narzędzie do monitorowania pobrań z systemu sap · web viewt_st01_d3 narzędzie do monitorowania...

Narzędzie do Monitorowania Pobrań z Systemu SAP IT

SpecyfikacjaZapytanie o dostawę i wdrożenie Narzędzia do

Monitorowania Pobrań z Systemu SAP

Właściciel Piotr KozłowskiSpecjalista ds. Bezpieczeństwa Informatycznego

Zatwierdził Bartłomiej SzymczakIT Quality and Security Manager

Wersja 1.0

Data wersji 22.11.2017

Status opublikowany

Klasa bezpieczeństwa dokumentu Publiczny

document.docx Strona 1 z 18

All printed copies are uncontrolled © innogy Business Services Polska Sp. z o.o.

Copyright © innogy BS Polska Sp. z o.o. Jakiekolwiek wykorzystywanie lub utrwalanie niniejszego materiału, w całości lub w części, takie jak sporządzenie fotokopii lub przechowywanie na jakimkolwiek nośniku elektronicznym lub w dowolnej innej formie, wymaga pisemnego zezwolenia upoważnionego przedstawiciela innogy BS Polska Sp. z o.o. i może odbywać jedynie w sposób zgodny z tym zezwoleniem.


Spis treści1 Historia zmian i przeglądów...........................................................................................................................3

2 Słownik pojęć.................................................................................................................................................3

3 Wprowadzenie...............................................................................................................................................5

4 Cel zapytania..................................................................................................................................................6

5 Przedmiot zapytania.......................................................................................................................................6

6 Opis sposobu potwierdzania realizacji wymagań...........................................................................................7

7 Wymagania funkcjonalne dla Narzędzia do Monitorowania Pobrań z Systemu SAP......................................8

8 Wymagania niefunkcjonalne dla Narzędzia do Monitorowania Pobrań z Systemu SAP...............................11

8.1 Technologia realizacji rozwiązania......................................................................................................11

8.2 Bezpieczeństwo rozwiązania...............................................................................................................11

8.3 Wydajność rozwiązania.......................................................................................................................11

8.4 Testowanie rozwiązania......................................................................................................................12

8.5 Integracja rozwiązania........................................................................................................................12

8.6 Utrzymanie systemu...........................................................................................................................12

8.7 Zasady licencjonowania rozwiązania...................................................................................................12

8.8 Wymagania prawne i regulacyjne.......................................................................................................13

9 Wymagania dla procesu obsługi zgłoszeń oraz aktualizacji..........................................................................14

9.1 Klasyfikacja zgłoszeń...........................................................................................................................14

9.2 Okno serwisowe..................................................................................................................................14

9.3 Zasady obsługi zgłoszeń podczas testów.............................................................................................15

9.4 Zasady obsługi zgłoszeń oraz aktualizacji na produkcji.......................................................................15

10 Wymagania dla szkoleń...........................................................................................................................16

11 Wymagania formalne..............................................................................................................................17

11.1 Zapewnienie jakości............................................................................................................................17

12 Załączniki.................................................................................................................................................18




1 Historia zmian i przeglądów

Wersja WykonawcaUwagi

Status Data

0.1W opracowaniu

26.10.2017 Piotr Kozłowski Wersja inicjalna

0.2W opracowaniu

22.11.2017 Piotr Kozłowski Opis wymagań funkcjonalnych i niefunkcjonalnych

0.3W opracowaniu

22.11.2017 Piotr Kozłowski Korekta dokumentu

0.4W opracowaniu

22.11.2017 Bartłomiej Szymczak Korekta dokumentu

1.0Opublikowany

22.11.2017 Piotr Kozłowski Wersja Finalna

2 Słownik pojęć

Pojęcie Znaczenie pojęcia

Czas aktualizacji Czas, jaki upływa od opublikowania przez producenta poprawki/aktualizacji itp. do czasu jej zaimplementowania u Zamawiającego.

Czas naprawy Czas, jaki upływa od czasu zgłoszenia błędu do czasu dostarczenia poprawki usuwającej błąd. Zamawiający dopuszcza tymczasowe zastosowanie obejść, przy czym czas wykorzystania obejścia nie może przekroczyć podwojonego czasu naprawy.

Czas reakcji Czas, jaki upływa od czasu zgłoszenia błędu do Oferenta do chwili nawiązania bezpośredniego kontaktu z Zamawiającym i dostarczenia procedury postępowania odnoszącej się do zgłoszonego błędu.

Dopuszczenie Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają tryb postępowania, którego użycie (lub poniechanie albo zastąpienie alternatywą) jest dopuszczalne pod warunkiem znalezienia uzasadnienia: może, dopuszczalne, akceptowalne, opcjonalnie.

BS PL IT Dział IT w innogy Business Services Polska Sp. z o.o.

Klasa bezpieczeństwa informacji

Określa poziom skutków dla Grupy innogy, jakie może wywołać naruszenie poufności, dostępności lub integralności informacji zawartych w tym dokumencie.




Pojęcie Znaczenie pojęcia

Używane klasy to: niska (informacje publiczne), średnia (informacje do użytku wewnętrznego), wysoka (informacje chronione, przeznaczone dla wskazanych odbiorców) bardzo wysoka (informacje szczególnie chronione o wysokim znaczeniu).

Dokładna charakterystyka klas podana jest w dokumencie polityki tworzenia i utrzymywania dokumentacji procesowej.

MUSI Wymaganie ostre, które musi być spełnione przez system lub Oferenta

Nakaz lub zakaz Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają bezwzględny obowiązek (lub odpowiednio zakaz) opisanego postępowania: musi, jest, ma, wymagane, niezbędne, konieczne, trzeba; nie ma, zabronione, wzbronione, niedopuszczalne, zakazane, niemożliwe, nie

można.

Narzędzie / Rozwiązanie Narzędzie do Kontroli Pobrań w Systemach SAP

Obejście Ograniczenie lub wyeliminowanie wpływu błędu, dla którego pełne rozwiązanie nie jest jeszcze dostępne - na przykład, przez restart niedziałającego elementu konfiguracji.

POWINIEN Wymaganie opcjonalne, które może ale nie musi być spełnione przez system lub Oferenta

SMB System Monitorowania Bezpieczeństwa

SZBI System Zarządzania Bezpieczeństwem Informacji według normy PN-ISO/IEC 27001:2014-12 w BS PL IT

Zalecenie Przytoczone pojęcia (oraz inne im odpowiadające) oznaczają zalecenie wykonywania (lub odpowiednio powstrzymywania się od wykonywania) opisanego postępowania: powinno, należy, zalecane, wskazane, rekomendowane nie należy, należy unikać, nie powinno, niewskazane, niezalecane,

nierekomendowane.

Niezastosowanie się do zalecenia dopuszczalne jest tylko w przypadku, gdy w wyniku przeprowadzonej analizy wykazano, że zastosowanie się do zalecenia jest: niemożliwe, szkodliwe lub niebezpieczne, zbędne, nieracjonalne lub nieefektywne.Uzasadnienie należy udokumentować.




3 Wprowadzenie

Obowiązująca w Dziale IT spółki innogy BS Polska Sp. z o.o. Polityka Bezpieczeństwa Informacyjnego stawia przed zespołem IT m.in. następujące cele bezpieczeństwa:

1. Zapewnienie dostępności usług teleinformatycznych świadczonych przez Dział IT innogy Business Services Polska Sp. z o.o. na poziomie zgodnym z udokumentowanymi wymaganiami klientów spółki.

2. Zapewnienie bezpieczeństwa informacji przetwarzanej w systemach zarządzanych przez Dział IT innogy Business Services Polska Sp. z o.o.

3. Wsparcie realizacji polityki bezpieczeństwa Partnerów Biznesowych. 4. Ochrona kluczowych systemów i elementów infrastruktury IT

Niniejszy projekt ma na celu umożliwienie realizacji tych celów poprzez:

A. Wdrożenie systemu/narzędzia, które pozwoli na kontrolę zdarzeń pobierania/eksportu danych z systemów SAP pod kątem identyfikacji nieautoryzowanych operacji w tym zakresie.

B. Zwiększenie ochrony danych przetwarzanych w systemach SAP oraz bezpieczeństwa procesów biznesowych realizowanych z wykorzystaniem w.w. systemów.

C. Zwiększenie ochrony danych osobowych przetwarzanych w celu realizacji wymagań nowych przepisów RODO.

Krytyczne czynniki sukcesu projektu określono następująco:

1. Dostarczenie, Instalacja i konfiguracja Narzędzia do Monitorowania Pobrań z Systemu SAP2. Udzielenie Zamawiającemu wsparcia w zakresie dostrojenia zakresu monitorowania, tak aby spełnione

zostały określone wymagania techniczne i biznesowe

Niniejszy dokument opisuje cel, architekturę, wymagania funkcjonalne i niefunkcjonalne dla Narzędzia do Monitorowania Pobrań z Systemu SAP. W dokumencie zawarte są wszystkie merytoryczne wymagania związane z zapytaniem ofertowym. Integralną częścią dokumentu są załączniki.




4 Cel zapytania

Celem niniejszego zapytania jest poznanie możliwości oraz warunków dostarczenia i wdrożenia Narzędzia do Monitorowania Pobrań z Systemu SAP spełniającego wskazane wymagania. Wdrożenie opisywanego narzędzia umożliwi sprawną realizację zadań związanych z kontrolą procesu eksportowania danych z systemów SAP, co pozwoli uzyskać następujące korzyści biznesowe:

Zapewnienie zwiększonego poziomu bezpieczeństwa wykorzystania systemów SAP w innogy Minimalizacja ryzyka związanego z nieautoryzowanym dostępem do danych przetwarzanych w

systemach SAP funkcjonujących w innogy Monitorowanie danych wykorzystywanych poza systemem SAP.

5 Przedmiot zapytania

Przedmiotem zapytania jest wykonanie i dostarczenie wymienionych poniżej prac oraz produktów w ramach projektu „Wdrożenie Narzędzia do Monitorowania Pobrań z Systemu SAP”. Podstawowe produkty do zrealizowania i dostarczenia w ramach wymagań niniejszego zapytania ofertowego obejmują:

1. Dostarczenie licencji na Narzędzie do Monitorowania Pobrań z Systemu SAP pozwalającej objąć kontrolą określoną poniżej wariantowo liczbę systemów. Działających w ramach 3 środowisk: SAP HR/HCM, SAP CRM i SAP IS-U. Wariant „DEV+TST+PROD”:

systemy deweloperskie: 4 SID-y systemy testowe: 5 SID-ów systemy produkcyjne: 3 SID-y

Wariant „TST+PROD”: systemy testowe: 5 SID-ów systemy produkcyjne: 3 SID-y

Wariant „PROD”: wyłącznie systemy produkcyjne: 3 SID-y

2. Przeprowadzenie wdrożenia polegającego na: na zainstalowaniu wymaganych komponentów składowych software w infrastrukturze innogy udzieleniu wsparcia przy konfiguracji Narzędzia

3. Przeprowadzenie testów wdrożonego rozwiązania4. Przygotowanie i przeprowadzenie szkolenia w zakresie obsługi i utrzymania wdrożonego Narzędzia dla

maksymalnie 8 administratorów/użytkowników5. Przygotowanie i dostarczenie dokumentacji w formie elektronicznej, w skład której wchodzą:

Instrukcja korzystania z Narzędzia oraz jego konfiguracji i utrzymania (np. wykonywanie kopii zapasowych danych i konfiguracji Narzędzia)

Dokumentacja techniczna powdrożeniowa opisująca zasadę działania Narzędzia, architekturę jego komponentów oraz sposób jego integracji z systemami objętymi skanowaniem

6. Dostarczenie kodu źródłowego rozwiązania, jeżeli jest ono dedykowane dla Zamawiającego lub kodu parametryzacji/konfiguracji rozwiązania wykonanego na potrzeby projektu dla Zamawiającego.




7. Zapewnienie kompleksowego wsparcia w postaci rozwiązywania zgłaszanych błędów dla wdrożonego rozwiązania zgodnie z wymaganiami i standardami Zamawiającego. Wymagania odnośnie realizacji tego wymagania zostały opisane w rozdz. .

8. Zapewnienie uprawnień do aktualizacji zakupionego oprogramowania, a także praw do uzyskiwania poprawek, obejść opracowanych przez producenta dostarczonego oprogramowania i/lub sprzętu.

Dostarczona licencja powinna obejmować wsparcie w zakresie rozwiązywania problemów oraz dostęp do bezpłatnych aktualizacji.

Proponowane opcje licencjonowania, oprócz wariantowości co do liczby i rodzaju (deweloperskie, testowe, produkcyjne) systemów objętych skanowaniem, powinny zakładać wariantowość w zakresie długości okresu wsparcia w okresie 5 lat

Wsparcie przedłużane co roku, w ciągu 5 lat Wsparcie na 3 lata od daty zakupu, płatne z góry oraz przedłużenie co roku przez kolejne 2 lata (łącznie

5 lat) Wsparcie na 5 lat od daty zakupu, płatne z góry.

6 Opis sposobu potwierdzania realizacji wymagań

Oferent odpowiadając na wymagania MUSI każde z nich potwierdzić zgodnie z poniższymi wymaganiami w formie tabeli w programie MS Excel oraz opisać sposób spełnienia wymagania.

Tab. 1. Poziomy spełnienia wymagań

Poziom zastosowania się do wymagania

Opis

Spełnia całkowicie Standardowa funkcjonalność systemu. Wymaganie obsługiwane przez system bez potrzeby żadnych dodatkowych działań/modyfikacji.

Spełnia częściowo Standardowa funkcjonalność systemu. Wymaganie obsługiwane przez system bez potrzeby żadnych dodatkowych działań/modyfikacji, ale w ograniczonym zakresie. W przypadku takiego rozwiązania w kolumnie Uwagi/Komentarze proszę opisać, jaka część wymagania i w jaki sposób będzie obsługiwana przez system.

Spełnia całkowicie po modyfikacji

Niestandardowa funkcjonalność systemu. Wymagane prace programistyczne. Funkcjonalność możliwa do uzyskania po przeprowadzeniu odpowiednich modyfikacji systemu. W przypadku takiego rozwiązania w kolumnie Uwagi/Komentarze proszę opisać, jak będzie zrealizowana obsługa takiego wymagania.

Spełnia częściowo po modyfikacji

Niestandardowa funkcjonalność systemu. Wymagane prace programistyczne. Funkcjonalność częściowo możliwa do uzyskania po przeprowadzeniu odpowiednich modyfikacji systemu. W przypadku takiego rozwiązania w kolumnie Uwagi/Komentarze proszę opisać, jak będzie zrealizowana obsługa takiego wymagania oraz jaki zakres funkcjonalności zostałby uzyskany.




Nie spełnia Funkcjonalność niedostępna. Wymaganie nieobsługiwane przez system.

7 Wymagania funkcjonalne dla Narzędzia do Monitorowania Pobrań z Systemu SAP

Poniżej znajduje się lista wymagań funkcjonalnych dla przedmiotowego rozwiązania

REQ 1. Narzędzie MUSI umożliwiać rejestrowanie faktów pobierania danych z systemów SAP przez użytkowników zachodzących w wymienionych poniżej scenariuszach:

a. Eksportowanie treści prezentowanych na ekranach poszczególnych transakcji do plików np. Excel, PDF, CSV etc. - pobrania przez SAP GUI i Webgui,

b. Eksportowanie raportów z SAP Easy Reporter (HR/HCM)c. Kopiowanie treści z poziomu interfejsu graficznego SAP z pomocą funkcji Kopiuj (ctrl+c) d. Pobranie arkusza kalkulacyjnego (bądź dowolnego innego dokumentu Microsoft Office) do edycji

w ramach interfejsu graficznego SAP - tzw. edycja „Excel in-place”e. Wysyłanie e-maili wychodzącychf. Pobieranie plików z serwera zawartości i archiwów SAP (Kpro)

REQ 2. Narzędzie MUSI umożliwiać prostą dezaktywację funkcji monitorowaniaREQ 3. Narzędzie MUSI umożliwiać wysyłanie notyfikacji (e-mailowych oraz w formie wiadomości

wewnętrznej SAP Office) dot. faktu zarejestrowania nowych pobrań/pobrań spełniających określone warunki, oraz notyfikacji dot. pobrań czekających na akceptację (w przypadku aktywowania w Narzędziu funkcjonalności związanej z procesem akceptacji pobrań)

REQ 4. Narzędzie MUSI oferować funkcjonalność procesu akceptacji poprzez wstrzymywanie operacji eksportu danych do momentu akceptacji konkretnego pobrania przez wskazanego użytkownika

REQ 5. Narzędzie MUSI umożliwiać ograniczenie zakresu (np. poprzez określenie listy programów / transakcji) plików, których eksport/zapisanie ma być objętych procesem akceptacji

REQ 6. Narzędzie MUSI umożliwiać definiowanie zakresu przesyłanych wiadomości / operacji eksportu danych objętych rejestrowaniem na podstawie:

a. listy wskazanych użytkowników (lista użytkowników objętych monitorowaniem lub lista użytkowników wykluczonych z monitorowania)

b. listy wskazanych transakcji/raportów/programów (lista transakcji/ raportów /programów objętych monitorowaniem lub lista transakcji/raportów/ programów wykluczonych z monitorowania)

c. listy słów kluczowych/krytycznych występujących w plikachREQ 7. Narzędzie MUSI umożliwiać definiowanie zakresu wiadomości e-mail, które będą ignorowane w

kontekście działania narzędzia (poprzez określenie listy adresatów podlegających wykluczeniu z monitorowania). Wyjaśnienie: takiemu wykluczeniu może np. podlegać zewnętrzny, techniczny adres email, na który system SAP regularnie wysyła określone pliki i nie ma konieczności logowania faktu ich wysyłania.

REQ 8. Narzędzie MUSI umożliwiać klasyfikację faktu operacji pobierania/eksportu danych/przesyłania plików jako załącznika jako: Krytyczną bądź Niekrytyczną




REQ 9. Klasyfikacja krytyczności/niekrytyczności MUSI odbywać na się na podstawie takich parametrów jak

a. Wystąpienie w pliku słowa z listy słów krytycznychb. Wielkość plikuc. Wielkość sekcji MAILBODY wiadomości emaild. Wielkość sekcji MAILAPPENDIX wiadomości emaile. Wielkość sekcji COMPRESSED MAILAPPENDIX wiadomości email

REQ 10. Narzędzie MUSI umożliwiać podgląd plików, dla których operacja/eksportu zapisu etc. została zarejestrowana

REQ 11. Narzędzie MUSI umożliwiać określenie limitu maksymalnej wielkości zapisywanej treści zarejestrowanego pliku

REQ 12. Narzędzie MUSI umożliwiać wybór formy podglądu zarejestrowanego pobranego pliku:a. Wewnętrzna przeglądarka SAP właściwa dla danego formatu plikub. Zewnętrzna aplikacjac. Wybór przeglądarki/aplikacji w momencie wybierania opcji podglądu pliku

REQ 13. Narzędzie MUSI umożliwiać wygodne przeglądanie logów/wpisów - informacji nt. zarejestrowanych faktów pobrania/eksportu plików. Rejestrowane informacje powinny obejmować:

a. ID zarejestrowanego eventu nadane w ramach narzędziab. Numer mandantac. Nazwę użytkownikad. Datę czas wystąpienia faktu pobraniae. Typ eventu np. pobranie do pliku, edycja Excel in-place, wysłanie pliku mailem etc.f. Nazwę programug. Nazwę transakcjih. Nazwę wyeksportowanego pliku (oraz ew. ścieżkę zapisu w przypadku pobrania pliku przez

klienta SAP GUI)i. Rozmiar pliku

REQ 14. Narzędzie MUSI umożliwiać oznaczanie wpisów o zarejestrowanych eventach jako „przejrzane/reviewed”

REQ 15. Narzędzie MUSI umożliwiać cykliczną archiwizację logów zawierających informacje o zarejestrowanych eventach (oraz zawierających same zarejestrowane pliki) poprzez archiwizację KOPII wpisu z tabel roboczych narzędzia. Funkcjonalność archiwizacji powinna być w pełni niezależna od funkcjonalności umożliwiającej kasowanie wpisów z tabel roboczych (służących do bieżącego podglądu zarejestrowanych pobrań)

REQ 16. Narzędzie MUSI umożliwiać definiowanie retencji danych podlegających archiwizacji na podstawie takich parametrów jak:

a. status danego wpisu o fakcie pobrania - „reviewed” / „not reviewed”b. wiek danego wpisu

REQ 17. Narzędzie MUSI umożliwiać definiowanie retencji dla kasowania danych z tabel roboczych na podstawie takich parametrów jak:

a. status danego wpisu o fakcie pobrania - „reviewed” / „not reviewed”b. klasyfikacja krytyczności danego faktu pobrania, którego wpis dotyczyc. wiek danego wpisu z rozgraniczaniem na wiek odnoszący się do pobrań oznaczonych jako

krytyczne bądź nieoznaczonych jako krytyczned. wiek zapisanego e-maila




REQ 18. Narzędzie MUSI zapewniać komunikację z użytkownikami w języku polskim lub w języku angielskim

REQ 19. Narzędzie MUSI posiadać szczegółową dokumentację, która opisuje jego działanie, sposób instalacji, konfiguracji, utrzymania oraz sposoby integracji z innymi systemami

REQ 20. Zarządzanie narzędziem oraz raportowanie MUSI odbywać się z poziomu wygodnej w użyciu konsoli zintegrowanej z systemem SAP lub webowej konsoli zarządzania (dostępnej wyłącznie w ramach szyfrowanego połączenia HTTPS, z wykorzystaniem bezpiecznego protokołu TLS w wersji co najmniej 1.1)

REQ 21. Jeśli narzędzie posiada webową konsolę zarządzania, konsola ta POWINNA umożliwiać dostosowanie do własnych wymagań organizacji w zakresie wyglądu i dostępnych funkcji.

REQ 22. System MUSI umożliwiać wykonanie kopii bezpieczeństwa konfiguracji oraz odtworzenie systemu za pomocą tej kopii zgodnie z procedurami dostarczonymi przez Wykonawcę

REQ 23. Narzędzie POWINNO oferować możliwość generowania raportów w formatach: PDF, PPTX, XML




8 Wymagania niefunkcjonalne dla Narzędzia do Monitorowania Pobrań z Systemu SAP

W kolejnych rozdziałach opisano szczegółowo wymagania niefunkcjonalne

8.1 Technologia realizacji rozwiązania

REQ 24. Narzędzie MUSI w zakresie archiwizacji korzystać ze standardowych mechanizmów archiwizacyjnych SAP

REQ 25. Narzędzie MUSI działać w modelu on-premise, bez konieczności wykorzystania infrastruktury należącej do publicznej chmury wykonawcy

REQ 26. Narzędzie POWINNO być komponentem instalowanym w systemie SAP, stworzonym w technologii ABAP

REQ 27. W skład Narzędzia MUSZĄ wchodzić wszelkie programy / raporty możliwe do uruchomienia w ramach zadań cyklicznych, niezbędne do dokonywania czynności administracyjnych i konserwacyjnych takich jak np. kasowanie wpisów w tabelach bieżących, czy dokonywanie archiwizacji zgodnie z przyjętymi w konfiguracji retencjami

REQ 28. Wdrażane rozwiązanie POWINNO być zgodne ze standardami integracyjnymi i programistycznymi Zamawiającego. Standardy te załączone są do niniejszego zapytania ofertowego (załączniki 3,4,5). W przypadku, gdy proponowane przez Oferenta rozwiązanie nie jest zgodne z którymś ze standardów Zamawiającego Oferent MUSI zaznaczyć to w swojej ofercie.

REQ 29.

8.2 Bezpieczeństwo rozwiązania

REQ 30. Wdrażane rozwiązanie POWINNO być zgodne ze standardami bezpieczeństwa Zamawiającego. Standardy te załączone są do niniejszego zapytania ofertowego. W przypadku, gdy proponowane przez Oferenta rozwiązanie nie jest zgodne z którymś ze standardów Zamawiającego Oferent MUSI zaznaczyć to w swojej ofercie.

REQ 31. Zamawiający zastrzega sobie prawo do wykonania niezależnych testów penetracyjnych rozwiązania po oddaniu rozwiązania do testów lub po wdrożeniu. Oferent MUSI, niezależnie od momentu zgłoszenia błędu/podatności, usunąć ją bez dodatkowych kosztów ze strony Zamawiającego. Dotyczy to błędów/podatności oznaczonych jako krytyczne i wysokie przez niezależne testy penetracyjne. W przypadku niejasności co do interpretacji poziomów błędów/podatności rozwiązania, do ich rozwiązania stosuje się OWASP Risk Rating Methodology (https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology).

8.3 Wydajność rozwiązania

REQ 32. Narzędzie MUSI działać w sposób zapewniający możliwie najmniejszy narzut wydajnościowy na funkcjonowaniu monitorowanego systemu




REQ 33. Wykonawca MUSI na etapie wdrożenia przeprowadzić testy, które określą narzut wydajnościowy na działaniu monitorowanych systemów systemu, wprowadzony przez działanie Narzędzia z przyjętą konfiguracją oraz wykonać testy określające wpływ wydajnościowy zastosowania Narzędzia z przyjętą konfiguracją na konkretne kluczowe funkcjonalności biznesowe systemów wskazane przez Zmawiającego.

REQ 34. Na etapie składania ofert Oferent MUSI przedstawić metodę jaką będzie testowana wydajność Narzędzia i narzut obciążenia

REQ 35.

8.4 Testowanie rozwiązania

REQ 36. Oferent MUSI przeprowadzić wszystkie testy, które potwierdzą poprawność działania oferowanych funkcjonalności wdrożonego Narzędzia oraz spełnienie wymagań określonych przez Zamawiającego.

8.5 Integracja rozwiązania

REQ 37. Narzędzie POWINNO umożliwiać integrację z systemami klasy SIEM (Splunk) w zakresie analizy i korelacji zdarzeń. Oferent jest zobowiązany do przedstawienia w ofercie proponowanych sposobów integracji Narzędzia z systemem Splunk.

8.6 Utrzymanie systemu

REQ 38. Oferent POWINIEN zapewnić wsparcie dla systemu na następujących warunkach:

a. MUSI być możliwe zgłaszanie błędów do Oferenta na zasadach określonych w rozdziale .

b. POWINNO być możliwe śledzenie statusu błędu zgłoszonego do Oferenta w odpowiednim do tego narzędziu.

c. POWINNO być możliwe zdalne realizowane wsparcia i utrzymania Narzędzia.

d. Oferent musi zapewnić możliwość aktualizowania Narzędzia w oparciu o poprawki lub aktualizacje przekazywane prze producenta na warunkach określonych w rozdziale .

8.7 Zasady licencjonowania rozwiązania

Poniżej są wymienione zasady licencjonowania, jakie Oferent musi wziąć pod uwagę podczas przygotowywania oferty.

REQ 39. Licencja MUSI obejmować środowiska i narzędzia określone w rozdziale Przedmiot zapytaniaREQ 40. Oferent MUSI zapewnić możliwość przenoszenia licencji na kolejne podmioty, których częścią lub

w całości będzie innogy STOEN Operator Sp. z o.o., innogy Polska S.A., Innogy BS Sp. Z o.o. lub spółek powstałych w wyniku przekształceń tych spółek.




8.8 Wymagania prawne i regulacyjne

REQ 41. Narzędzia MUSI zapewnić zgodność z przepisami polskiego prawa.




9 Wymagania dla procesu obsługi zgłoszeń oraz aktualizacji

9.1 Klasyfikacja zgłoszeń

REQ 42. W trakcie realizacji przedsięwzięcia Zamawiający wymaga stosowania następującej klasyfikacji zgłoszeń.

Tab. 2. Klasyfikacja zgłoszeń

ID Klasa błędu Opis

A Awaria krytyczna Każda awaria elementów Narzędzia, która: wpływa na dostępność Narzędzia powoduje całkowitą niedostępność

funkcjonalności Narzędzia powoduje krytyczne pogorszenie funkcjonowania

Narzędzia rozumiane jako brak możliwości przeprowadzania skanowania systemów lub analizy informacji zgromadzonych w Narzędziu

B Awaria niekrytyczna Każda inna awaria elementów Narzędzia, która powoduje:

poważne pogorszenie wydajności Narzędzia, ograniczenie funkcjonalności Narzędzia, zagrożenie dostępności Narzędzia.

C Utrudnienia Pozostałe awarie, niesklasyfikowane jako A lub B.

D Zapytania W kategorii tej klasyfikowane są również zapytania niedotyczące bezpośrednio awarii, w tym usługi gwarancyjne dotyczące dokumentacji i konfiguracji funkcjonalnej.

9.2 Okno serwisowe

REQ 43. Oferent musi zapewnić okno serwisowe przyjmowania i obsługi zgłoszeń dla dostarczonego rozwiązania, zgodnie z tabelą Podstawowe parametry okna serwisowego.

Tab. 3. Podstawowe parametry okna serwisowego

Parametr Wartość parametru

Okno przyjmowania zgłoszeń Dni robocze, w godzinach 8:00 do 17:00.

Czas reakcji dla błędów klasy A, B, C 4 godziny roboczedocument.docx Strona 14 z 18



Parametr Wartość parametru

Czas reakcji dla błędów klasy D 8 godzin roboczych

9.3 Zasady obsługi zgłoszeń podczas testów

REQ 44. W trakcie realizacji testów Zamawiający wymaga stosowania następujących warunków obsługi zgłoszeń.

Tab. 4. Warunki obsługi zgłoszeń podczas testów

Klasa zgłoszeń Czas naprawy od chwili zgłoszenia zgłoszeń

A 16 godzin roboczych

B 16 godzin roboczych

C 24 godzin roboczych

D 40 godzin roboczych

Warunki odbioru wynikające z ilości zgłoszeń dla fazy:

NIE MOŻE występować nierozwiązane zgłoszenie klasy A lub klasy B, NIE MOŻE występować więcej niż 2 nierozwiązanych zgłoszeń klasy C, NIE MOŻE występować więcej niż 5 nierozwiązanych zgłoszeń klasy D.

9.4 Zasady obsługi zgłoszeń oraz aktualizacji na produkcji

REQ 45. W trakcie eksploatacji dostarczonego systemu Zamawiający wymaga stosowania następujących warunków obsługi zgłoszeń oraz aktualizacji systemu.

Tab. 5. Czas obsługi zgłoszeń oraz aktualizacji na produkcji

Typ zgłoszenia Czas naprawy Czas aktualizacji

A 8 godzin roboczych 1 dzień roboczyB 12 godzin roboczych 2 dni roboczeC 24 godzin roboczych 4 dni roboczeD 40 godzin roboczych 4 dni robocze




10 Wymagania dla szkoleń

REQ 46. W ramach wdrożenia Narzędzia Oferent MUSI zapewnić szkolenie produktowe dla maksymalnie 8 administratorów/użytkowników

REQ 47. Szkolenia POWINNY obejmować zakres merytoryczny z zakresu obsługi funkcjonalności dostarczonych w ramach Narzędzia.

REQ 48. Oferent POWINIEN także przygotować krótką instrukcję dla administratorów SAP Basis dot. podstawowych czynności: instalacji, konfiguracji, wyłączenia etc. oraz instrukcję dla operatora/użytkownika z zakresu najczęstszych przypadków użycia Narzędzia takich jak konfiguracja ustawień biznesowych, raportowanie etc. Instrukcje mogą być przygotowane w postaci dokumentu (ze zrzutami ekranu) lub w postaci filmów.

REQ 49. Oferent MUSI przedstawić sugerowany czas szkolenia.REQ 50. Zamawiający wymaga, aby wszystkie szkolenia i materiały szkoleniowe prowadzone / wykonane

były w języku polskim lub angielskim. REQ 51. Szkolenia POWINNY odbyć się w siedzibie Zamawiającego. Sale i niezbędne do przeprowadzenia

szkoleń wyposażenie zapewni Zamawiający, w następującym zakresie:a. Sala szkoleniowa dla min. 10 osób.b. Rzutnik.c. Flipchart wraz z materiałami piśmiennymi.




11 Wymagania formalne

Poniżej są przedstawione wymagania formalne dla wdrożenia Narzędzia do Monitorowania Pobrań z Systemu SAP.

11.1 Zapewnienie jakości

1. Oferent POWINIEN przedstawić metodykę, procesy, najlepsze praktyki oraz narzędzia stosowane przez firmę w celu zapewnienia jakości produktów w projekcie oraz bezpieczeństwa. Zaznaczone powinno być które procesy będą miały zastosowanie w planowanym projekcie.

2. Oferent POWINIEN przedstawić posiadane certyfikaty zarządzania jakością, monitorowania i doskonalenia procesów wewnętrznych oraz bezpieczeństwa ( np. takie jak standardy ISO, BS, CMMI, Six Sigma, ITIL, etc.).

3. Zamawiający zastrzega sobie prawo do przeprowadzenia audytu w celu oceny systemu jakości. Oferent zobowiązuje się przedstawić wymaganą dokumentację procesów, raporty z audytów zewnętrznych oraz wykaz i ocenę podjętych działań usprawniających. Oferent przedstawi proces i wyniki ciągłego doskonalenia.

4. Oferent w ramach prowadzenia prac wdrożeniowych POWINIEN być gotowy na uczestnictwo w spotkaniach zbierania doświadczeń.

5. Oferent w ramach prowadzenia prac wdrożeniowych POWINIEN być gotowy na uczestnictwo w spotkaniach audytowych i weryfikujących status realizacji projektu i jego produktów.

6. W przypadku zidentyfikowania obszarów do poprawy lub usprawnień Oferent MUSI przedstawić plan realizacji.

7. Oferent POWINIEN legitymować się certyfikatem zarządzania jakością ISO/IEC 9001 i/lub ISO/IEC 27001 wraz z opisem zakresu przyznanego certyfikatu.




12 Załączniki

Poniżej jest przedstawiona pełna lista załączników powiązanych z dokumentem.

Lp. Dokument Opis

1 Standardy technologiczne Dokument zawiera wszystkie standardy technologiczne, które powinny być stosowane przy projektowaniu rozwiązań informatycznych dla INNOGY.

2 Polityka Bezpieczeństwa dla Dostawców

Dokument zawiera wymagania bezpieczeństwa informacji, które powinny być stosowane przy projektowaniu i wdrażaniu rozwiązań informatycznych dla INNOGY BS PL.

3 Standardy integracji dla dostawców aplikacji

Dokument zawiera wymagania w zakresie integracji aplikacji SAP

4 Standardy tworzenia Web Services

Dokument zawiera wymagania w zakresie tworzenia Web Services

5 Standardy implementacji w SAP

Harmonized ABAP Guidelines



narzędzie do monitorowania pobrań z systemu sap · web viewt_st01_d3 narzędzie do monitorowania...

Documents