Tekniska krav vid upphandling

Sundsvalls kommunkoncern tillämpar ett ledningssystem för informationssäkerhet (LIS) baserat på ISO/IEC 2700x. Vid upphandling av IT-system ska tekniska och organisatoriska krav säkerställa att informationssäkerhet, tillgänglighet och driftsäkerhet upprätthålls i enlighet med detta ledningssystem.

De krav som anges nedan gäller för IT-system som ska installeras och driftas i kommunens egna datacenter.

Inledning

IT-system som installeras i kommunens infrastruktur ska:

Kunna driftsättas i någon av kommunens fastställda och supporterade driftplattformar
Använda fastställda och supporterade operativsystem
Använda fastställda och supporterade databashanterare, om databas ingår i lösningen

Inför upphandling av IT-system ska informationsklassning och riskbedömning genomföras i enlighet med dessa riktlinjer: Instruktioner för informationssakerhetsklassning och riskanalys

Rekommenderade driftplattformar

Containerplattform – Red Hat OpenShift (senaste supporterad version)
Virtualiserad servermiljö – VMware vSphere (senaste supporterad version)

Krav på containerbaserade lösningar

IT-system bör i första hand levereras som containeriserade applikationer
Drift ska ske på kommunens OpenShift-plattform (Workernoder är baserade på RedHat)

Krav på lösningar för hög tillgänglighet (HA) för containerbaserade IT-system

För IT-system som behandlar information med tillgänglighetsklass (2 eller högre) eller som bedöms verksamhetskritiska ska följande krav uppfyllas.

IT-systemet ska:

Kunna köras på kommunens OpenShift-plattform (Workernoder är baserade på RedHat)
Vara designat för drift i containerorkestrerad miljö (Kubernetes/OpenShift) med stöd för flera samtidiga instanser (replikor) av applikationen
Kunna köras med minst två replikor per applikationskomponent utan funktionella begränsningar
Vara tillståndslöst (stateless) i applikationslagret, alternativt ha tillstånd hanterat via externa, redundanta tjänster (t.ex. databaser, köer eller lagring)
Stödja lastbalansering mellan instanser via plattformens inbyggda mekanismer (t.ex. OpenShift Routes/Services)

IT-systemet ska inte:

Vara beroende av enskild pod, nod eller container för korrekt funktion
Kräva manuell åtgärd för återstart vid bortfall av en containerinstans (replika)

Krav på zon- och datacentermedvetenhet

För IT-system som behandlar information med tillgänglighetsklass (2 eller högre) eller som bedöms verksamhetskritiska, ska IT-systemet:

Stödja spridning av replikor över flera noder och availability zones
Inte ha tekniska beroenden som förhindrar drift över geografiskt separerade driftställen
Ha dokumenterade krav och begränsningar avseende latens mellan zoner

Krav på uppdateringar och förändringar (HA under drift)

IT-systemet ska:

Stödja rullande uppdateringar (rolling updates) utan total tjänsteavbrott
Kunna uppdateras utan krav på planerade driftstopp, eller tydligt ange vilka begränsningar som finns

Krav på VMware-baserad drift

IT-system som driftas på kommunens VMware-plattform ska:

Stödja drift i klustrad miljö (HA/DRS) inklusive vMotion
Kunna säkerhetskopieras med snapshot-baserade backuplösningar
Stödja centraliserad loggning och övervakning

IT-systemet får inte:

Kräva dedikerad fysisk hårdvara
Kräva avsteg från kommunens säkerhetsinställningar i VMware-miljön
Kräva hypervisoradministrativa rättigheter

Supporterade operativsystem (gäller applikationer som körs på VMware plattformen)

Red Hat Enterprise Linux 9.x
Microsoft Windows Server 2022 eller senare

Supporterade databaser (gäller inte databaser i Containerplattformen)

Microsoft SQL Server 2022 eller senare (senaste supporterade version)
MariaDB, PostgreSQL och MongoDB (senaste supporterade version med RHEL 9.x)

Generellt krav på Bilaga

Vid upphandling ska följande bilaga avkrävas.

Teknisk beskrivning

Leverantören ska tillhandahålla en teknisk beskrivning enligt följande:

Inkomma med en fullständig teknisk beskrivning av den erbjudna lösningen.
Beskriva samtliga ingående komponenter i lösningen
Redovisa samtliga tekniska förutsättningar som krävs för driftsättning, användning och förvaltning av lösningen, och som kommunen ska tillhandahålla.
- Ange vilka driftmiljöer som stöds.
- Ange vilka operativsystem som stöds.
- Ange vilka databaser som stöds.
- Specificera kapacitetskrav, inklusive men inte begränsat till:
  - RAM
  - CPU
  - Nätverkskrav
  - Lagringsbehov
Beskriva samtliga systemintegrationer som ingår i lösningen.
- Eventuella avvikelser från Kommunens integrationsregler Länk till annan webbplats.ska dessa framgå i den tekniska beskrivningen
Redogöra för hur nätverkstrafik initieras, styrs och hanteras mellan berörda system.

För IT-system som behandlar information med tillgänglighetsklass (2 eller högre) eller som bedöms verksamhetskritiska, ska den tekniska beskrivningen också innehålla:

Arkitekturbeskrivning för hög tillgänglighet (HA-lösning)
Beskrivning av hur HA-lösningen stödjer drift över minst två geografiskt separerade driftställen (availability zones)
Beskrivning av åtgärder för att säkerställa kontinuitet vid incidenter

Avvikelsehantering

Avvikelser från dessa krav ska dokumenteras, riskbedömas och godkännas av styrgruppen för Digital- och IT-infrastruktur innan upphandling eller innan om beslut om tilldelning/avtalsskrivande.

Fortsätt utforska

Målbild och strategi

"I Sundsvalls kommun använder vi digitaliseringens möjligheter för att förbättra kvaliteten och öka tryggheten i den kommunala servicen. Genom att vi effektiviserar den kommunala verksamheten frigör vi tid och resurser för att stärka demokratin, öka delaktigheten och självständigheten hos Sundsvalls invånare." Så lyder den politiskt beslutade målbilden för digitalisering, en målbild som sätter värde hos invånare och företagare i centrum. Utifrån målbilden finns även en strategi för en hållbar digital utveckling som tar sikte mot 2030.
Instruktioner för informationssäkerhetsklassning och riskanalys

En informationssäkerhetsklassning innebär att man värderar hur viktig informationen är för verksamheten och i samband med det tilldelar informationstillgången en skyddsnivå.
Integrationsregler

Nedan regler gäller generellt för integrationer för molntjänster och/eller applikationer på Internet, kommunens DMZ eller bolags nät och in mot eller ut från system eller applikationer på kommunens administrativa nät. De gäller oavsett om vi upphandlar lösningar eller bygger lösningarna själva. Specifika integrationsregler för t ex federering och IoT beskrivs separat.