TEKNINEN IT-KONSULTOINTI Sivu 1 Oppijan palvelukokonaisuuden tietoturvan testauspalvelut 1. PERUSTIEDOT Opetushallitus pyytää tarjoustanne tämän tarjouspyynnön ja sen liitteiden mukaisesti. Tämä tarjouspyyntö perustuu Hansel Oy:n (jäljempänä Hansel) puitejärjestelyyn joka koskee Teknistä IT-konsultointia (jäljempänä puitejärjestely ). Kevennetty tarjouskilpailu järjestetään Teknistä IT-konsultointia koskevan puitejärjestelyn sisäisenä tarjouskilpailuna. Tarjouskilpailussa noudatetaan hankintalain (348/2007) 32 :ssä tarkoitettua menettelyä. Tarjouspyyntö on lähetetty kaikille seuraavan puitejärjestelyn toimittajille: Puitejärjestely Tekninen IT-Konsultointi: Tietoturvallisuuskonsultointi Tarjouksen pyytäjä valitsee kevennetyn kilpailutuksen perusteella kokonaistaloudellisesti edullisimman tarjouksen ja tekee voittaneen tarjoajan kanssa puitesopimukseen perustuvan asiakassopimuksen. 2. HANKINNAN KOHDE, LAAJUUS JA HINNOITTELU Opetushallitus on opetusalan tietokeskus, joka tarjoaa korkealaatuisia tieto- ja asiantuntijapalveluja. Opetushallituksen toiminta on Valtioneuvoston asetuksen tietoturvallisuudesta valtionhallinnossa (681/2010) edellyttämällä perustasolla koko organisaatiossa sekä tietoturvallisuuden korotetun tason mukaista erikseen määritetyissä toiminnoissa, jotka sitä vaativat. Opetushallitus on uusimassa kansallisia tietojärjestelmäpalveluitaan. Palvelukokonaisuus syntyy vaiheittain osana SADe-ohjelman oppijan verkkopalvelukokonaisuutta. Jokainen palveluun kehitettävä uusi ominaisuus edellyttää tietoturvatestausta. Hankinnan tavoite Hankinnan tavoitteena on hankkia SADe-ohjelmassa kehitettävälle Oppijan palvelukokonaisuudelle tietoturvallisuuskonsultoinnin asiantuntijaresursseja teknisen ja toiminnallisen tietoturvallisuuden varmistamiseen liittyviin tehtäviin vuosien 2013 2015 väliseksi ajaksi. Tehtävät liittyvät tietojärjestelmien ja ohjelmistojen teknisen ja toiminnallisen tietoturvallisuuden testaukseen sekä tietoturvan asiantuntijapalveluihin. Tarkoituksena on, että tilaaja saa testauksista kattavan raportin tarkastettavan kohteen tietoturvallisuuden tasosta, vaatimustenmukaisuudesta sekä ohjeet korjausten tekemiseen.
TEKNINEN IT-KONSULTOINTI Sivu 2 Palvelukokonaisuus on kuvattu liitteessä 5. Hankinnan kohde Tarjouspyynnön kohteena on asiantuntijatyö tietoturvan laadunvarmistamiseksi edellä kuvattuun hankkeeseen. Tarjoajan tulee tarjota viisi (5) nimettyä asiantuntijaa. Mikäli toimittaja ei tarjoa viittä (5) asiantuntijaa, niin tarjous hylätään. Toimittajalta edellytetään, että vähintään yksi nimetyistä asiantuntijoista on käytettävissä kahden viikon kuluessa asiakkaan tilauksesta. Tämän lisäksi Opetushallitus voi tilata muita (ei-nimettyjä) asiantuntijaresursseja tarjouskilpailun voittaneelta toimittajalta. Opetushallituksella ei kuitenkaan ole määräostovelvoitetta. Kyseessä ei ole yksinoikeus palvelukokonaisuuden tietoturvatestaukseen, joten Opetushallitus voi tilata vastaavia palveluita kolmansilta osapuolilta erillisen kilpailutuksen kautta. Hankittava asiantuntijapalvelu voi olla muun muassa seuraavaa: - Järjestelmän tai sen osan tietoturva-auditointi vaatimusmäärittelyjä ja yleisiä tietoturvavaatimuksia ja tunnettuja haavoittuvuuksia (Vahti 2/2010, Katakri, ISO 27001, COBIT, OWASP jne.) vasten, kuten: o Web-sovelluksen tai sen osan tietoturvatestaus automatisoitujen työvälineiden avulla o Sovelluksen koodin tietoturvatarkastus - Palveluun liittyvän alustaratkaisun tai muun tietoteknisen infrastruktuurin kuten tietoverkon tietoturvatarkastus - Järjestelmään liittyvien prosessien ja dokumentaation tietoturvan kehittäminen, laadunvarmistus ja tarkastus - Järjestelmään liittyvän alihankkijan tietoturvatarkastus - Muut mahdolliset tietoturvallisuuskonsultointiin kuuluvat asiantuntijatyöt Tarjouksessa nimettyjen asiantuntijoiden osaamista koskevat kompetenssivaatimukset Tarjouksessa nimettyjen asiantuntijoiden kompetenssivaatimukset ja lomakkeen täyttöohjeet on kuvattu liitteessä 2 (Kompetenssivaatimukset). Jokaisen yksittäisen asiantuntijan tulee täyttää liitteessä 2 (Kompetenssivaatimukset) kuvattujen kyvykkyyksien pakolliset vähimmäisvaatimukset. Jos asiantuntijoiden vähimmäisvaatimukset eivät täyty, niin tarjous hylätään. Liitteeseen 2 (kompetenssivaatimukset) tulee pakollisten vähimmäisvaatimusten lisäksi kuvata laadullisiin pisteisiin vaikuttavat tekijät. Asiantuntijan kompetenssi pisteytetään pakollisten vähimmäisvaatimusten ylittävästä erityisosaamisesta. Liitteessä 3 (Asiantuntijan CV) tulee esittää tarkennuksia asiantuntijoiden osaamisesta edellä mainittujen kyvykkyyksien osalta. Pisteytys tehdään kuitenkin liitteessä 2 kuvattujen tietojen perusteella. Pakolliset vähimmäisvaatimukset: - CISA, CISSP, CISM tai vastaava henkilökohtainen sertifikaatti
TEKNINEN IT-KONSULTOINTI Sivu 3 - Vähintään Hansel-puitesopimuksessa kuvattu osaamistaso 2 - Kokemus web-sovellusten tietoturva-auditoinnista (vähimmäisvaatimus 2 vuotta) - Kokemus koodin tietoturvatarkastuksesta (vähimmäisvaatimus 2 vuotta) - Kokemus alustaratkaisun tai muun tietoteknisen infrastruktuurin kuten tietoverkon tietoturvatarkastuksista (vähimmäisvaatimus 1 vuosi) - Kokemus haavoittuvuustestaustyökalujen käytöstä (vähimmäisvaatimus 1 vuosi) - Kokemus tietojärjestelmän auditoinnista yleisimpiä tietoturvastandardeja, -suosituksia ja -vaatimuksia (Vahti 2/2010, Katakri, ISO 27001, COBIT jne.) vasten (vähimmäisvaatimus 1 vuosi) - Kokemus tietojärjestelmään liittyvien prosessien ja dokumentaation tietoturvan kehittämisestä, laadunvarmistuksesta ja tarkastuksesta (vähimmäisvaatimus 1 vuosi) - Kokemus SOA-palveluiden tietoturvatestauksesta (vähimmäisvaatimus 1 projekti) - Kokemus uusien palvelukokonaisuuteen integroituvien palveluiden tietoturvatestauksesta (vähimmäisvaatimus 1 projekti) - Kokemus auditointivastuusta (vähimmäisvaatimus 1 projekti) Hankittavan asiantuntijatyön laajuus ja aikataulu - Asiantuntijaresurssien tarve ajoittuu vuosille 2013 2015 - Hankittavan palvelun laajuus riippuu palveluun kehitettävien ominaisuuksien määrästä. Kokonaismäärän on arvioitu olevan noin 75 150 htp. - Kilpailutuksessa käytetään vertailun vuoksi kiinteää 100 htp:n työmäärää - Tilaajalla ei ole määräostovelvoitetta - Alustavan arvion mukaan työkuorma sopimuskaudella voi vaihdella merkittävästi eri työviikkojen välillä. Työkuorma riippuu muun muassa hankkeen vaatimusten täyttävien ja testaukseen päätyvien sovellusten määrästä. - Toimittajalta edellytetään, että vähintään yksi nimetyistä asiantuntijoista on käytettävissä kahden viikon kuluessa asiakkaan tilauksesta. - Tilaaja ilmoittaa toimittajalle kaksi kuukautta etukäteen, kun resurssitarpeen ennakoidaan oleellisesti alenevan. - Toimittaja tekee jokaisesta tilauksesta erillisen työsuunnitelman ja työmääräarvion, jonka Tilaaja hyväksyy ennen työn suorittamista. Tarkemmat sopimusehdot on kuvattu liitteessä 5 (Asiakaskohtainen sopimus) ja Hanselin teknisen IT-konsultoinnin puitesopimuksessa. Työn suorittamisen paikka ja välineet - Hankittavien asiantuntijapalveluiden työn suorituspaikasta sekä näiden kustannuksista sovitaan liitteessä 5 (Asiakaskohtainen sopimus). - Tilaaja ei korvaa matkakustannuksia. - Asiantuntijat käyttävät pääasiassa omia työvälineitään ellei toisin sovita.
TEKNINEN IT-KONSULTOINTI Sivu 4 Kieli, jolla työ toteutetaan Tietoturvavaatimukset - Kaikki Toimittajan työt toteutetaan suomen kielellä - Asiantuntijapalveluiden, raporttien ja dokumenttien kieli on suomi - Toimittajalta edellytetään tietoturva-asetuksen 681/2010 perustason tietoturvallisuutta hankinnan kohteena olevien palvelujen tuottamisessa. - Toimitettavan aineiston (tietoturvaraportit, muu dokumentaatio) luokittelusta ja turvallisesta toimituksen käytännöistä sovitaan ensimmäisessä suunnittelukokouksessa. 3. TARJOUKSEN SISÄLTÖ JA VAATIMUKSET Tarjoajan on liitettävä tarjoukseensa: tarjouspyynnön Liite 1 (Hinnat) täytettynä o liitteestä 1 tulee selvitä viiden (5) tarjouspyynnön vaatimukset täyttävän nimetyn asiantuntijan päivähinnat ja vertailuhinta. tarjouspyynnön Liite 2 (Kompetenssivaatimukset) täytettynä o liitteessä 2 luetellaan nimettyjen asiantuntijoiden pakolliset vähimmäisvaatimukset ja erityisosaaminen ja työkokemus. tarjouspyynnön Liite 3 (Asiantuntijan CV) täytettynä jokaisen nimetyn asiantuntijan osalta. Nimetyn asiantuntijan CV-lomakkeen tulee sisältää tarkemmat tiedot Liitteessä 2 kuvatuista pakollisista vähimmäisvaatimuksista ja erityisosaamisesta. Tiedot tulee kuvata selkeästi. Mikäli tietoturvasertifikaatti on jokin muu kuin Liitteessä 2 mainittu, tulee Tarjoajan liittää tarjoukseen kuvaus asiantuntijan sertifikaatista Liitteen 3 yhteyteen. selvitys tarjoajan palvelun toteuttamiseen osallistuvista alihankkijoista. Tarjoaja voi tarjota vain puitesopimuksen mukaisia alihankkijoita. 4. HINNAT JA HINNOITTELUPERUSTEET Tarjouksessa on ilmoitettava tarjouspyynnön Liitteessä 1 vaadittujen Tietoturvallisuuskonsultointipalveluiden asiantuntijakohtaiset päivähinnat ilman arvonlisäveroa. Asiantuntijoiden tulee olla samat kuin Liitteessä 2. Tarjotut hinnat eivät voi ylittää niitä enimmäishintoja, joista tarjoajan ja Hanselin välisessä Teknistä IT-konsultointia koskevassa puitesopimuksessa on sovittu. Hinnat vertaillaan asiantuntijakohtaisen päivähintojen keskiarvojen ja laskennallisen kokonaistyömäärän perusteella. 5. TARJOUSTEN ARVIOINTI JA HANKINTAPÄÄTÖKSEN VALINTA- JA VERTAILUPERUSTEET Tarjouksista valitaan kokonaistaloudellisesti edullisin tarjous huomioiden seuraavien vertailutekijöiden painoarvot: Hinta 50 %
TEKNINEN IT-KONSULTOINTI Sivu 5 Vertailuhinta, jossa huomioidaan viiden (5) nimetyn asiantuntijan keskimääräinen päivähintahinta 100 htp:n ajalle (päivähinta x 100 / 5). Vertailussa halvin tarjous saa 100 pistettä. Muut tarjoukset pisteytetään kaavalla: halvin hinta / vertailtava hinta x 100 pistettä. Laatu 50 % Pisteet muodostuvat neljästä alakriteeristä, joista saatava yhteispistemäärä on 0-8 pistettä per asiantuntija. Alakriteereistä saatavat pisteet ovat seuraavat: o Asiantuntemuksen taso: taso 2 = 0 pistettä taso 3 = 1 pistettä taso 4 = 2 pistettä o Kokemus SOA-palveluiden tietoturvatestauksesta: kokemus alle kaksi projektia = 0 piste kokemus kaksi (2) neljä (4) projektia = 1 piste kokemus yli neljä (4) projektia = 2 pistettä o Kokemus uusien palvelukokonaisuuteen integroituvien palveluiden tietoturvatestauksesta: kokemus alle kaksi projektia = 0 piste kokemus kaksi (2) neljä (4) projektia = 1 piste kokemus yli neljä (4) projektia = 2 pistettä o kokemus auditointivastuusta kokemus alle kaksi projektia = 0 piste kokemus kaksi (2) neljä (4) projektia = 1 piste kokemus yli neljä (4) projektia = 2 pistettä Vertailussa huomioidaan laadullisten pisteiden keskiarvo (nimettyjen asiantuntijoiden yhteenlasketut pisteet jaettuna viidellä). Vertailussa korkeimman pistemäärän saanut tarjous saa 100 pistettä. Muut tarjoukset pisteytetään kaavalla: Tarjoajan pisteet / korkeimman pistemäärän saanut tarjous x 100 pistettä. 6. SOPIMUSKAUSI JA MUUT SOPIMUSEHDOT Sopimuskausi alkaa asiakaskohtaisen sopimuksen tultua allekirjoitetuksi ja päättyy ilman irtisanomista sopimusvelvoitteiden tultua suoritetuiksi tai viimeistään 7.8.2015. Molemmilla sopijapuolilla on oikeus irtisanoa sopimus kolmen (3) kuukauden irtisanomisajalla kuitenkin siten, että toimittaja suorittaa loppuun jo tilatut toimeksiannot. Resurssit ja toimitusaika Alustavan arvion mukaan työkuorma sopimuskaudella voi vaihdella merkittävästikin eri työviikkojen välillä. Toimittajalta edellytetään, että vähintään yksi nimetyistä asiantuntijoista on käytettävissä kahden viikon kuluessa asiakkaan tilauksesta. Tilaus-/toimitussyklistä voidaan sopia erikseen asiakaskohtaisessa sopimuksessa.
TEKNINEN IT-KONSULTOINTI Sivu 6 Laskutusosoite Palvelut laskutetaan asiakkaalta, kun ne on hyväksytysti vastaanotettu. Laskutusosoite/-osoitteet: Verkkolaskuosoite: Verkkolaskuosoite (OVT-tunnus): 003708297312 Y-tunnus: FI0829731-2 Verkkolaskuvälittäjä/välittäjätunnus: Itella Information Oy / 003710948874 Itellan yhteystiedot: puh 020 538 8500, helpdesk@itella.com Asiakaskohtaisen sopimuksen (tarjouspyynnön liite 5) lisäksi sopijapuolten välillä noudatetaan valtionhallinnon Teknistä IT-konsultointia koskevaa puitesopimusta. 7. LUOTTAMUKSELLISUUS Tarjousasiakirjat ovat lähtökohtaisesti julkisia sopimuksen syntymisen jälkeen. Jos jokin osa tarjouksen materiaalista sisältää tarjoajan käsityksen mukaan liiketai ammattisalaisuuden johdosta luottamuksellista materiaalia, tulee tällainen materiaali toimittaa erillisellä liitteellä ja merkitä liite luottamukselliseksi. Hinta ei ole liike- tai ammattisalaisuus. Tarjousten avaustilaisuus ei ole julkinen. 8. LISÄKYSYMYKSET JA MUUT HANKINTAAN LIITTYVÄT TIEDOT Tarjoaja voi tehdä tarjouspyyntöön liittyviä kysymyksiä. Kysymykset tulee toimittaa osoitteeseen esa.keranen@oph.fi viimeistään 4.10.2013 kello 16:15. Tarjoajaa pyydetään ilmoittamaan viestissä yhteyshenkilönsä sähköpostiosoite. Kirjallisesti esitettyihin kysymyksiin vastataan keskitetysti. Opetushallituksen vastaukset kysymyksiin ovat nähtävissä 10.10.2013 jälkeen osoitteessa: https://confluence.csc.fi/display/oppija/kilpailutukset ja ne toimitetaan suoraan sähköpostitse kaikille puitesopimustoimittajille, joille tarjouspyyntö on toimitettu. 9. TARJOUSTEN JÄTTÄMINEN JA VOIMASSAOLO Tarjousten tulee olla perillä 17.10.2013 klo 16:00 mennessä. Myöhästyneet tarjoukset suljetaan tarjouskilpailun ulkopuolelle. Tarjouksen tulee olla voimassa 17.12.2013 saakka. Tarjoukset tulee toimittaa suomen kielellä. Tarjouksen toimitusosoite: Opetushallitus Kirjaamo PL 380 00531 HELSINKI Kuoreen merkintä: Oppijan verkkopalvelukokonaisuuden Tietoturva-auditointi (Dnro 18/021/2013). Kuoressa on ilmoitettava myös tarjoavan yrityksen nimi.
TEKNINEN IT-KONSULTOINTI Sivu 7 Pyydämme tarjouksenne allekirjoitettuna suljetussa kuoressa kolmena kappaleena sekä kolmella muistitikulla. Liitteet 1 ja 2 tulee toimittaa sähköisesti. Tiedostojen tulee olla muokattavassa (Excel, Word) muodossa. 10. ALLEKIRJOITUKSET OPETUSHALLITUS Raakel Tiihonen johtaja Erja Nokkanen tietohallintojohtaja TARJOUSPYYNNÖN LIITTEET Liite 1 Liite 2 Liite 3 Liite 4 Liite 5 Hinnat Kompetenssivaatimukset Asiantuntijan CV Opetushallituksen palvelukokonaisuuden kuvaus Asiakaskohtainen sopimus