ref. A12.6.1) Bilag 3 Leverance- og ydelsesbeskrivelse Side 14/37

15 Driftssikkerhed Det er et krav, at Leverandøren skal have en proces for, at Leverandørens eget udstyr (hardware, software og netværkskomponenter, herunder drifts- og supportudstyr), som indgår i eller anvendes ved levering af Ydelserne, hærdes efter anerkendte retningslinjer. (Ref. A12.6.1) Driftssikkerhed Det er et krav at, der for Leverandørens eget udstyr, som indgår i eller anvendes ved levering af Ydelserne, skal være etableret en proces for at minimere antallet af installeret software og services på udstyret, således at princippet om minimalitet på aktiver overholdes. Dette skal inkludere, at alle ubrugte og unødvendige services skal slås fra og, hvor det er muligt, afinstalleres. Denne proces skal gennemføres jævnligt. Ved minimalitet skal forstås, at kun det, der er absolut nødvendigt for at udføre arbejdsopgaverne, må være installeret på aktiverne. Alt andet skal afinstall e- res. (Ref. A12.6.2) Driftssikkerhed Driftssikkerhed (Ref. A12.6.2) Konkurrencekrav nr. 4 til bilag 3 Vægtning: 8 % Konkurrencekravet: Har Leverandøren en politik, der forhindrer brugen af uautoriseret software, ved implementering af application whitelisting? Dette skal gælde for den relevante del af Leverandørens organisation i forhold til levering af Ydelserne. Dette gør sig f.eks. gældende for Leverandørens personale, der administrerer og vedligeholder Ydelserne. Ved application whitelisting skal forstås en teknisk kontrol, der forhindrer kørsel- og eksekvering af applikationer og kode, der ikke er godkendt på forhånd. Ved opfyldelse af nærværende konkurrencekrav skal Leverandøren ved påkrav fremvise liste med whitelistede applikationer og proces for håndteringen af dette område. Beskrivelse af konkurrencekravet: Det vægtes positivt og tildeles 8 point, såfremt dette krav opfyldes. Opfyldes kravet ikke tildeles 0 point. Leverandørens besvarelse (Ja/Nej): Bilag 3 Leverance- og ydelsesbeskrivelse Side 15/37

16 (Besvares i bilag 9) (Ref. A12.6.2) Kommunikationssikkerhed Det er et krav, at Leverandøren skal have fastlagt en proces for styring af netværkssikkerhed i relation til levering af Ydelserne. Dette skal inkludere kontroller for at sikre fortrolighed og integritet af data samt beskyttelse af forbundne systemer og applikationer. Yderligere skal Leverandøren følge anerkendte retningslinjer for netværkssikkerhed, hvor der bliver taget stilling til opdeling i netværk ved flere dom æ- ner (segmentering) og veldefinerede sikkerhedsperimetre for hvert domæne. Leverandøren skal til enhver tid kunne fremvise en samlet og opdateret netværksdokumentation, herunder en grafisk netværksoversigt, der viser det samlede netværk, herunder Kundens netværk, til brug for sikkerhedsrevision, samt efterforskning ved eventuelt brud på informationssikkerheden. (Ref. A13.1.1, A13.1.2, A13.1.3) Kommunikationssikkerhed Det er et krav, at Leverandøren skal have fastlagte og implementerede politikker, herunder understøttende procedurer og kontroller, for at beskytte transmission af informationer ved brug af alle former for kommunikationsudstyr i relation til Ydelserne. Dette skal inkludere aftaler om informationstransmission, både hos Leverandøren og underleverandører. Efter påkrav fra Kunden skal Leverandøren redegøre for dennes sikring af integritet og fortrolighed ved overførsel af data mellem de fo r- skellige netværksenheder, der indgår i eller anvendes ved levering af Ydelserne. (Ref. A13.2.1, A13.2.2, A13.2.3) Anskaffelse, udvikling og vedligeholdelse af systemer Det er et krav, at Leverandøren implementerer en proces for anskaffelse, udvikling og vedligeholdelse af systemer og øvrige komponenter til Leverandørens infrastru k- tur, der har betydning for levering af Ydelser til Kunden. Processen skal blandt andet sikre, at alle relevante sikkerhedsmæssige forhold inddrages i processen, og at løsninger testes på betryggende vis, inden de idriftsættes. Ved udvikling og test skal leverandøren sikre anvendelse af testdata eller sikre effektiv anonymisering, via randomisering og i nødvendigt omfang kryptering af alle brugerdata. (Ref. A14) Styring af informationssikkerhedsbrud Det er et krav, at Leverandøren i forhold til levering af Ydelserne skal have fastlagt en dokumenteret hændelseshåndteringsproces for effektiv styring af informations- Bilag 3 Leverance- og ydelsesbeskrivelse Side 16/37

17 sikkerhedsbrud. Der skal være klart definerede roller og ansvarsområder, beskrives hvordan hændelser håndteres, beskrives hvordan man klassificerer en hændelse, beskrives hvor hurtig en hændelse skal håndteres samt hvordan og til hvem der rapporteres hændelser. Processen skal endvidere omfatte opsamling, prioritering og implementering af erfaringer fra håndtering af et hændelsesforløb, samt indsamling og sikring af beviser til brug en eventuel efterforskning af hændelsen. (Ref. A16.1.1, A16.1.2, A16.1.3, A16.1.4, A16.1.5, A16.1.6, A16.1.7) Lagring og transport af data inden for EØS Det er et krav, at Leverandøren i tilknytning til levering af Ydelserne behandler, herunder lagrer og transporterer alle elektroniske informationer vedrørende Kunden inden for EØS (Europæisk Økonomisk Samarbejdsområde) i overensstemmelse med gældende ret på databeskyttelsesområdet. Med informationer menes blandt andet centralt lagret information om kundeforhold, eksempelvis Kundens navne, adresser, telefonnumre, faktureringsoplysninger og registrerede meddelelser, samt kundens data. 3.5 Årlig IT-revisionsrapport Årlig IT-revisionsrapport Konkurrencekrav nr. 5 til bilag 3 Vægtning: 8 % Konkurrencekravet: Kan Leverandøren garantere, at der på årlig basis udfærdiges en ISAE 3402 revisionsrapport baseret på auditering af Leverandørens samlede si k- kerhedsimplementering af kravene i punkt 3 i form af etablerede sikkerhedsprocedurer samt faktisk håndtering og efterlevelse heraf ved levering af Ydelserne? Den årligt udarbejdede ISAE 3402 revisionsrapport skal ved opfyldelse af nærværende konkurrencekrav vederlagsfrit gøres tilgængelig for Kunden. Beskrivelse af konkurrencekravet: Det vægtes positivt og tildeles 8 point, såfremt dette krav opfyldes. Opfyldes kravet ikke tildeles 0 point. Leverandørens besvarelse (Ja/Nej): (Besvares i bilag 9) Bilag 3 Leverance- og ydelsesbeskrivelse Side 17/37

18 3.6 IT-sikkerhedsrevision Det er et krav, at Kunden eller en relevant tredjepart udpeget af Kunden, til enhver tid kan foretage en IT-sikkerhedsrevision af Leverandøren og dennes underleverandører, i det omfang de er relevante for levering af Ydelserne. Revisionen kan, uden omkostning for de reviderende parter, omfatte fysisk inspektion, såvel som gennemgang af Leverandørens og underleverandørernes IT-sikkerhedsmæssige procedurer og dokumentation, herunder af Leverandørens ISMS og risikovurderinger, jf. de i Kontrakten fastsatte sikkerhedskrav, samt Leverandørens faktiske håndtering og efterlevelse af de sikkerhedsmæssige procedurer. 3.7 Adgang til Leverandørens sikkerhedsdokumentation Det er et krav, at Kunden til enhver tid kan rekvirere den relevante sikkerhedsdokumentation, jf. de i Kontrakten fastsatte sikkerhedskrav i forhold til levering af Ydelser. Leverandøren skal gøre dokumentationen tilgængelig straks. 3.8 Leverandørens kriseberedskab Udover hvad der følger af gældende regulering på teleområdet, og uanset Kontraktens bestemmelser om force majeure, er det et krav, at Leverandørens beredskab til håndtering af hændelser udover, hvad det daglige driftsberedskab kan håndtere, er indrettet på en sådan måde, at Leverandøren inden for 2 timer (24/7) fra en større hændelse indtræffer, er i stand til at vurdere, om Leverandøren med egne disposit i- oner kan reetablere driften til et kvalitetsniveau svarende til det i bilag 6 punkt 2 beskrevne. Kan Leverandøren ikke med egne dispositioner reetablere driften til et kvalitetsn i- veau svarende til punkt 2 i bilag 6, skal Kunden underrettes straks. Et eksempel på en større hændelse kunne være en omfattende strømafbrydelse, som antages at have en varighed, som rækker udover Leverandørens nødstrømskapacitet, eller f.eks. et omfattende cyberangreb. Leverandøren er forpligtet til vederlagsfrit at have et døgnbetjent kontaktpunkt, hvorfra der i forhold til levering af Ydelserne kan gives fysisk fremmøde på Kundens anviste mødested inden for to timer. Den fra kontaktpunktet udsendte kontaktpe r- son skal i dialog med kontaktpunktet kunne træffe de nødvendige dispositioner til reetablering og prioritering af driften i samarbejde med Kunden, jf. beføjelserne om kriseledelse i forhold til telesektoren i bekendtgørelse nr. 462 af 23/05/2016 omhandlende persondatasikkerhed i forbindelse med udbud af offentlige elektroniske kommunikationstjenester. Bilag 3 Leverance- og ydelsesbeskrivelse Side 18/37

19 3.9 Orientering om alvorlige sikkerhedshændelser Det er et krav, at Leverandøren uden ophold skal orientere Kunden om alvorlige sikkerhedshændelser på Leverandørens eller Kundens datakommunikationsnetværk i relation til levering af Ydelserne. Alvorlige sikkerhedshændelser kan være omfattende kompromittering eller systematisk forsøg på kompromittering af netværkets fo r- trolighed, tilgængelighed eller integritet. Øvrige hændelser skal meddeles Kunden skriftligt ved den kvartalsvise afrapportering. Leverandøren har, i forbindelse med denne orienteringspligt, ansvar for, at lave aftale med Kunden om håndtering af i n- formation inden og uden for normal arbejdstid Ændringer i Leverandørens forhold Det er et krav, at Leverandøren i god tid sikrer underretning af Kunden i forbindelse med væsentlige ændringer i Leverandørens organisatoriske forhold anvendt i forhold til levering af Ydelserne, som f.eks. fusion, virksomhedsovertagelse, etablering i udlandet, udlægning af drift til datterselskab eller eksternt selskab (outsourcing) m.v. Leverandøren skal ligeledes i god tid sikre underretning af Kunden i forbindelse med væsentlige ændringer i Leverandørens anvendelse af teknologi og infrastruktur, herunder udstyr, anvendt i forhold til levering af Ydelserne, som f.eks. skift af underleverandør på kritiske komponenter i netværket, placering af infrastruktur i udlandet, placering af drift i driftsselskab i udlandet m.v. Sådanne væsentlige ændri n- ger (organisatoriske eller tekniske m.v.) skal indgå i en opdatering af Leverandørens risikovurdering i forhold til levering af Ydelserne, som det fremgår af punkt Risikoreducerende tiltag Leverandøren er forpligtet til at indgå i drøftelser med Kunden om risikoreducerende tiltag, hvis myndighederne på baggrund af Leverandørens afgivne underretninger om hændelser og/eller ændringer i Leverandørens forhold, samt på baggrund af en vurdering af Leverandørens risikovurderinger, vurderer, at der i tilknytning til lev e- ring af Ydelserne foreligger en risiko for Kundens sikkerhed, f.eks. i form af risiko for industrispionage eller sabotage af infrastruktur Styring af underleverandører Sikkerhedskrav til underleverandører Det er et krav, at Leverandøren, i forbindelse med styring af eventuelle underleverandører i relation til levering af Ydelserne sikrer, at disse opretholder et forsvarligt informationssikkerhedsniveau i forhold til disses ydelser og produkter. Bilag 3 Leverance- og ydelsesbeskrivelse Side 19/37

20 Hvad angår underleverandører af drift (herunder vedligehold og service management), skal der sikres et informationssikkerhedsniveau svarende til Leverandørens egne forpligtigelser i forhold til levering af Ydelserne Oversigt over underleverandører Det er et krav, at Leverandøren vedligeholder en opdateret oversigt over anvendte underleverandører ved levering af Ydelserne. Oversigten skal også beskrive, hvilke opgaver og ansvarsområder som underleverandørerne håndterer på vegne af Leverandøren i tilknytning til levering af Ydelserne. Anvendelse af nye underleverandører forudsætter endvidere Kundens godkendelse, jf. Kontraktens punkt Sikkerhedskrav til underleverandører Det er et krav, at Leverandøren sikrer en regelmæssig opdatering og auditering af de sikkerhedskrav, der stilles til underleverandører i forhold til levering af Ydelserne, herunder baseret på Leverandørens opdaterede risikovurdering In-sourcing af underleverandørers opgaver In-sourcing af underleverandørers opgaver Konkurrencekrav nr. 6 til bilag 3 Vægtning: 8 % Konkurrencekravet: Kan Leverandøren garantere, at denne straks kan insource eventuelt outsourcede områder fra underleverandører i tilfælde af misligholdelse af sikkerhedskrav i Kontrakten i forhold til levering af Ydelserne, væsentlig ændring i risikobilledet, samt ændring i ejerskabsforhold, der vurderes at kunne påvirke sikkerheden i relation til Leverandørens Ydelser og produkter til Kunden. Ved opfyldelse af nærværende konkurrencekrav skal Leverandøren til enhver tid have opdateret politikker eller processer for håndtering af evt. insourcing fra underleverandører. Efter påkrav fra Kunden, skal Leverand ø- ren kunne dokumentere de gældende politikker eller processer for insou r- cing fra underleverandører. Beskrivelse af konkurrencekravet: Det vægtes positivt og tildeles 8 point, såfremt dette krav opfyldes. Opfyldes kravet ikke tildeles 0 point. Bilag 3 Leverance- og ydelsesbeskrivelse Side 20/37

21 Leverandørens besvarelse (Ja/Nej): (Besvares i bilag 9) Udenlandsk tredjeparts adgang til data og systemer Det er et krav, at Leverandøren sikrer, at Kunden straks orienteres, såfremt Leverandøren er bekendt med, at myndigheder, herunder regeringer og domstole i u d- landet, anmoder om adgang til Leverandørens data og/eller systemer af relevans for Ydelserne, herunder hos en eventuel underleverandør Ansvar for informationssikkerhed i forbindelse med outsourcing Det er et krav, at Leverandøren ved en outsourcing til tredjemand bibeholder det fulde ansvar for informationssikkerheden i relation til levering af Ydelserne, blandt andet ved at stille krav til underleverandører om, at Leverandøren aktivt involveres i forbindelse med, at underleverandøren måtte ønske at foretage væsentlige ændri n- ger i arkitektur, organisation, politik(ker) og risikovurdering mv. af relevans for l e- vering af Ydelserne Fastholdelse af informationssikkerhedskompetencer Det er et krav, at Leverandøren, såfremt Leverandøren benytter underleverandører, sikrer, at Leverandøren bibeholder de nødvendige kompetencer til at identificere risici og risikoreducerende tiltag og til at validere, om Kontrakten mellem Leverandøren og underleverandøren bliver overholdt, hvad angår de sikkerhedsmæssige krav. 4. YDELSER Sortiment Det er et krav, at Leverandøren leverer alle de i punkt nævnte kategorier af WAN forbindelser med CPE udstyr Geografisk leveranceområde Det er et krav, at Leverandøren kan levere WAN forbindelser til adresser i hele Danmark inklusiv ikke brofaste øer. Eventuelt særskilt pris for etablering af WAN forbindelser på ikke brofaste øer kan angives i Leverandørens tilbud i bilag 9, punkt Sikkerhed og adskillelse Det er et krav, at den af Leverandøren tilbudte WAN infrastruktur bygger på en datasikkerhed (fortrolighed og integritet) på minimum samme niveau som MPLS, så- Bilag 3 Leverance- og ydelsesbeskrivelse Side 21/37

22 dan at trafik i logiske netværk holdes adskilt. Som supplement til besvarelsen skal Leverandøren i bilag 9, punkt 2 beskrive sikkerheden i WAN infrastrukturen Logisk opdeling Det er et krav, at Leverandøren leverer 10 logisk opdelte net i WAN infrastrukturen til hver lokation. Indenfor hvert logisk net skal der kunne kommunikeres med alle øvrige lokationer. Routning mellem de logiske net sørger Kunden selv for. WAN i n- frastrukturen skal vederlagsfrit og efter kundens valg kunne udvides op til 15 logiske net. De logiske net leveres på det kundevendte interface på CPE udstyret, som en IEEE 802.1Q trunk med et af Kunden specificeret VLAN untagged Prioritering af trafik (Quality of Service) Det er et krav, at Leverandøren kan levere prioritering af trafikken fra CPE til CPE i følgende 4 trafikklasser: Høj (typisk voice trafik) Guld (data) Sølv (data) Best effort Kunden laver prioritering af trafikken efter aftale med Leverandøren om hvilke DSCP værdier, der skal bruges. Dette sker i afklaringsfasen Båndbredde i trafikklasser Det er et krav, at de fire trafikklasser har følgende båndbreddegaranti på de i punkt nævnte WAN forbindelser i kategori 1 til 6: Høj 10% af linie kapacitet. Ved overskridelse droppes trafikken. Guld 30% af linie kapacitet. Ved overskridelse omprioriteres overskydende trafik til Sølv. Sølv 30% af linie kapacitet. Ved overskridelse omprioriteres overskydende trafik til Best effort. Best effort Prioritering af trafik i forhold til øvrige kunder Det er et krav, at Leverandøren sikrer, at kundens trafik i Leverandørens netværk ikke påvirkes af øvrige kunders internettrafik. Leverandøren skal i sin besvarelse i bilag 9, punkt 2 beskrive, hvorledes dette sikres. Bilag 3 Leverance- og ydelsesbeskrivelse Side 22/37

23 Målet for Kunden er at opnå sikkerhed for fremkommelighed og driftsstabilitet i L e- verandørens netværk uagtet om øvrige af Leverandørens kunder måtte blive udsat for massive DDOS angreb eller lignende Understøttelse af Multicast Understøttelse af Multicast Konkurrencekrav nr. 7 til bilag 3 Vægtning: 15 % Konkurrencekravet: Leverandøren skal beskrive, hvorledes Leverandøren kan understøtte routning af multicast trafik. Leverandøren skal med udgangspunkt i den af Kunden beskrevne multicastløsning i bilag 2, punkt lave en beskrivelse af, hvorledes Leverandøren understøtter den ønskede multicastfunktionalitet, samt i hvor mange logiske net denne funktionalitet understøttes. Kunden forventer indenfor Kontraktperioden at implementere multicast trafik i sit netværk, som beskrevet i bilag 2, punkt Beskrivelse af konkurrencekravet: Det vægtes positivt, at beskrivelsen er sammenhængende og detaljeret. Det vægtes positivt, at Leverandøren kan understøtte routning af multicast trafik. Det vægtes positivt jo flere af de i punkt efterspurgte logiske net multicastfunktionaliteten kan understøttes på. Leverandørens besvarelse (udvides efter behov): (Besvares i bilag 9) MTU størrelse på WAN forbindelsen Det er et krav, at Leverandøren understøtter Baby Giant Frames (1600 bytes) på de i punkt nævnte WAN forbindelser i kategori 2 til 6. MTU størrelse på WAN forbindelsen Konkurrencekrav nr. 8 til bilag 3 Vægtning: 7 % Konkurrencekravet: Kan Leverandøren understøtte MTU 9216? Bilag 3 Leverance- og ydelsesbeskrivelse Side 23/37

24 Beskrivelse af konkurrencekravet: Det vægtes positivt og tildeles 8 point, såfremt dette krav opfyldes. Opfyldes kravet ikke tildeles 0 point. Leverandørens besvarelse (Ja/Nej): (Besvares i bilag 9) IPv6 support Det er et krav, at Leverandøren understøtter routning af IPv6 trafik i de logiske net med den givne båndbredde og med samme routningsprotokoller som understøttet i IPv Kapacitet og redundans Sortiment af WAN forbindelser Det er et krav, at Leverandøren kan levere WAN forbindelser med følgende kapacitet: Kapacitet Fremføring til Kundens lokation Kundevendt interface på CPE Kategori 1 10 Mbit/sek. Valgfri for Leverandøren Kobber Kategori Mbit/sek. Fiber Fiber eller kobber Kategori 3 1 Gbit/sek. Fiber Fiber eller kobber Kategori 4 2 Gbit/sek. Fiber Fiber Kategori 5 5 Gbit/sek. Fiber Fiber Kategori 6 10 Gbit/sek. Fiber Fiber Alle WAN forbindelser i kategori 2 til 6 skal være med symmetrisk kapacitet og fremføres til de i bilag 2.1 nævnte lokationer via fiber. For ikke brofaste øer vil der dog være valgfrihed mht. fremføringsteknologi. Den valgte teknologi skal til enhver tid overholde de definerede kvalitetskrav. Leverandøren skal i sin Løsningsbeskrivelse i bilag 9, punkt 2 angive hvilken minimum upload kapacitet, Leverandøren tilbyder for WAN forbindelser i kategori 1. For WAN forbindelser i kategori 4 og 5 skal Leverandøren i sin Løsningsbeskrivelse i bilag 9, punkt 2 beskrive, hvorvidt det kundevendte interface på CPE leveres som et shapet 10 Gbit interface eller som Etherchannel bestående af multible 1 Gbit interfaces. Andre løsninger accepteres ikke. For WAN forbindelser i kategori 2 og 3, hvor det kundevendte interface på CPE kan leveres som fiber eller kobber, er det op til Kunden at beslutte hvilken interfacetype, der skal anvendes. Leverandøren skal levere CPE udstyr med begge interfacetyper. Kunden vil i samarbejde med Leverandøren tage stilling til valget af interfacetype under transitionsprojektet. Bilag 3 Leverance- og ydelsesbeskrivelse Side 24/37

25 4.2.2 Volumen Kundens volumen af de enkelte kategorier af WAN forbindelser fremgår af bilag 2.1. Den samlede volumen vil i Kontraktperioden kunne forøges eller formindskes i takt med, at Kunden etablerer nye Lokationer eller nedlægger eksisterende. Volumen vil indenfor Kontraktperioden kunne forøges ved suppleringskøb jf. Kontraktens punkt 8. Kundens nettovækst på området har inden for de sidste tre år været på 5% Bestilling Det er et krav, at Kunden indenfor Kontraktens løbetid kan foretage bestilling af nye WAN forbindelser indenfor det i punkt nævnte sortiment. Bestilling skal ske via den portalløsning, som Leverandøren jf. punkt 9 skal stille til rådighed for Kunden. Det er et krav, at Leverandøren under afklaringsfasen i samarbejde med Kunden fastlægger hvilke informationer en bestilling skal indeholde for at være gyldig. Samtlige af disse informationer skal kunne indtastes via Leverandørens portallø s- ning og tillige være udformet som en bestillingsblanket, som indgår i Driftshåndb o- gen. Denne bestillingsblanket skal i nødstilfælde kunne anvendes til bestilling f.eks. ved manglende tilgængelighed på Leverandørens portalløsning. Eventuelle bilag til bestilling såsom kort, bygningstegninger eller lignende skal kunne vedhæftes til b e- stillingen på Leverandørens portalløsning. Den dag Kunden afsender bestillingen via Leverandørens portalløsning defineres som Bestillingsdatoen, og Leveringsfristen beregnes herfra. Det er et krav, at Lev e- randøren senest 5 arbejdsdage efter Bestillingsdatoen fremsender Leveringsdatoen indenfor Leveringsfristen til Kunden. Det er et krav, at Leveringsfristen maksimalt udgør 50 arbejdsdage regnet fra Bestillingsdatoen. Garanteret Leveringsfrist Konkurrencekrav nr. 9 til bilag 3 Vægtning: 15 % Konkurrencekravet: Leverandøren skal angive hvor kort en Leveringsfrist, Leverandøren vil garantere. Beskrivelse af konkurrencekravet: Det vægtes positivt jo kortere Leveringsfrist Leverandøren vil garantere. Leveringsfrist på 50 dage (minimumskrav) tildeles 0 point og Leveringsfrist Bilag 3 Leverance- og ydelsesbeskrivelse Side 25/37

26 på 26 dage tildeles 8 point. Alt herimellem fordeles lineært på pointskalaen med 1 point pr. 3 arbejdsdage Leveringsfristen afkortes. Leverandørens besvarelse (udvides efter behov): (Besvares i bilag 9) En WAN forbindelse betragtes som leveret når den i bilag 5, punkt 2 beskrevne overtagelsesprøve er bestået. Såfremt levering af en forbindelse er forsinket ud over Leveringsfristen af grunde, der kan eller hovedsageligt kan henføres til Leverandøren, betaler Leverandøren til Kunden pr. påbegyndt arbejdsdag forsinkelsen varer en bod på 500 kr. pr. forbi n- delse, indtil levering er sket. Dette bodsbeløb kan ikke overstige kr. pr. forbindelse Bindingsperiode og Exit fee For de i punkt nævnte kategorier af WAN forbindelser er der en bindingsperiode på 48 måneder. Kunden kan med 30 dages varsel opsige enhver WAN forbindelse efter udløb af bindingsperioden. Indenfor bindingsperioden kan Kunden tilsvarende opsige enhver WAN forbindelse med 30 dages varsel dog mod betaling af svarende til det i Kontraktens punkt 27.3 beskrevne Exit fee. Ved Kontraktens udløb betaler Kunden tilsvarende Exit fee for de WAN forbindelser, som måtte være i bindingsperiode Op- og nedgradering af kapacitet Det er et krav, at de i punkt nævnte WAN forbindelser i kategori 2 til 6 kan op- og nedgraderes til kapaciteter i det beskrevne sortiment. Nedgradering af en WAN forbindelses kapacitet sker vederlagsfrit for Kunden. Leverandøren kan kræve betaling for opgradering af en WAN forbindelses kapacitet. Evt. vederlag herfor angives i bilag 9. Op- og nedgradering af kapacitet er omfattet af de samme bestemmelser som beskrevet for Bestilling jævnfør punkt Der vil dog ikke være krav om gennemførsel af Overtagelsesprøve i forbindelse med op- og nedgradering af kapacitet. Op- eller nedgradering af kapacitet betragtes som leveret på den dato, hvor Leverandøren skriftligt har klarmeldt WAN forbindelsen med den nye kapacitet til Ku n- den. Leverandøren skal regulere vederlaget for den enkelte WAN forbindelse med virkning fra denne dato. Bilag 3 Leverance- og ydelsesbeskrivelse Side 26/37

27 4.2.6 Opsigelse Det er et krav, at Kunden kan opsige de enkelte WAN forbindelser via den portalløsning, som Leverandøren jf. punkt 9 skal stille til rådighed for Kunden. Den dag Kunden afsender opsigelsen via Leverandørens portalløsning defineres som Opsigelsesdatoen, og betingelser i punkt for varsel og Exit fee beregnes herfra. I forbindelse med opsigelse af en WAN forbindelse er Kunden forpligtet til inden for 20 arbejdsdage efter opsigelsens effektuering, at returnere Leverandørens CPE udstyr til en af Leverandøren oplyst postadresse. Se i øvrigt Kontraktens bestemmelser omkring returnering og erstatningspligt for CPE udstyr Flytning Det er et krav, at Kunden kan bestille flytning af de enkelte WAN forbindelser via den portalløsning, som Leverandøren jf. punkt 9 skal stille til rådighed for Kunden. Flytninger af WAN forbindelser håndteres som bestilling af nye WAN forbindelser jf. punkt dog med den ændring, at den logiske konfiguration på WAN forbindelsen ikke ændres Redundans og alternativ fremføring Det er et krav, at Leverandøren for de i punkt nævnte WAN forbindelser i kategori 3 til 6 kan tilbyde redundans i form af alternativ fremføring til Kundens lokation. De to WAN forbindelser skal føres i adskilte tracéer og fra hver sin PoP/central. De redundant fremførte WAN forbindelser termineres i separat CPE udstyr på kundens lokation Redundans i Leverandørens netværk Det er et krav, at Leverandøren sikrer, at der er fuld redundans mellem sit Access og Core netværk på de lokationer, hvor Kunden efterspørger redundante opkoblinger, forstået således at en redundant PoP opsætning (bestående af 2 access PoPs fra Leverandøren) aldrig samtidig må kunne separeres fra Leverandørens Core netværk ved en enkelt fejl. Leverandøren skal i sin Løsningsbeskrivelse i bilag 9, punkt 2 beskrive på principniveau hvorledes denne redundans sikres (se bilag 2.1 for Kundens redundante lokationer) CPE Det er et krav, at Leverandøren pr. WAN forbindelse leverer én af følgende to muligheder: CPE udstyr leveret som Lag-2 udstyr. Bilag 3 Leverance- og ydelsesbeskrivelse Side 27/37

28 CPE udstyr leveret som Lag-3 udstyr. Leverandørens valgte løsning skal kunne leveres i henholdsvis et redundant setup og i et ikke redundant setup. 4.3 Routning og Protokol Routningsprotokol Det er et krav, at Leverandøren supporterer BGP Routningsprotokol mellem leverandør udstyr (CPE eller PE router) og Kundens Lag-3 udstyr. Der skal understøttes BGP peeringer som vist nedenfor: Ikke redundant setup Kundens L3 router Leverandør L3 CPE Leverandør PE Kundens lokation SP Lokation EBGP peering Figur 1, BGP peering mellem Kundens Lag-3 udstyr og Leverandørens Lag-3 CPE Eller Kundens L3 router Leverandør L2 CPE Leverandør PE Kundens Lokation EBGP peering SP Lokation Figur 2, BGP peering mellem Kundens Lag-3 udstyr og Leverandør PE udstyr Redundant setup Kundens L3 router Leverandør L3 CPE Leverandør PE EBGP peering SP Lokation - A Leverandør PE EBGP peering Kundens lokation SP Lokation - B Figur 3, BGP peering mellem Kundens Lag-3 udstyr og Leverandørens PE udstyr Eller Bilag 3 Leverance- og ydelsesbeskrivelse Side 28/37