Bilag 18, Revisionsstandard og audit

Transkript

1 Bilag 18, Revisionsstandard og audit Version Ændringer Dato 2.1 Ændret i - Punkt Krav Krav Krav Krav Krav Krav Krav Krav Krav tilføjet - Vejledning til udfyldelse - Complianceliste Ophøjet til version

2 2 Indholdsfortegnelse Indholdsfortegnelse... 2 Vejledning til udfyldelse Indledning Underbilag Revisionserklæring vedrørende sikkerhed Intern audit Ekstern audit Videregivelse af revisionserklæringer og auditrapporter Complianceskema... 11

3 3 Vejledning til udfyldelse De behov, som tilbuddet skal dække, er klassificeret og beskrevet som krav. Alle krav er indsat i en kravskabelon, hvor selve kravet fremgår af feltet. Kravtitel og Kravområde er vejledende information til tilbudsgiver som har til formål at danne grundlag for en logisk gruppering af krav. I feltet Delleverance angives vejledende, hvilken eller hvilke bestemte Delleverancer eller Optioner, kravet vedrører. For krav som vedrører alle dele af Projektet angives ingen værdi i feltet Delleverance. Kravtypen kan antage en af følgende værdier: Kravtype Markering af kravtype Betydning Mindstekrav Værdi: MK Mindstekrav skal opfyldes uden forbehold for, at et tilbud kan være konditionsmæssigt Prioriteret krav Værdi: PK Prioriterede krav har stor betydning for opfyldelse af de forretningsmæssige mål, og tillægges derfor særlig vægt ved vurdering af de afgivne tilbud. Krav Værdi: K Almindelige krav, som bidrager til opfyldelse af de forretningsmæssige mål. Tilbudsgiver kan angive alternative forslag til disse krav i form af forbehold. For krav som stilles til Agile Delleverancer, angives i feltet Agil kravtype, om kravet er et Absolut Krav eller et Øvrige Krav som defineret i Bilag 0. Alle krav er nummereret på 2. niveau, med foranstillet bilagsnummer, jf. nedenstående eksempel: Kravnr. 1.1 Kravtitel Eksempel på krav Kravtype K Kravområde Eksempel Agil kravtype Øvrige krav Delleverance Leverandøren skal tage dette krav til efterretning Vejledende tekst i bilag I bilagene er der imellem de konkrete krav visse steder indføjet vejledende tekst. Vejledende tekst er unummereret generel tekst til tilbudsgivers orientering. Dette illustreres med følgende eksempel: Dette bilag indeholder Kundens specifikation af krav til Systemets funktion og virkemåde. Tilbudsgivers løsningsbeskrivelse

4 4 Tekst omgivet af firkantede parenteser og angivet med fed og kursiv skrift er vejledende tekst til tilbudsgiver om, hvad tilbudsgiver med egne ord skal beskrive i tilbuddet. Dette illustreres med følgende eksempel: [Tilbudsgiver beskriver opfyldelsen af kravet i underbilag X.X.] Angivelse af kravsopfyldelse Alle bilag, som indeholder krav til Leverandøren, afsluttes med et complianceskema, hvor tilbudsgiver skal angive hvilke krav, der opfyldes af det afgivne tilbud, og om der er taget forbehold i form af ændring af kravteksten. Ved udfyldelsen af complianceskemaerne placeret sidst i bilaget skal tilbudsgiver for hvert krav angive med afkrydsning, om kravet er opfyldt, om kravet er opfyldt med forbehold i form af ændret kravtekst, eller om kravet ikke er opfyldt. Eksempel på udfyldt complianceskema: Krav nr. Kravet er opfyldt Kravet er opfyldt med forbehold i form af ændret kravtekst Kravet er ikke opfyldt Delkriterie 1.1 X Tidsplan 1.2 X Tidsplan 1.3 X Tidsplan 1.4 X Såfremt et krav er opfyldt uden forbehold skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og Kravet er opfyldt. Mindstekrav er i complianceskemaerne markeret med grå og er på forhånd afkrydset i kolonnen "Kravet er opfyldt", idet enhver anden afkrydsning fører til, at tilbuddet er ukonditionsmæssigt. Såfremt tilbudsgiver tager forbehold til et krav, der ikke er et mindstekrav, indarbejdes forbeholdet direkte i kravteksten som en ændring af denne. Ændringen skal være markeret med ændringsmarkering. Der sættes herudover kryds i complianceskemaet ud for det aktuelle kravnummer i kolonnen Kravet er opfyldt med forbehold i form af ændret kravtekst. Der kan herudover henvises til evt. yderligere bilagsmateriale/dokumentation, der er vedlagt tilbuddet. Såfremt tilbudsgiver vil angive at et krav ikke er opfyldt, skal tilbudsgiver angive dette ved afkrydsning i complianceskemaet ud for det aktuelle kravnummer og i kolonnen Kravet er ikke opfyldt. I complianceskemaets højre kolonne fremgår det, hvilket delkriterie, jf. udbudsbetingelsernes punkt 4, det pågældende krav er relateret til.

5 5 1. Indledning Formålet med bilag 18 Revisionsstandard og audit er at stille krav til it-revision og auditaktiviteter, hvad enten der er tale om Leverandørens interne auditaktiviteter eller Kundens auditering af sikkerhedsforhold og forhold vedr. data og dokumentation. 1.1 Underbilag Dette bilag har følgende underbilag: - Underbilag 18A Fortrolighedserklæring 2. Revisionserklæring vedrørende sikkerhed Systemet og driften heraf skal generelt leve op til best practice vedrørende it-revision og sikkerhedsaudits. Kravnr Kravtitel Indledende it-revision Leverandøren skal inden Overtagelse af Delleverance 0 lade en ekstern statsautoriseret revisor, udpeget af Leverandøren, gennemføre it-revision af de generelle it-kontroller i relation til Driften i overensstemmelse med Revisionsstandard ISAE 3000 eller tilsvarende, med eventuelle nationale tilpasninger. Revisor skal udarbejde en ISAE 3000 erklæring med indhold som ISAE 3402B "Report on the description, design and operating effectiveness of controls at a service organization (referred to in this ISAE as a type 2 report )". Såfremt erklæringen påpeger alvorlige Fejl eller Mangler ved Leverandørens sikkerhedsydelser, skal disse udbedres, inden Overtagelsen kan finde sted. Kunden kan udlevere erklæringen til de myndigheder, institutioner og virksomheder, som Kunden distribuerer data på vegne af, til brug for disses kontrol af DS 484:2005, ISO/IEC eller andre regelsæt. Kravnr Kravtitel Løbende it-revision I hele Kontraktperioden får Kunden én gang årligt den ovenfor beskrevne erklæring vedrørende Systemets sikkerhed, herunder driftssikkerhed. Kunden kan udlevere erklæringen til de myndigheder, institutioner og virksomheder, som Kunden distribuerer data på vegne af, til brug for disses kontrol af DS 484:2005, ISO/IEC eller andre regelsæt.

6 6 Kravnr Kravtitel Indhold af it-revision Såvel den indledende som den løbende it-revision skal dække alle væsentlige krav til Systemet og Driften, herunder men ikke begrænset til: at de krævede planer for beredskab, sikkerhed med videre er udarbejdet og opdateret at de i bilag 16 krævede løbende afprøvninger af beredskab og retablering er udført at resultaterne af de krævede løbende afprøvninger er håndteret tilfredsstillende at data omfattet af Persondataloven opbevares og behandles i overensstemmelse med de fastlagte forskrifter, herunder specifikt opfyldelse af krav , , , 3.47 og 3.48 i Bilag 3. at afgivne rapporter om sikkerhedshændelser mv. har været fyldestgørende og retvisende. at sikkerhedsprocedurer er overholdt i forbindelse med udvikling, drift og ændringshåndtering Kravnr Kravtitel Afhjælpning af problemer Såfremt Leverandørens eksterne statsautoriserede revisor i sin årlige erklæring har fundet anledning til at gøre bemærkninger, kommentering mv., skal erklæringen ledsages af en fyldestgørende handlingsplan, som beskriver hvordan og hvornår, forholdet er bragt i orden. Når forholdet er bragt i orden, skal revisor supplere sin erklæring med bemærkning herom, alternativt udfærdige ny erklæring. Forholdet anses først for bragt i orden, når revisors opdaterede erklæring dokumenterer dette, og denne er overgivet til Kunden. Vurderingen af de kontraktuelle konsekvenser, som de af revisor påpegede forhold giver anledning til, afgøres på grundlag af de konkrete forhold. Dog skal alle forhold, som påpeges af revisor være bragt i orden indenfor rimelig tid under hensyntagen til forholdets væsentlighed. 1 Henvisning til krav udgår, hvis det i bilag 3 angives, at de pågældende krav ikke opfyldes.

7 7 Kravnr Kravtitel Omkostninger til it-revision Omkostninger afholdt til ovenstående revisorerklæring, handlingsplaner, udbedringer og nye revisorerklæringer afholdes fuldt ud af Leverandøren. 3. Intern audit Leverandøren skal etablere og dokumentere systematisk løbende sikkerhedsauditering af Systemet. Kravnr Kravtitel Årlig intern audit Leverandøren skal etablere procedurer for intern audit og mindst en gang om året gennemføre intern audit, der sikrer overholdelse af Leverandørens egne politikker, procedurer, specifikationer og vejledninger. Leverandøren skal beskrive sine procedurer for intern audit og levere dem til Kunden senest ved udgangen af den generelle afklarings- og planlægningsfase. Kravnr Kravtitel Uafhængighed af sikkerhedsorganisation Leverandøren skal sikre, at den interne audit sker uafhængigt af Leverandørens egen sikkerhedsorganisation. Kravnr Kravtitel Periodiske sikkerhedsreviews Leverandøren skal etablere procedurer for periodiske reviews af den tekniske sikkerhedsarkitektur.

8 8 4. Ekstern audit I tillæg til de interne audits har Kunden til enhver tid mulighed for at gennemføre et eksternt review af Systemet og dets sikkerhed. Kravnr Kravtitel Kundens audits hos Leverandøren Kunden har gennem hele kontraktperioden mulighed for at gennemføre audit af Leverandørens Ydelser med henblik på at afdække: Risici for overskridelse af Tidsplanen (bilag 1) og de afgivne tidsestimater, Leverandørens opfyldelse af Kontraktens krav til løbende kvalitetssikring, Leverandørens opfyldelse af kravene til sikkerhed, Leverandørens opfyldelse af servicemålene og målingen heraf og Leverandørens allokerede kapacitet i datacenter til driften af Systemet Leverandøren er forpligtet til at give Kunden eller auditor adgang til Leverandørens driftsmiljø under rimeligt hensyntagen til Leverandørens sikkerhedsforanstaltninger, der dog ikke må være en de facto hindring for adgangen. Leverandøren skal deltage aktivt i samt bistå Kunden og/eller 3. part i forbindelse med gennemførelse af audit herunder stille med relevant og kvalificeret personale og fremlægge al relevant information, dokumentation og programmelkode udarbejdet særligt til Kunden. Disse forhold gælder også for Leverandørens underleverandører og Leverandøren skal sikre, at underleverandørerne loyalt medvirker hertil. Kunden kan herunder kræve, at auditor løbende får adgang til den af Leverandøren på tidspunktet for audit udviklede kildekode og udarbejdet dokumentation med henblik på at kontrollere kvaliteten heraf. I tilknytning hertil kan Kunden anmode Leverandøren om for samtlige aktiviteter, der direkte eller indirekte bidrager til Kontraktens opfyldelse, herunder Kundens deltagelse, at udarbejde en detaljeret ressourceplan. Kravnr Kravtitel Scope for eksterne audits hos Leverandøren Et eksternt audit kan omhandle hele Leverancen og de Løbende Ydelser eller dele af Leverancen, såsom data og dokumentation. Audit kan også omfatte en kontrol af, hvorvidt Leverandøren opfylder kravene til indsigt i den Agile Metode, jf. punkt , herunder hvorvidt manglende opfyldelse af kravene til indsigt kan have betydning for Leverandørens opfyldelse af Kontrakten.

9 9 Kravnr Kravtitel Honorering af medvirken ved audits Hver Part er forpligtet til i rimeligt omfang og uden særskilt vederlag at yde auditor den bistand, der er nødvendig til gennemførelse af audit, herunder ved at give auditor adgang til relevante lokaliteter og oplysninger. Omkostningerne til den uvildige sagkyndige afholdes af den rekvirerende Part, jf. dog krav Kravnr Kravtitel Konsekvenser af audit Leverandøren skal dokumentere og eftervise over for Kunden at konstaterede Mangler er blevet udbedret inden for 10 dage fra konstateringen ellers betragtes dette som en Kvalificeret Fejl. Audit indebærer ingen begrænsning i Leverandørens ansvar for at opfylde kravene i Kontrakten. Såfremt en gennemført audit giver anledning til ændringer i Systemet eller i Kontrakten, gennemføres disse i overensstemmelse med Kontraktens punkt 13 og Kontraktens punkt Kravnr Kravtitel Udbedring for Leverandørens regning Eventuelle opdagelser fra sikkerhedsaudits hvor Leverandøren ikke efterlever det i Kontrakten aftalte sikkerhedsniveau medfører, at Leverandøren er forpligtet til for egne midler at rette fundne Fejl så sikkerhedsniveauet er i overensstemmelse med det i Kontrakten angivne. Kravnr Kravtitel Fortrolighedserklæringer fra 3. part Såfremt der anvendes en 3. part i forbindelse med sikkerhedsaudit, skal 3. part underskrive en fortrolighedserklæring som er vedlagt som underbilag 18A, såfremt Leverandøren kræver det og kan godtgøre, at der er tale om at 3. part vil få adgang til firmafortrolige informationer.

10 10 5. Videregivelse af revisionserklæringer og auditrapporter Kunden kan få behov for at videregive oplysninger om sikkerhedshændelser og -audits til andre myndigheder eller andre 3. parter. Kravnr Kravtitel Kundens videregivelse af informationer Kunden har ret til at videregive specifikke sikkerhedshændelser og sikkerhedsrapporter samt resultatet af audits som beskrevet i nærværende bilag til relevante eksterne aktører, herunder Registermyndighederne og deres revisorer. Kravnr Kravtitel Gennemførelse af audit Audit gennemføres af en uvildig sagkyndig, der udpeges i overensstemmelse med bestemmelserne i Kontraktens punkt Den uvildige sagkyndige afgørelse er endelig og bindende for begge Parter. Tvister om fortolkning af Kontrakten og andre juridiske spørgsmål kan ikke afgøres af den sagkyndige. Audit skal ske med 10 Arbejdsdages varsel via Meddelelse og maksimalt fire gange årligt. Såfremt Leverandøren har overskredet en frist for Overtagelse, driftsprøve, eller Leverandøren erkender at ville komme til at overskride en sådan frist, kan der gennemføres audit hos Leverandøren ud over det anførte maksimale antal gange pr. år. Omkostningerne til den uvildige sagkyndige afholdes i dette tilfælde af Leverandøren. Audit skal så vidt muligt tilrettelægges, så den er til mindst mulig gene for Leverandørens arbejde og Kontraktens opfyldelse.

11 11 6. Complianceskema Krav nr. Kravet er opfyldt Kravet er opfyldt med forbehold i form af ændret kravtekst 18.1 (MK) X 18.2 (MK) X 18.3 (MK) X 18.4 (MK) X 18.5 (MK) X 18.6 (MK) X 18.7 (MK) X 18.8 (MK) X 18.9 (MK) X (MK) X (MK) X (MK) X (MK) X (MK) X (MK) X (MK) X Kravet er ikke opfyldt Delkriterier