Wymagania dotyczące dokumentacji
Transkrypt
Wymagania dotyczące dokumentacji
Sygnatura postępowania: BZP/61/DI/2016 Załącznik nr 2 do OPZ Wymagania dotyczące dokumentacji 1. Wymagania ogólne Wymagania ogólne dotyczące dokumentacji dostarczonej wraz z Systemem są następujące: a) język – dokumentacja powinna być dostarczona w języku polskim; w języku angielskim dopuszczalna jest jedynie dokumentacja komponentów producentów zagranicznych, b) postać i forma – dokumentacja powinna być dostarczona: w postaci papierowej, w formie spiętych, zszytych lub zbindowanych egzemplarzy, w formie książek pogrupowana tematycznie – jeden egzemplarz oraz w postaci elektronicznej – w formie plików w formacie PDF oraz w formacie RTF lub DOCX, c) dokumentacja dostosowana i opracowana w oparciu o parametry środowiska Zamawiającego. d) dokumentacja składająca się z wielu oddzielnych elementów (egzemplarzy) powinna zawierać dokument stanowiący spis wszystkich składników dokumentacji, e) każdy egzemplarz oprócz tytułu powinien posiadać oznaczenie wersji adekwatnej do wersji aplikacji, którą opisuje (wraz datą produkcji lub dostawy), f) suplementy do dokumentacji nie muszą być zawarte w spisie, lecz powinny posiadać odniesienie do odpowiedniej wersji wydania oraz posiadać swój własny numer suplementu oraz datę utworzenia. 2. Dokumentacja użytkownika Dokumentacja użytkownika powinna zawierać szczegółowy opis wszelkich cech i właściwości dostarczonego rozwiązania informatycznego, pozwalający na poprawne użytkowanie aplikacji (lub zespołu aplikacji) zgodnie z jej przeznaczeniem. Powinna ona zawierać w szczególności: a) b) c) d) opis interfejsu oraz opis zasad dialogu z użytkownikiem, opis specyficznych elementów konfiguracji interfejsu dostępnych dla użytkownika (np. personalizacja interfejsu) - jeśli takie występują, instrukcję/instrukcje obsługi wszystkich zasadniczych funkcjonalności biznesowych, procedury przetwarzania danych dostępne dla użytkownika (opis procesów lub diagramy procesów). Jeśli dokumentacja składa się z kilku elementów, to w każdym z nich powinna znaleźć się specyfikacja (wyszczególnienie) pozostałych elementów, np. spis załączników. 3. Dokumentacja eksploatacyjna oraz techniczna Dokumentacja eksploatacyjna oraz techniczna zawiera opis wszelkich cech, właściwości i funkcjonalności pozwalając na poprawną z punktu widzenia technicznego eksploatację Systemu. W szczególności dokumentacja ta powinna zawierać: a) b) c) d) opis architektury fizycznej – wyszczególnienie oraz opis powiązań wszystkich istotnych komponentów sprzętowych, systemowych i aplikacyjnych występujących lub wymaganych do poprawnej pracy aplikacji zgodnie z wymaganiami wydajności funkcjonalności i bezpieczeństwa (minimalny, maksymalny, rekomendowany), jeśli zastosowane zostały komponenty innych dostawców należy również dokładnie określić wykorzystywane wersje, opis architektury logicznej – opis powiązań logicznych poszczególnych komponentów, opis wymagań sprzętowych, systemowych, sieciowych itp. na poszczególne komponenty architektury odniesionych do zamówionych wymagań wydajnościowych, funkcjonalnych i bezpieczeństwa (minimalny, maksymalny, rekomendowany), procedury poprawnej eksploatacji, w tym procedury tworzenia kopii zapasowych oraz odtwarzania z kopii wszystkich komponentów aplikacji (bazy danych, komponenty serwera aplikacji, klienta itp.), w tym procedury odtworzenia systemu po katastrofie (disaster recovery),; Strona 1 z 2 e) f) g) h) i) j) procedury lub instrukcje instalacji, reinstalacji, deinstalacji oraz upgrade wszystkich komponentów, przy czym jeśli wykorzystywane są procedury innych dostawców standardowych komponentów (np. baz danych) należy wskazać odwołania do zewnętrznej dokumentacji, dokumentację (w postaci procedur lub instrukcji) wszystkich rutynowych czynności administracyjnych związanych z poprawną eksploatacją aplikacji i systemu informatycznego, okresowych (dziennych, tygodniowych, miesięcznych, itp.) oraz wg potrzeb pozwalających na utrzymanie wymaganej dostępności, wydajności i bezpieczeństwa, opis możliwości stosowania standardowych rozwiązań (sprzętowych lub aplikacyjnych) wspierających procedury poprawnej eksploatacji, konfigurację Systemu (konfiguracja musi obejmować wersję Systemu, pełen zestaw parametrów konfiguracyjnych Systemu wraz z opisem, katalog instalacyjny, położenie plików konfiguracyjnych, położenie plików logów, położenie i opis innych kluczowych plików i katalogów, itp., dokumentację parametryzacji – wyszczególnienie wszystkich parametryzowanych elementów systemu wraz z opisem ich znaczenia i dopuszczalnych wartości, procedury nie mogą zawierać sformułowań typu „zgodnie ze standardową procedura instalacyjną...”. W przypadku odwołań do zewnętrznej dokumentacji, zewnętrzna dokumentacja musi zostać dołączona, a odwołanie musi wskazywać na konkretną stronę/fragment dokumentacji zewnętrznej. W przypadku, jeśli procedura wymaga wykonywania specjalizowanych skryptów instalacyjnych (np. własne skrypty dostawcy systemu IT), skrypty muszą zostać dołączone do dokumentacji. Dla przeprowadzonej instalacji oraz wdrożenia wymagane są następujące rodzaje dokumentacji: k) n) o) dokumentacja powykonawcza instalacji – zawiera szczegółowy opis wykonanych czynności instalacyjnych oraz konfiguracyjnych wszystkich komponentów Systemu oraz środowiska, w którym zainstalowano System, dokumentacja parametryzacji – wyszczególnienie wartości wszystkich ustawionych parametrów użytkowych zarówno samego Systemu, jak i pozostałych komponentów Oprogramowania, jak parametry systemu operacyjnego, oprogramowania narzędziowego oraz parametry sprzętu, dokumentacja rozruchowa – opisuje wszystkie istotne kroki (czynności) wykonane w celu pierwszego uruchomienia Systemu, w tym opis migracji/konwersji danych, testy uruchomieniowe, dokumentacja z przeprowadzonych testów – plan testów i protokoły z testów akceptacyjnych, dokumentacja szkolenia użytkowników oraz administratorów (technicznych i bezpieczeństwa). 4. Dokumentacja administratora bezpieczeństwa l) m) Dokumentacja administratora bezpieczeństwa zawiera zestaw dokumentacji szczegółowo opisujących zastosowane w dostarczonym oprogramowaniu rozwiązania dotyczące zapewnienia spełnienia ogólnych (zgodnie z wymaganiami prawa) oraz specyficznych (zgodnie z wymaganiami Banku) wymagań dot. bezpiecznej eksploatacji. Dokumentacja taka zawierać powinna, w szczególności: a) b) c) d) e) f) zastosowane mechanizmy ochrony przed naruszeniem zasad dostępu (poufności), integralności, niezaprzeczalności, wiarygodności oraz opis mechanizmów udostępniania, autoryzacji w tym autoryzacji operacji szczególnych, opis zastosowanych mechanizmów logowania zdarzeń, śladu audytowego oraz rozliczalności działań w tym wszelkich prób naruszenia zasad bezpieczeństwa, dokumentacja administratora opisująca szczegółowo funkcjonalności, interfejs oraz zasady zarządzania kontami (użytkownikami) oraz uprawnieniami poszczególnych ról, profili, użytkowników itp., jeśli aplikacja przetwarza dane osobowe to dodatkowo wymagane jest dostarczenie dokumentacji opisującej sposób realizacji wymagań wynikających z przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182 z późn. zm.), w tym sposób realizacji wymagań wynikających z rozporządzania Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004, jeśli aplikacja wykorzystuje jakiekolwiek mechanizmy wymiany informacji z innymi systemami wymagany jest opis zabezpieczeń tych interfejsów oraz opis metod zapewnienia poufności i kontrolowalności tych kanałów przepływu informacji, codzienne i inne okresowe zadania osób odpowiedzialnych za bezpieczeństwo teleinformatyczne Zamawiającego (Security Officer) – w celu wykrywania i reagowania na szkodliwy kod, jak również w celu wprowadzenia zmian (np. konfiguracji oprogramowania, systemów op.) chroniących Zamawiającego przed przyszłymi analogicznymi atakami (działania typu lessons learning). Strona 2 z 2