Teksti
Tiedot ja muodollisuudet, joiden perusteella arvioidaan vaatimusten täyttymistä:
Ehdokas pystyy tarjoamaan kaikkia osallistumishakemusohjeen kohdassa 1 ”Hankinnan kohde” yksilöityjä palveluita ja toteutuksia, huomioiden erityisesti hankittavalle järjestelmälle asetetut tietoturvavaatimukset (osallistumishakemuslomakkeen kohta 6.2).
Palvelu toimitetaan suomen kielellä.
Ehdokas pystyy tarjoamaan laitteisto- ja teknologiariippumattoman ratkaisun, mikä ei edellytä tiettyä palvelinta, alustaa tai tietokantaa.
Mikäli ehdokasta tai tarjoajaa koskee julkisia puolustus- ja turvallisuuslain 48 §:ssä tarkoitetut muut poissulkemisperusteet, voi hankintayksikkö poissulkea tällaisen ehdokkaan/tarjoajan.
Hankinta on turvaluokiteltu. Hankintamenettelyn aikana sekä varsinaisen hankinnan toteuttamis- ja ylläpitovaiheessa tullaan käsittelemään turvallisuusluokiteltuja asiakirjoja sekä salassa pidettävää tietoa (laki viranomaisten toiminnan julkisuudesta (621/1999) 24.1 §:n 7 kohta).
Järjestelmän toteuttamiselta sekä tuki- ja ylläpitopalvelulta tullaan vaatimaan kansallisen turvallisuusauditointikriteeristön (KATAKRI) mukaisten, korotetun tason vaatimusten täyttämistä, pois lukien varautumista koskevat vaatimukset. Lisätietoja kansallisesta turvallisuusauditointikriteeristöstä löytyy täältä:
http://www.defmin.fi/hallinnonala/puolustushallinnon_turvallisuustoiminta/kansallinen_turvallisuusauditointi-kriteeristo_(katakri)
Järjestelmälle tulee olla erilliset kehitys-, testaus-, koulutus- ja tuotantoympäristöt. Tuotantoympäristö tullaan todennäköisesti sijoittamaan valtion korotetun tason laitetiloihin (kahdennettu järjestelmä).
Toimittajan tulee osoittaa järjestelmän etähallintaa ja ylläpitoa varten Toimittajan korotetun tason tila, jonka hankintayksikkö auditoi.
KATAKRI-kriteeristön lisäksi tarjoajan on täytettävä myös muita hankittavaa järjestelmää hyödyntävien tahojen asettamia tietoturvaa koskevia vaatimuksia.
Lisätietoa tietoturvaan liittyvistä vaatimuksista annetaan rajoitettuun menettelyyn valittaville tarjoajille vasta läpäistyjen turvallisuusselvitysten jälkeen.
Vaatimus:
Ehdokkaalla on tarjouspyyntöaineistoa käsiteltäessä oltava käytettävissään Kansallisen auditointikriteeristön (KATAKRI 2015, I) korotetun tason mukainen fyysinen tila, jossa kilpailutukseen liittyvää aineistoa voidaan käsitellä ehdokkaan (sopimustoimittajan) tai mahdollisten alihankkijoiden toimesta. Tilan on oltava ulkoasiainministeriön hyväksymä. Vaihtoehtoisesti tilan on läpäistävä tietoturvatarkastus tai mikäli tilat on aiemmin tarkastettu voi ulkoasiainministeriö tarkastaa kyseisestä tarkastuksesta tehdyn raportin/selvityksen. Tilan on oltava tarkastettu tai tarkastusraportti hyväksytty viimeistään tarjouspyyntöaineiston vastaanottohetkellä. Tarkastuksesta sovitaan etukäteen ehdokkaan kanssa. Mikäli ehdokkaan käytettävissä oleva tila ei läpäise tarkastusta 1kk sisällä päätöksestä jolla ehdokkaat valitaan rajoitettuun menettelyyn, voi hankintayksikkö valita tarjouskilpailuun vertailussa seuraavaksi tulleen yrityksen.
Mikäli tilat, joissa ehdokas aikoo käsitellä hankintaan liittyvää turvaluokiteltua aineistoa, sijaitsevat Suomen rajojen ulkopuolella, tulee ehdokkaalla olla kyseisen maan kansallisen turvallisuusviranomaisen toteuttama hyväksytty yhteisöturvallisuusselvitys (FSC, facility security clearance). Ulkoasiainministeriö varaa oikeuden tarkastaa ehdokkaan tilat aiemmin ennen käsillä olevaa hankintaa toteutetusta tarkastuksesta huolimatta.
Vaatimus:
Valitun toimittajan on kyettävä kaksinkertaistamaan toimittajan vastuulla oleva ylläpitopalvelu (palvelun tuottamiseen vaadittu henkilöstön lukumäärä) mahdollisessa kriisitilanteessa kuukauden sisällä tilaajan pyynnöstä. Edellä mainitulla vaatimuksella mahdollistetaan järjestelmän käyttö ja ylläpito huoltovarmuuslain (laki huoltovarmuuden turvaamisesta 1390/1992) tarkoittamassa kriisitilanteessa.
Ehdokkaan on lisäksi täytettävä asianmukaisesti ja allekirjoitettava osallistumishakemusohjeen liitteinä 6-7 löytyvät liitteet (henkilökohtaiset vaitiolositoumukset, turvallisuusselvitysten hakulomakkeet) ja toimitettava ennen tarjouspyyntöaineiston vastaanottamista.
Liitteet 6 ja 7 on toimitettava jokaisen sellaisen henkilön osalta, joka tulee käsittelemään tarjouspyyntöaineistoa tai osallistuu muutoin tarjouskilpailuun.
Allekirjoitettuja liitteitä 6-7 ei tarvitse toimittaa vielä osallistumishakemuksen jättövaiheessa.
Mikäli tarjouspyyntöaineistoa käsittelevä taikka muutoin tarjouskilpailuun osallistuva henkilö ei ole Suomen kansalainen tai ei asu vakinaisesti Suomessa, ehdokkaan tulee toimittaa hänestä osallistumishakemuksessa lisäksi ulkomaisen kansallisen turvallisuusviranomaisen (ensisijaisesti General Security Agreementin eli GSA:n mukainen National Security Authority eli NSA-viranomainen) antama turvallisuusselvitys eli PSC-todistus (Personal Security Clearance).
Vaatimus:
Tarjoajalla tulee olla järjestelmän kehitysvaiheessa käytössä koodauksen testaamisen työkalu ja tarjoajan tulee raportoida säännöllisesti testauksen tuloksista ja koodauksen laatutasosta.
Toimittajan tulee noudattaa VIS-asetusta järjestelmän toimittamisessa ja jatkuvien palveluiden aikana.
Hankintayksiköllä on oikeus auditoida toimittajan sopimuksen piiriin kuuluva toiminta ennen ja jälkeen tässä tarkoitettua hankintaa.
Ehdokas on tutustunut osallistumishakemusohjeen liitteenä 8 oleviin Ulkoasiainministeriön yleisiin tietoturvallisuusvaatimuksiin ja sitoutuu noudattamaan niitä. Ehdokas hyväksyy sen että valitun toimittajan kanssa tullaan tekemään erillinen turvallisuussopimus
Ehdokas suostuu siihen, että valitun toimittajan työntekijöille tullaan tekemään perusmuotoinen turvallisuusselvitys siltä osin kuin se katsotaan tapauskohtaisesti tarpeelliseksi ennen sopimuksen allekirjoittamista.
Selvitys:
Ehdokkaan tulee ilmoittaa tarjoamansa KATAKRI 2015, I, korotetun tason mukaisen tilan osoitetiedot. Mikäli tila on auditoitu ulkoasiainministeriön toimesta, tulee toteutetun tietoturvatarkastuksen ajankohta ilmoittaa.