Wymagania dotyczące dokumentacji

Sygnatura postępowania: BZP/61/DI/2016
Załącznik nr 2 do OPZ
Wymagania dotyczące dokumentacji
1.
Wymagania ogólne
Wymagania ogólne dotyczące dokumentacji dostarczonej wraz z Systemem są następujące:
a)
język – dokumentacja powinna być dostarczona w języku polskim; w języku angielskim dopuszczalna jest
jedynie dokumentacja komponentów producentów zagranicznych,
b) postać i forma – dokumentacja powinna być dostarczona:
 w postaci papierowej, w formie spiętych, zszytych lub zbindowanych egzemplarzy, w formie książek
pogrupowana tematycznie – jeden egzemplarz oraz
 w postaci elektronicznej – w formie plików w formacie PDF oraz w formacie RTF lub DOCX,
c) dokumentacja dostosowana i opracowana w oparciu o parametry środowiska Zamawiającego.
d) dokumentacja składająca się z wielu oddzielnych elementów (egzemplarzy) powinna zawierać dokument
stanowiący spis wszystkich składników dokumentacji,
e) każdy egzemplarz oprócz tytułu powinien posiadać oznaczenie wersji adekwatnej do wersji aplikacji, którą
opisuje (wraz datą produkcji lub dostawy),
f) suplementy do dokumentacji nie muszą być zawarte w spisie, lecz powinny posiadać odniesienie do
odpowiedniej wersji wydania oraz posiadać swój własny numer suplementu oraz datę utworzenia.
2.
Dokumentacja użytkownika
Dokumentacja użytkownika powinna zawierać szczegółowy opis wszelkich cech i właściwości dostarczonego
rozwiązania informatycznego, pozwalający na poprawne użytkowanie aplikacji (lub zespołu aplikacji) zgodnie z
jej przeznaczeniem. Powinna ona zawierać w szczególności:
a)
b)
c)
d)
opis interfejsu oraz opis zasad dialogu z użytkownikiem,
opis specyficznych elementów konfiguracji interfejsu dostępnych dla użytkownika (np. personalizacja
interfejsu) - jeśli takie występują,
instrukcję/instrukcje obsługi wszystkich zasadniczych funkcjonalności biznesowych,
procedury przetwarzania danych dostępne dla użytkownika (opis procesów lub diagramy procesów).
Jeśli dokumentacja składa się z kilku elementów, to w każdym z nich powinna znaleźć się specyfikacja
(wyszczególnienie) pozostałych elementów, np. spis załączników.
3.
Dokumentacja eksploatacyjna oraz techniczna
Dokumentacja eksploatacyjna oraz techniczna zawiera opis wszelkich cech, właściwości i funkcjonalności
pozwalając na poprawną z punktu widzenia technicznego eksploatację Systemu. W szczególności dokumentacja
ta powinna zawierać:
a)
b)
c)
d)
opis architektury fizycznej – wyszczególnienie oraz opis powiązań wszystkich istotnych komponentów
sprzętowych, systemowych i aplikacyjnych występujących lub wymaganych do poprawnej pracy aplikacji
zgodnie z wymaganiami wydajności funkcjonalności i bezpieczeństwa (minimalny, maksymalny,
rekomendowany), jeśli zastosowane zostały komponenty innych dostawców należy również dokładnie
określić wykorzystywane wersje,
opis architektury logicznej – opis powiązań logicznych poszczególnych komponentów,
opis wymagań sprzętowych, systemowych, sieciowych itp. na poszczególne komponenty architektury
odniesionych do zamówionych wymagań wydajnościowych, funkcjonalnych i bezpieczeństwa (minimalny,
maksymalny, rekomendowany),
procedury poprawnej eksploatacji, w tym procedury tworzenia kopii zapasowych oraz odtwarzania z kopii
wszystkich komponentów aplikacji (bazy danych, komponenty serwera aplikacji, klienta itp.), w tym
procedury odtworzenia systemu po katastrofie (disaster recovery),;
Strona 1 z 2
e)
f)
g)
h)
i)
j)
procedury lub instrukcje instalacji, reinstalacji, deinstalacji oraz upgrade wszystkich komponentów, przy
czym jeśli wykorzystywane są procedury innych dostawców standardowych komponentów (np. baz
danych) należy wskazać odwołania do zewnętrznej dokumentacji,
dokumentację (w postaci procedur lub instrukcji) wszystkich rutynowych czynności administracyjnych
związanych z poprawną eksploatacją aplikacji i systemu informatycznego, okresowych (dziennych,
tygodniowych, miesięcznych, itp.) oraz wg potrzeb pozwalających na utrzymanie wymaganej dostępności,
wydajności i bezpieczeństwa,
opis możliwości stosowania standardowych rozwiązań (sprzętowych lub aplikacyjnych) wspierających
procedury poprawnej eksploatacji,
konfigurację Systemu (konfiguracja musi obejmować wersję Systemu, pełen zestaw parametrów
konfiguracyjnych Systemu wraz z opisem, katalog instalacyjny, położenie plików konfiguracyjnych,
położenie plików logów, położenie i opis innych kluczowych plików i katalogów, itp.,
dokumentację parametryzacji – wyszczególnienie wszystkich parametryzowanych elementów systemu
wraz z opisem ich znaczenia i dopuszczalnych wartości,
procedury nie mogą zawierać sformułowań typu „zgodnie ze standardową procedura instalacyjną...”. W
przypadku odwołań do zewnętrznej dokumentacji, zewnętrzna dokumentacja musi zostać dołączona, a
odwołanie musi wskazywać na konkretną stronę/fragment dokumentacji zewnętrznej. W przypadku, jeśli
procedura wymaga wykonywania specjalizowanych skryptów instalacyjnych (np. własne skrypty dostawcy
systemu IT), skrypty muszą zostać dołączone do dokumentacji.
Dla przeprowadzonej instalacji oraz wdrożenia wymagane są następujące rodzaje dokumentacji:
k)
n)
o)
dokumentacja powykonawcza instalacji – zawiera szczegółowy opis wykonanych czynności instalacyjnych
oraz konfiguracyjnych wszystkich komponentów Systemu oraz środowiska, w którym zainstalowano
System,
dokumentacja parametryzacji – wyszczególnienie wartości wszystkich ustawionych parametrów
użytkowych zarówno samego Systemu, jak i pozostałych komponentów Oprogramowania, jak parametry
systemu operacyjnego, oprogramowania narzędziowego oraz parametry sprzętu,
dokumentacja rozruchowa – opisuje wszystkie istotne kroki (czynności) wykonane w celu pierwszego
uruchomienia Systemu, w tym opis migracji/konwersji danych, testy uruchomieniowe,
dokumentacja z przeprowadzonych testów – plan testów i protokoły z testów akceptacyjnych,
dokumentacja szkolenia użytkowników oraz administratorów (technicznych i bezpieczeństwa).
4.
Dokumentacja administratora bezpieczeństwa
l)
m)
Dokumentacja administratora bezpieczeństwa zawiera zestaw dokumentacji szczegółowo opisujących
zastosowane w dostarczonym oprogramowaniu rozwiązania dotyczące zapewnienia spełnienia ogólnych
(zgodnie z wymaganiami prawa) oraz specyficznych (zgodnie z wymaganiami Banku) wymagań dot. bezpiecznej
eksploatacji. Dokumentacja taka zawierać powinna, w szczególności:
a)
b)
c)
d)
e)
f)
zastosowane mechanizmy ochrony przed naruszeniem zasad dostępu (poufności), integralności,
niezaprzeczalności, wiarygodności oraz opis mechanizmów udostępniania, autoryzacji w tym autoryzacji
operacji szczególnych,
opis zastosowanych mechanizmów logowania zdarzeń, śladu audytowego oraz rozliczalności działań w
tym wszelkich prób naruszenia zasad bezpieczeństwa,
dokumentacja administratora opisująca szczegółowo funkcjonalności, interfejs oraz zasady zarządzania
kontami (użytkownikami) oraz uprawnieniami poszczególnych ról, profili, użytkowników itp.,
jeśli aplikacja przetwarza dane osobowe to dodatkowo wymagane jest dostarczenie dokumentacji
opisującej sposób realizacji wymagań wynikających z przepisów ustawy z dnia 29 sierpnia 1997 r. o
ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 z późn. zm.), w tym sposób realizacji wymagań
wynikających z rozporządzania Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004,
jeśli aplikacja wykorzystuje jakiekolwiek mechanizmy wymiany informacji z innymi systemami wymagany
jest opis zabezpieczeń tych interfejsów oraz opis metod zapewnienia poufności i kontrolowalności tych
kanałów przepływu informacji,
codzienne i inne okresowe zadania osób odpowiedzialnych za bezpieczeństwo teleinformatyczne
Zamawiającego (Security Officer) – w celu wykrywania i reagowania na szkodliwy kod, jak również w celu
wprowadzenia zmian (np. konfiguracji oprogramowania, systemów op.) chroniących Zamawiającego przed
przyszłymi analogicznymi atakami (działania typu lessons learning).
Strona 2 z 2