19. april 2018 Spørgsmål og svar Kontrakt om levering af logningsløsning Aalborg Universitet
Spørgsmål 1 Jeg vil høre dig, om vi kan få tilsendt 381057 og 381048 i word format? Kravspecifikation for henholdsvis SaaS og on-premise løsning. Svar 1 Versioner i word-format er offentliggjort på Ordregivers hjemmeside. NYE FRISTER Ordregiver har modtaget henvendelser om, hvorvidt kontraktbilagene kan udfyldes af Ordregiver på visse punkter. Dette overvejer Ordregiver, og vil i givet fald offentliggøre nye versioner af kontraktbilag i uge 16. Som en konsekvens heraf ændres fristerne i udbuddet, jf. nedenstående: Dato Aktivitet 23. april Frist for spørgsmål, kl. 14:00 30. april Svar på spørgsmål 7. maj Tilbudsfrist, kl. 14:00 14. maj Forventet meddelelse om tildelingsbeslutning 15. 24. maj Standstill 25. maj Kontraktunderskrift 1. juni Kontraktstart Der gøres opmærksom på, at der kan ske afvigelser fra tidsplanen. Side 2
Spørgsmål 2 Ad) Krav 3.5.1: Hvad er længden af den forventede retention periode for størstedelen af dataene? Svar 2 For størstedelen af logningsdata, forventes arkivering at ske efter 12 mdr. Dermed vil løbende 12 mdr. s logdata være umiddelbart tilgængelig for analyse. Spørgsmål 3 I forbindelse med gennemlæsning af udbudsbetingelserne, vil vi høre om det er muligt at udarbejde en oversigt eller et skema over hvilke kontraktbilag ordregiver ser som relevante for så vidt angår Delaftale 1 og Delaftale 2. Sådan at tilbudsgiver får et klarere billede af hvilke bilag ordregiver ønsker udfyldt for hver delaftale i forbindelse med tilbudsgivningen. Ligeledes må det gerne fremgå hvis nogle bilag først er relevante ved kontraktindgåelsen. Svar 3 Der er indkommet flere spørgsmål vedrørende udfyldelse af kontraktbilagene, hvorfor Ordregiver har overvejet dette, jf. nedenstående oversigt. Det skal understreges, at ved de kontraktbilag, som Ordregiver har udfyldt, skal det udfyldte ikke anses for mindstekrav. Bilag 1 : Bilag 2 : Dette er et centralt bilag, som udgøres af Kravspecifikation plus tilbudsgivers løsningsbeskrivelse Bilag 3 : Bilag 4 : Bilag 5 : Bilag 6 : Bilag 7 : Ordregiver har udfyldt nogle af de tomme felter i dette bilag, og en ny version er offentliggjort på hjemmesiden. Tilbudsgiver bedes udfylde de resterende tomme felter, i det omfang det er relevant. Side 3
Bilag 8 : Ordregiver har udfyldt de tomme felter i dette bilag, og en ny version er offentliggjort på hjemmesiden. Bilag 9 : Bilag 10 : Ordregiver har udfyldt nogle af de tomme felter i dette bilag, og en ny version er offentliggjort på hjemmesiden. Tilbudsgiver bedes udfylde de resterende tomme felter, i det omfang det er relevant. Bilag 11 : Hvad angår oplysninger om personer fra Ordregivers organisation vil Ordregiver udfylde det efter evaluering, da det afhænger af tilbuddets indhold. Bilag 12 : Bilag 13 : Ordregiver har udfyldt nogle af de tomme felter i dette bilag, og en ny version er offentliggjort på hjemmesiden. Tilbudsgiver bedes udfylde de resterende tomme felter, i det omfang det er relevant. Spørgsmål 4 Efter en gennemlæsning af materialet er vi stødt på flere tilfælde i flere af kontraktbilagene hvor kravstillerens formuleringer ikke er afsluttet endeligt, men indeholder [ ]. Initialt kunne man tro, at det er grundet at Leverandøren skal indføre oplysningerne, men der er steder hvor det ikke giver mening. Et eksempel er i dokumenterne for servicemål i begge delaftaler, hvor der står: En overskridelse af en maksimal svartid med mere end [ ] % eller manglende opfyldelse af en opfyldelsesgrad med mere end [ ] procentpoint indebærer, at systemet anses for utilgængeligt fra det tidspunkt, hvor forholdet er skriftligt meddelt leverandøren, og indtil forholdet er afhjulpet. Sker der samtidig overskridelse af en maksimal svartid eller manglende opfyldelse af opfyldelsesgraden for flere forskellige transaktioner, betragtes det kun som en overskridelse. Vi skal naturligvis vurdere risikoen, hvor vi tager bod i betragtning, ved tilbudsgivning. Derfor undrer det, hvis det skulle være tilbudsgiver der har mulighed for at sætte bodsmål o.l. Et andet eksempel er summen for bonus ved en performance, der ligesom ovenstående er udefineret. Side 4
Er der noget vi har overset her? Rekvirerer vi de korrekte dokumenter? Svar 4 Se svar på spørgsmål 3. Spørgsmål 5 Kravspecifikation, afsnit 3: Hvor mange brugere forventes at bruge systemet? Hvilke typer brugere / roller forventes at bruge systemet? Hvor længe forventes log data at skulle gemmes?. Fx 10% i 5 år, 30% i 1 år, 50% i 3 md. Svar 5 Forventeligt vil løsningen benyttes af op til 50 forskellige brugere, dog typisk 1-5 samtidige. Brugeren vil bestå af følgende profiler: Supportmedarbejdere, IT sikkerhedsmedarbejdere, IT infrastrukturmedarbejdere og systemejere. Størstedelen af logdata vil være systemspecifikt, og det vurderes, at mere end 90% arkiveres efter 1 år og det resterende efter maksimalt 5 år. Spørgsmål 6 Kravspecifikation, afsnit 3.3 Det er vores antagelse at agentløst udstyr kan tilgå log management systemet direkte. Hvis ikke antager vi at eventuelle mellemled/servere til dette formål er uden for scope af udbuddet. Venligst bekræft. Svar 6 For en logningsløsning placeret On-premise, vil det være muligt at etablere direkte adgang fra agentløst udstyr. Side 5
Såfremt der er tale om logningsløsning As-a-Service, placeret uden for AAU s netværk, skal der af sikkerhedsmæssige hensyn benyttes en form for proxy. Denne/disse forventes at være en del af scope for udbuddet. Spørgsmål 7 Kravspecifikation, afsnit 3.5.13 Hvad menes med gruppering af logkilder? Er det fx at kunne søge en delmængde af logkilder igennem, eller at få et overblik over alle logkilder? Svar 7 Med gruppering af logkilder forstås muligheden for at kunne søge og analysere på en logisk delmængde af logkilderne. Det kunne tænkes at logningsløsningen fx automatisk kunne gruppere email-, netværks-, database-service, eller gruppering på andre parametre. Spørgsmål 8 Kravspecifikation, afsnit 3.6.2 Kan niveauet af GDPR compliance rapportering uddybes? Svar 8 Med GDPR compliance menes som eksempel en rapport om afvigelse på normalbillede for specifikke systemer, der kunne indikere et muligt sikkerhedsbrud. Eksempelvis en rapport over sikkerhedshændelser inden for de seneste 72 timer. Side 6
Spørgsmål 9 Kravspecifikation, afsnit 3.7.6 Kravet refererer til kravene til audit logs, men det er uklart hvilket. Er der tale om systemets egne audit logs eller audit logs fra andre systemer? Svar 9 Kravet gælder for håndtering af Audit logs fra andre systemer. Spørgsmål 10 Jf. 381032_udbudsbetingelser-logning pkt. 12: Udbudsstilleren ønsker bl.a. kontraktbilag udfyldt. Ud fra følgende beskrivelse, ønskes det besvaret, hvilke kontraktbilag Leverandøren skal udfylde og fremsende, herunder om [ ] samtlige steder skal udfyldes. Det kunne med fordel markeres, der hvor udbudsstilleren ønsker at Leverandøren indfører beskrivelse. a. Efter en gennemlæsning af materialet er vi stødt på flere tilfælde i flere af kontraktbilagene hvor kravstillerens formuleringer ikke er afsluttet endeligt, men indeholder [ ]. Initialt kunne man tro, at det er grundet at Leverandøren skal indføre oplysningerne, men der er steder hvor det ikke giver mening. Et eksempel er i dokumenterne for servicemål i begge delaftaler, hvor der står: En overskridelse af en maksimal svartid med mere end [ ] % eller manglende op-fyldelse af en opfyldelsesgrad med mere end [ ] procentpoint indebærer, at sy-stemet anses for utilgængeligt fra det tidspunkt, hvor forholdet er skriftligt meddelt leverandøren, og indtil forholdet er afhjulpet. Sker der samtidig overskridelse af en maksimal svartid eller manglende opfyldelse af opfyldelsesgraden for flere forskelli-ge transaktioner, betragtes det kun som en overskridelse. Svar 10 Se svar på spørgsmål 3. Side 7