Krav-ID <00000x> <nnn00x> | Ändringsdatum <2021-01-01> <Arkiverad> | Kravformulering <textuella krav> <Kvalitetsattribut> | Kravområde <kravområde> <Integration> | Kravtyp <kravtyp> | Beskrivning av krav <kontext> <konsekvens> | Taggning av krav <UI> <API> | Kvalitetsegenenskap enligt ISO 25010 <Prestanda effektivitet> <Kompatibilitet> | Påverkade arkitekturelement <ABB><process> <modell> <SBB><verksamhetssystem> | Motiverande arkitekturelement <princip> <lag> <standard> <intresse> <nytta> | Relaterad informationsklassning <Klassa nivå n> <egen nivå n> | Relaterad driftsform <Sourcing> <Egen drift> <SaaS> | Ägare av kravet < Person> <Roll> | Författare till kravet <Organisation> <Funktion> <Person> | Verifieringsmetod <test> <demo> <jämförelse> <analys> <stickprov> | När ska kravet vara uppfyllt? <ange egen tid> | Verifieringsstatus <OK/NOK> <Go/NoGo> | Prioritet av krav <1/2/3> <a/b/c> | Valideringsstatus <nej/pågår/ja> |
AG0001 | 2023-0411-1206 | Tillgång till information och till funktioner ska styras av individ- och/eller rollbaserade behörigheter | Informationshantering | Icke funktionellt IT-krav | Behörighetsstyrning Förutsätter etablerad RBAC eller motsvarande. | BehörighetÅtkomst | Konfidentialitet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0002 | 2023-0411-1206 | Tillgång till information och till funktioner ska kunna styras på informationsklass och/eller attribut kopplat till informationen. | Informationshantering | Icke funktionellt IT-krav | Behörighetsstyrning Förutsätter etablerad ABAC eller motsvarande samt att informationsklassificeringsarbete är gjort. | BehörighetÅtkomst | Konfidentialitet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0003 | 2023-04-12 | Erbjudna grafiska användargränssnitt ska vara utformade för största möjliga användbarhet, t.ex. erbjuda stöd för personliga inställningar för olika användarbehov, erbjuda möjlighet att nå funktioner via olika handgrepp samt vara anpassningsbart till UMs grafiska profil. | Användbarhet | Icke funktionellt IT-krav | Tillgänglighet och övrig anpassning för individ och organisation. Behörigheter och styrning måste finnas kopplat till funktionen. | UI | Användbarhet | <applikation> <applikationsgränssnitt> | <princip> | | | | | | | | | |
AG0004a | 2023-0411-1206 | Systemets API ska ha en öppen definition och ska kunna användas av tredje part utan krav på leverantörsspecifik teknologi. | System | Icke funktionellt IT-krav | Kravet innebär att systemets API ska ha en öppen definition som tydligt beskriver dess funktioner, metoder och parametrar. Detta gör det möjligt för externa utvecklare att enkelt integrera med systemet och använda dess API | IntegrationÖppenhet | Kompatibilitet | <informationsmodell> <applikationstjänst> | <princip> | | | | | | | | | |
AG0004b | 2023-0411-1206 | Systemets API ska vara tillgängligt, supporterat och dokumenterat | System | Icke funktionellt IT-krav | Kravet innebär att API’n ska vara tillgänglig för användning, med dokumentation som beskriver hur det fungerar och hur det kan integreras med externa system. Kravet inkluderar också att API’n ska ha support tillgängligt för användare som stöter på problem eller behöver hjälp med integrationen. | IntegrationÖppenhet | Kompatibilitet | <informationsmodell> <applikationstjänst> | <princip> | | | | | | | | | |
AG0005 | 2023-04-12 | Behörighetsfunktionen ska kunna integreras med UMs befintliga katalogtjänster, såsom Lightweight
Directory Access Protocol (LDAP), Active Directory, eDir/NDS eller liknande. | Behörighet | Icke funktionellt IT-krav | Möjliggöra SSO Förutsätter konfiguration för att uppnå funktion. | Auktorisering | Konfidentialitet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0006 | 2023-04-12 | Alla aktiviteter i systemet ska loggas med avseende på vilken användare eller funktion som gjort justeringen, vad som gjorts och vid vilken tidpunkt. | Loggning | Icke funktionellt IT-krav | Systemloggning. Tillgänglighet för granskning av logg behöver säkerställas. Finns central loggserver så behöver styrning av loggflöde kravställas. | Spårbarhet | Oavvislighet | <applikation> <applikationstjänst> | <princip> | | | | | | | | | |
AG0007 | 2023-0411-1206 | Autentisering av leverantörens systemadministratörer vid
inloggning ska alltid ske med multifaktorfunktion (MFA) på nivå LoA2 eller högre. | BehörighetIdentifiering | Icke funktionellt IT-krav | Teknisk säkerhetsåtgärd för autentisering av extern personal utifrån. Val av autentiseringsmetod lämnas till leverantören. Vill ni ställa krav på LoA3 så justerar ni det textuella kravet. | Autentisering | Riktighet | <applikation> <applikationstjänst> | <teknisk säkerhetsåtgärd> | | | | | | Exempel: 4 veckor innan driftstart | | | |
AG0008 | 2023-04-12 | Leverantörens klientenheter, som används för behandling av
UMs information ska vara krypterade med säker krypteringsfunktion, ex. Windows 10/Bitlocker eller
motsvarande. | Klient | Icke funktionellt IT-krav | Teknisk säkerhetsåtgärd för autentisering av extern personal utifrån. Val av krypteringsfunktion lämnas till leverantören. | Kryptering | Konfidentialitet | <applikationsfunktion> | <teknisk säkerhetsåtgärd> | | | | | | Exempel: 4 veckor innan driftstart | | | |
AG0009 | 2023-04-12 | UMs PuB-avtal ska användas. | Avtal | Säkerhetskrav | Säkerställer att köparens PUB-avtal används. | PuB avtal | Informationssäkerhet | <säkerhetsåtgärd> | <begränsning - lag> | | | | | | | | | |
AG0010 | 2023-04-12 | Systemets API ska stödja etablerade protokoll eller designprinciper såsom SOAP, REST eller SFTP och etablerade dataformat såsom XML eller JSON. | Integration | Icke funktionellt IT-krav | Val av etablerade protokoll och designprinciper underlättar arbete och förvaltning av integrationer. UM behöver bifoga sin egen beskrivning av sin IT-miljö som bilaga. | API | Interoperabilitet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0011 | 2023-04-12 | Anbudsgivaren ska beskriva vilka protokoll, designprinciper och dataformat som systemets API stödjer. | Integration | Icke funktionellt IT-krav | Styrker kravet AG0016.
| API | Interoperabilitet | <applikationstjänst> | <nytta> | | | | | | | | | |
AG0012 | 2023-04-12 | Systemets API för informationsdelning bör följa Diggs allmänna krav på REST API profil | Integration | Icke funktionellt IT-krav | Säkerställer robust och väldokumenterad API. Inte tillämpligt när man följer en etablerad standard (till exempel HL7 FHIR) eller när antalet parter som redan nyttjar API:et är stort och en ändring skulle bli mycket kostsam. | API | Interoperabilitet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0013 | 2023-04-12 | Det ska vara möjligt att använda UM’s integrationsplattform för systemets informationsutbyte med andra system. | Integration | Icke funktionellt IT-krav | Målarkitektur. Säkerställer att köparen blir bryggan till informationsutbyte och tar bort en till en beroenden. Följer målarkitektur. | Integrationsplattform | Interoperabilitet | <applikation> | <princip> | | | | | | | | | |
AG0014 | 2023-04-12 | Systemets API ska skyddas med vedertagna åtkomst- och säkerhetsprotokoll såsom Open ID connect, API-nyckel, antal anrop i följd m.m. | Integration | Icke funktionellt IT-krav | Säkerhetsåtgärd för API:er. Bör användas tillsammans med AG0015 | API | Interoperabilitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0015 | 2023-04-12 | Anbudsgivaren ska beskriva vilka åtkomst- och säkerhetsprotokoll som används för att skydda systemets API. | Integration | Icke funktionellt IT-krav | Styrker kravet AG0014. | API | Interoperabilitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0016 | 2023-04-12 | Det ska vara möjligt att exportera lagrad information på ett strukturerat och maskinläsbart sätt avsett för migrering av system eller arkivering. | Informationshantering | Icke funktionellt IT-krav | Säkerställer att strukturerad export av data går att göra. Används t.ex. vid byte av leverantör. | Dataexport | Portabilitet | <applikationstjänst> | <intresse> | | | | | | | | | |
AG0017 | 2023-04-12 | Leverantören ska tillhandahålla testmiljö för systemet. | Test | Funktionellt IT-krav | Om behovet finns. Kan ev. behöva specificeras om miljön ska vara onprem eller ej. | Testmiljö | Testbarhet | <applikation> <nod> | <princip> | | | | | | | | | |
AG0018 | 2023-04-12 | Testmiljö ska inte innehålla information som är känslig eller omfattas av sekretess. | Informationshantering | Icke funktionellt IT-krav | Säkerhetsåtgärd | Testmiljö | Testbarhet | <informationsobjekt> | <begränsning - lag> | | | | | | | | | |
AG0019 | 2023-04-12 | Inloggning i produktionsmiljö ska inte kunna göras med samma konto/autentisering som används för inloggning i testmiljö. | Test | Icke funktionellt IT-krav | Säkerhetsåtgärd | Autentisering | Testbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0020 | 2023-04-12 | Ingen överföring av direkta eller indirekta personuppgifter ska ske utanför EU/EES såvida inte direkt instruktion om detta ges av UM. | Informationshantering | Icke funktionellt IT-krav | Dataskyddsförordningen | Personuppgiftshantering | Informationssäkerhet | <säkerhetsåtgärd> | <begränsning - lag> | | | | | | | | | |
AG0021 | 2023-0411-1206 | Det ska vara möjligt för person med hög behörighet att permanent radera information i systemet enligt UMs bevarande och gallringsplan. | Informationshantering | Funktionellt IT-krav | Följer UMs riktlinjer. | BehörighetRadering av data | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0022 | 2023-04-12 | UMs data relaterat till drifthållningen av systemet ska raderas efter avslutad tjänst. | Informationshantering | Icke funktionellt IT-krav | T.ex. information om UMs som leverantören behöver för att leverera tjänst ska raderas. IpIP-adresser, konto, etc. | Radering av data | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0023 | 2023-0406-1230 | UM ska vara ensam ägare av den information som tillhandahållits inom ramen för UMs nyttjande av systemet. | Informationshantering | Icke funktionellt IT-krav | Informationsägarskap. Innebär att ingen annan part har rättigheter eller äganderätt till den information som samlats in eller genererats genom användningen av systemet av UM. | Informationsägarskap | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0024 | 2023-04-12 | Systemet ska använda tid som synkroniseras mot en av UMs godkänd NTP-tjänst. | System | Icke funktionellt IT-krav | Vid loggning ska samma tid användas. | Systemtid | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0025 | 2023-04-12 | Systemet ska envägskryptera lösenord och annan känslig information innan den lagras och inte överföra den i klartext. Anbudsgivaren ska beskriva val av krypteringsalgoritm och nyckellängd. | System | Icke funktionellt IT-krav | Anbudsgivaren ska redovisa nyckellängd. Val av längd på nyckel anpassas till val av algoritm och den tid som information förväntas vara i behov av skydd. T.ex. vid AES rekommenderas nyckelängd på 128 -respektive 256 bitar. Kräver regler för respektive UMs angående kryptering med krav på hantering av nycklar, krypteringslösningar, krypteringsalgoritmer, protokoll samt nyckellängder. | Kryptering | Informationssäkerhet | <säkerhetsåtgärd> | <begränsning - regel> | | | | | | | | | |
AG0026 | 2023-0406-1230 | All kommunikation med systemet ska vara skyddad mot obehörig åtkomst eller förvanskning med kryptering. Det gäller både kommunikation mellan klient (oavsett typ av användargränssnitt) och server, samt mellan olika systemkomponenter. Skyddet ska uppdateras löpande utifrån kända sårbarheter. | System | Icke funktionellt IT-krav | KommunikationSkydd av systemet. Skyddsnivå sätts av UM. Befintlig infrastruktur hos UM kan vara involverad. | Kommunikation | Informationssäkerhet | <säkerhetsåtgärd> | <princip> | | | | | | | | | |
AG0027 | 2023-04-12 | Vid transportkryptering med TLS ska version 1.2 eller senare användas. | Informationshantering | Icke funktionellt IT-krav | Teknisk säkerhetsåtgärd för kommunikation. N/A | Kryptering | Konfidentialitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0028 | 2023-0406-1230 | Skyddsvärd information ska skyddas med kryptering vid kommunikation över nätverk. | Informationshantering | Icke funktionellt IT-krav | Skydd för information i rörelse. Åtgärd ska stå i paritet till informationssäkerhetsklassning. | Kryptering | Konfidentialitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0029 | 2023-04-12 | Tjänste- och systemkonton har inte generell internetåtkomst från UMs IT-miljö. Vid behov kan undantag göras efter riskanalys. Ev. behov och motivering ska beskrivas i anbudet. | Behörighet | Icke funktionellt IT-krav | Säkerställer härdning av system och att leverantörer inte utgår från att de har full åtkomst mot internet. | Åtkomst | Konfidentialitet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0030 | 2023-0406-1230 | Klientapplikation som kommunicerar med tjänster utanför köparens i UM’s nätverk ska gå via en UM’s autentiserande proxy. | Behörighet | Icke funktionellt IT-krav | Klient/systems behov av extern åtkomst. | Kommunikation | Informationssäkerhet | <teknisk tjänst> | <risk> | | | | | | | | | |
AG0031 | 2023-04-12 | Alla tredjepartsprogramvaror som systemet är beroende av (ex. Java) ska vara supporterade under avtalstiden. | System | Icke funktionellt IT-krav | Säkerställer att support finns på komponenter. | Tredjepartsprogramvoror | Underhållbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0032 | 2023-0406-1230 | Anbudsgivaren ska kontinuerligt underhålla och uppdatera systemet, när fel och brister identifieras, och i lämplig takt med teknikutvecklingen och i god tid före eventuella förändringar av aktuell lagstiftning. | System | Icke funktionellt IT-krav | Kontinuitetshantering av system. | Systemunderhåll | Underhållbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0033 | 2023-04-12 | UMs servrar uppdateras kontinuerligt med leverantörernas rekommenderade säkerhetsuppdateringar för operativsystem, antivirus och övrig programvara. Systemet ska klara dessa uppdateringar. | Servermiljö | Icke funktionellt IT-krav | Kravet säkerställer att systemet alltid är uppdaterat och skyddat mot kända sårbarheter och hot. Konsekvens att inte använda kravet innebär t.ex. öppningar för sårbarheteter, nedsatt funktion, störningar. | Serverunderhåll | Underhållbarhet | <säkerhetsåtgärd> | <risk> | | | | | | | | | |
AG0034a | 2023-0406-1230 | Anbudsgivaren ska tillhandahålla en arkitekturbeskrivning som på en övergripande nivå beskriver hur systemet är uppbyggt. Beskrivningen ska inkludera systemets ingående komponenter, deras funktion och beroenden, säkerhetslösningar, informationsflöden och kommunikation över nätverk. | Dokumentation | Funktionellt IT-krav | Arkitekturell dokumentation. Vid utvärdering är det viktigt att verifiera att alla förväntade komponenter finns beskrivna i anbudet. | AnvändbarhetArkitekturbeskrivning | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0034b | 2023-0406-1230 | Arkitekturbeskrivingen Arkitekturbeskrivningen ska ha en tillräcklig detaljeringsnivå och innehåll så att UM kan bedöma hur väl systemet kommer att fungera i den omgivande systemmiljön och tänkta driftsmiljön. | Dokumentation | Funktionellt IT-krav | Styrker AG0034a. Används för att få en ökad förståelse för leverantörens lösning för att identifiera ev brister för att kunna föra en vidare dialog. | AnvändbarhetArkitekturbeskrivning | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0035 | 2023-0406-1230 | Anbudsgivaren ska tillhandahålla systemdokumentation med anvisningar för hur systemet installeras, konfigureras, administreras, driftas och förvaltas. | Dokumentation | Icke funktionellt IT-krav | Systemdokumentation Ej användbart krav för enklare MT utrustning. | AnvändbarhetTeknik | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0036 | 2023-0406-1230 | Systemdokumentationen ska finnas på svenska eller engelska. | Dokumentation | Funktionellt IT-krav | Språkval av systemdokumentation. | AnvändbarhetTeknik | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0037 | 2023-0406-1230 | Vid versionsuppdateringar och förändringar ska dokumentation systemdokumentationen uppdateras och göras tillgänglig. Detta avser både större (major) och mindre (minor) uppgraderingar. | Dokumentation | Funktionellt IT-krav | Uppdaterad dokumentation. Konsekvens att inte använda kravet skulle innebära förvirring bland användarna, felanvändning av systemet och ökade support- och underhållskostnader för organisationen. | AnvändbarhetTeknik | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0038 | 2023-0406-1230 | Dokumentationen Systemdokumentationen ska finnas i ett elektroniskt och utskriftsanpassat format. | Dokumentation | Funktionellt IT-krav | Hantering av dokumentation. | AnvändbarhetTeknik | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0039 | 2023-0408-1228 | Anbudsgivaren ska tillhandahålla teknisk support och användarstöd till slutanvändare på svenska. | SupportSystem | Funktionellt IT-krav | Språkval av användarstöd. Kravet innebär att anbudsgivaren behöver ha personal eller resurser tillgängliga som kan kommunicera på svenska och tillhandahålla teknisk support och användarstöd på detta språk | AnvändbarhetSupport | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0040AG0039a | 2023-0408-1228 | Anbudsgivaren ska beskriva hur tillhandahålla teknisk support och användarstöd kan ges.Supporttill på svenska i första linjen | System | Funktionellt IT-krav | Språkval av användarstöd. Kravet innebär att anbudsgivaren måste beskriva vilken typ av teknisk support och användarstöd som de kommer att erbjuda för systemet som de ska utveckla eller leverera. Det kan inkludera olika former av kommunikationskanaler som e-post, telefon eller chatt, samt beskrivning av deras tekniska supportteams kompetens och erfarenhet. Kan täckas in i SLA | Användbarhet | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | AG0041 | 2023-04-12 | Anbudsgivaren ska beskriva vilken tillgänglighet och svarstider som kan erbjudas för teknisk support och användarstöd. | Supportbehöver ha personal eller resurser tillgängliga som kan kommunicera på svenska och tillhandahålla teknisk support och användarstöd på detta språk | Support | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0039b | 2023-08-28 | Anbudsgivaren ska tillhandahålla andra och tredje linjens teknisk support på svenska i första hand och engelska i andra hand. | System | Funktionellt IT-krav | Språkval av användarstöd. Kravet innebär att anbudsgivaren måste beskriva när och hur länge deras tekniska support och användarstöd kommer att vara tillgängligt, samt vilka svarstider som kan erbjudas för att hantera tekniska problem eller frågor från användare. Kan täckas in i SLA | Användbarhet | behöver ha personal eller resurser tillgängliga som kan kommunicera på svenska eller engelska och tillhandahålla teknisk support och användarstöd på detta språk | Support | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0042AG0040 | 2023-0406-1230 | Anbudsgivaren ska erbjuda utbildning för användare som ska arbeta med systemet. | Support | Icke funktionellt IT-krav | Utbildningen kan ges på olika sätt, till exempel genom fysiska träffar, webbinarier eller digitala kursmaterial. Anbudsgivaren ska vanligtvis ange vilken typ av utbildning som kommer att erbjudas, hur den kommer att levereras och vilken omfattning den kommer att ha. | Användbarhetbeskriva hur teknisk support och användarstöd kan ges. | System | Funktionellt IT-krav | Kravet innebär att anbudsgivaren måste beskriva vilken typ av teknisk support och användarstöd som de kommer att erbjuda för systemet som de ska utveckla eller leverera. Det kan inkludera olika former av kommunikationskanaler som e-post, telefon eller chatt, samt beskrivning av deras tekniska supportteams kompetens och erfarenhet. Kan täckas in i SLA | Support | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0043AG0041 | 2023-0406-1230 | Systemet ska ha stöd för informationshantering enligt gällande lagstiftning och föreskrifter.
Exempel på lagar och förordningar som kan vara tillämpliga är: Dataskyddsförordningen (2016/679) Patientdatalagen (2008:355) Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSL-FS 2016:40) Lag (2018:1937) om tillgänglighet till digital offentlig service EU-förordning om medicintekniska produkter (2017/745) Offentlighets- och sekretesslagen (2009:400) Arkivlagen (1990:782)
| Informationshantering | Icke funktionellt IT-krav | Systemet måste följa lagar och föreskrifter för informationshantering för att säkerställa att behandlingen av personuppgifter och annan information sker på ett lagligt och säkert sätt. Konsekvensen av kravet är att systemet måste implementera funktioner och rutiner som möjliggör för användare att hantera informationen i enlighet med de gällande lagarna och föreskrifterna. | Lagar och förordningar | Informationssäkerhet och IT-säkerhet | <appllikation> <begränsning> | <lag> | AG0044 | 2023-04-12 | Anbudsgivaren ska beskriva vilka lagar och föreskrifter som är tillämpliga för systemets informationshantering och på vilket sätt systemet är utformat för att stödja dessa.Anbudsgivaren ska beskriva vilken tillgänglighet och svarstider som kan erbjudas för teknisk support och användarstöd. | System | Funktionellt IT-krav | Kravet innebär att anbudsgivaren måste beskriva när och hur länge deras tekniska support och användarstöd kommer att vara tillgängligt, samt vilka svarstider som kan erbjudas för att hantera tekniska problem eller frågor från användare. Nivåer sätts för respektive upphandling. Kan täckas in i SLA | Support | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0042 | 2023-06-30 | Anbudsgivaren ska erbjuda utbildning för användare som ska arbeta med systemet. | System | Icke funktionellt IT-krav | Utbildningen kan ges på olika sätt, till exempel genom fysiska träffar, webbinarier eller digitala kursmaterial. Anbudsgivaren ska vanligtvis ange vilken typ av utbildning som kommer att erbjudas, hur den kommer att levereras och vilken omfattning den kommer att ha. Specificering av typ av användare och nivå behöver göras. | Utbildning | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0043 | 2023-04-12 | Systemet ska ha stöd för informationshantering enligt gällande lagstiftning och föreskrifter.
Exempel på lagar och förordningar som kan vara tillämpliga är: Dataskyddsförordningen (2016/679) Patientdatalagen (2008:355) Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården (HSL-FS 2016:40) Lag (2018:1937) om tillgänglighet till digital offentlig service EU-förordning om medicintekniska produkter (2017/745) Offentlighets- och sekretesslagen (2009:400) Arkivlagen (1990:782)
| Informationshantering | Icke funktionellt IT-krav | Lagar och förordningar | Informationssäkerhet | <appllikation> <begränsning> | <lag> | AG0045 | 2023-04-12 | Systemet ska ha en dokumenterad och formell process för hantering av användaridentiteter som inkluderar skapande, ändring, inaktivering och radering av användarkonton, för att säkerställa säkerhet och tillförlitlighet i användarautentisering och åtkomstkontroll. | Användarhantering | Icke funktionellt IT-krav | Identitetshantering | Informationssäkerhet | <applikation> <process> | <princip> | AG0046 | 2023-04-12 | Varje användares identitet i systemet ska vara unik och personlig under hela användarens livscykel och kunna verifieras mot externa register, såsom exempelvis Active Directory, HSA eller befolkningsregister. | Användarhantering | Systemet måste följa lagar och föreskrifter för informationshantering för att säkerställa att behandlingen av personuppgifter och annan information sker på ett lagligt och säkert sätt. Konsekvensen av kravet är att systemet måste implementera funktioner och rutiner som möjliggör för användare att hantera informationen i enlighet med de gällande lagarna och föreskrifterna. | Lagar och förordningar | Informationssäkerhet och IT-säkerhet | <appllikation> <begränsning> | <lag> | | | | | | | | | |
AG0044 | 2023-06-30 | Anbudsgivaren ska beskriva vilka lagar och föreskrifter som är tillämpliga för systemets informationshantering och på vilket sätt systemet är utformat för att stödja dessa. | Informationshantering | Icke funktionellt IT-krav | För att säkerställa korrekt och tillförlitlig autentisering och åtkomstkontroll. | Identitetshantering | Informationssäkerhet | <applikation> <dataentitet> | <princip> | AG0047 | 2023-04-12 | Åtkomst till personuppgifter bör föregås av stark autentisering. | Informationshantering | Icke funktionellt IT-krav | Överväg om ni vill spetsa till kravet till ett ska-krav | Åtkomst | Konfidentialitet | <applikationsfunktion> | <princip> | AG0048 | Lagefterlevnad Specificering av lagrum kan med fördel göras. Kravet är inte tillämpligt för gemensam digital infrastruktur (typ BI, BPMS m.m.) | Lagar och förordningar | Informationssäkerhet | <appllikation> <begränsning> | <lag> | | | | | | | | | |
AG0045 | 2023-06-30 | Systemet ska ha en dokumenterad och formell process för hantering av användaridentiteter som inkluderar skapande, ändring, inaktivering och radering av användarkonton, för att säkerställa säkerhet och tillförlitlighet i användarautentisering och åtkomstkontroll. | Användarhantering | Icke funktionellt IT-krav | Hantering av användarkonton i systemet | Identitetshantering | Informationssäkerhet | <applikation> <process> | <princip> | | | | | | | | | |
AG0046 | 2023-04-12 | Invånare/allmänhet ska autentiseras med av Digg godkänd svensk e-legitimation | InformationshanteringVarje användares identitet i systemet ska vara unik och personlig under hela användarens livscykel och kunna verifieras mot externa register, såsom exempelvis Active Directory, HSA eller befolkningsregister. | Användarhantering | Icke funktionellt IT-krav | Åtkomst | Konfidentialitet | <applikationsfunktion> | För att säkerställa korrekt och tillförlitlig autentisering och åtkomstkontroll. | Identitetshantering | Informationssäkerhet | <applikation> <dataentitet> | <princip> | | | | | | | | | |
AG0049AG0047 | 2023-04-12 | Extern åtkomst till UM’s nätverk ska ske med personligt konto och Åtkomst till personuppgifter bör föregås av stark autentisering. | Informationshantering | Icke funktionellt IT-krav | Överväg om ni vill spetsa till kravet till ett ska-krav | Åtkomst | Konfidentialitet | <applikationsfunktion> | <princip> | | | | | | | | | |
AG0050aAG0048 | 2023-0406-12 | Vid extern åtkomst till UM's nätverk ska UM kunna kräva att anbudsgivaren nyttjar köparens etablerade lösning för fjärråtkomst. | Fjärråtkomst30 | Invånare/allmänhet ska autentiseras med av Digg godkänd svensk e-legitimation | Informationshantering | Icke funktionellt IT-krav Tillämpligt vid fjärråtkomst | Åtkomst | Tillförlitlighet | <applikationstjänst>Autentisering av invånare. Endast relevant krav då invånare är användare av systemet. | Autentisering | Konfidentialitet | <applikationsfunktion> | <princip> | | | | | | | | | |
AG0050bAG0049 | 2023-0409-12 | Om annan lösning än UM’s etablerade lösning för fjärråtkomst föreslås, ska en detaljerad beskrivning av denna lösning medfölja anbudet. | Fjärråtkomst11 | Extern åtkomst till UM’s nätverk ska ske med personligt konto och stark autentisering. | Informationshantering | Icke funktionellt IT-krav | Tillämpligt vid fjärråtkomst Kräver en bedömning av leverantörens lösningFjärråtkomst för bl.a. felsökning eller underhåll av system. Kravet kan involvera befintlig infrastruktur hos UM och då behöver det specificeras. | Åtkomst | TillförlitlighetKonfidentialitet | <applikationstjänst><applikationsfunktion> | <princip> | | | | | | | | | |
AG0050cAG0050a | 2023-04-12 | Om annan lösning Vid extern åtkomst till UM's nätverk ska UM kunna kräva att anbudsgivaren nyttjar köparens etablerade lösning för fjärråtkomst. | Fjärråtkomst | Icke funktionellt IT-krav | Tillämpligt vid fjärråtkomst | Åtkomst | Tillförlitlighet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0050b | 2023-04-12 | Om annan lösning än UM’s etablerade lösning för fjärråtkomst föreslås, ska den godkännas av UM innan den får användasen detaljerad beskrivning av denna lösning medfölja anbudet. | Fjärråtkomst | Icke funktionellt IT-krav | Tillämpligt vid fjärråtkomst Kräver en bedömning av leverantörens lösning | Åtkomst | Tillförlitlighet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0051AG0050c | 2023-04-12 | Systemet ska ha Om annan lösning än UM’s etablerade lösning för fjärråtkomst föreslås, ska den godkännas av UM innan den får användas. | Fjärråtkomst | Icke funktionellt IT-krav | Tillämpligt vid fjärråtkomst Kräver en bedömning av leverantörens lösning | Åtkomst | Tillförlitlighet | <applikationstjänst> | <princip> | | | | | | | | | |
AG0051 | 2023-09-11 | Systemet ska ha en tydlig och lättanvänd utloggningsfunktion som är tillgänglig för användaren från alla sidor och delar av systemet.
Utloggningsfunktionen ska ge bekräftelse på att användaren har loggats ut, och användaren ska inte längre ha tillgång till någon information eller funktionalitet i systemet efter utloggning.Systemsystemet efter utloggning. | System | Icke funktionellt IT-krav | Säkerställd utloggning | Åtkomst | Användarbarhet | <applikationsfunktion> | <princip> | | | | | | | | | |
AG0052 | 2023-04-12 | Systemet bör ha en funktion för automatisk utloggning vid inaktivitet där inaktivitetstid för utloggning av användare är konfigurerbar. | System | Icke funktionellt IT-krav | Används om patientinformation eller annan känslig information hanteras. | Åtkomst | Användarbarhet | <applikationsfunktion> | <princip> | | | | | | | | | |
AG0053 | 2023-09-11 | Endast behöriga användare ska kunna använda systemet. | System | Icke funktionellt IT-krav | Användarhantering i systemet. Om UM har en egen källa för behörigheter så ska kravet kompletteras med det. | Åtkomst | Riktighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0054 | 2023-09-11 | Endast behörig administratör ska kunna ändra systemets inställningar och konfiguration. | System | Icke funktionellt IT-krav | Användarhantering i systemet. Om UM har en egen källa för behörigheter så ska kravet kompletteras med det. | Åtkomst | Riktighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0055 | 2023-09-11 | Anbudsgivare ska deklarera samtliga externa Url och dess funktion som systemet är beroende av. Samtliga kopplingar ska godkännas av UM innan godkännande av anbud. | System | Icke funktionellt IT-krav | Säkrande av system i driftsmiljö. | Kommunikation | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0056 | 2023-05-22 | Anbudsgivaren ska redovisa förväntade svarstider för huvudfunktioner i systemet vid en normal belastning. | System | Icke funktionellt IT-krav | Svarstider Samsyn över vilka huvudfunktionerna är måste etableras. | Svarstider | Funktionell ändamålsenlighet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0057 | 2023-11-06 | Det ska finnas en dokumenterad och formell process för hur användaridentiteter hanteras i systemet. | Användarhantering | Icke funktionellt IT-krav | Eventuellt så behöver UM definiera vad systemet är. Leverantör behöver beskriva hur kravet uppfylls. | Identitetshantering | Konfidentalitet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0058 | 2023-11-06 | Användares identitet i systemet ska vara personlig och unik över tid | Användarhantering | Icke funktionellt IT-krav | Användarhantering i systemet. Grupp- eller opersonliga konton (typ vikarie 1) användare tillåtes ej. | Identitetshantering | Konfidentalitet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0059 | 2023-11-06 | Användarens identitet ska kunna verifieras mot externa register såsom exempelvis Active Directory, HSA eller befolkningsregister. | Användarhantering | Icke funktionellt IT-krav | Användarhantering i systemet. Eventuellt så kan kravet göras mer specifikt genom att bara ha kvar det verifieringskälla som gäller för det systemet. | Identitetshantering | Interoperabilitet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0060 | 2023-11-06 | Systemet ska använda DNS vid anrop till nätverksnoder och serverresurser. | System | Icke funktionellt IT-krav | Driftsmiljö Kravet är bara tillämpbart om DNS används i driftsmiljön. | Kommunikation | Interoperabilitet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0061 | 2023-11-06 | Systemet ska tillåta att UM använder standardprodukt för skydd mot skadlig kod (antivirus) på systemets servrar, i nuläget >(ange UM antivirus)< | System | Icke funktionellt IT-krav | Virusskydd | Serverunderhåll | Informationssäkerhet | <applikation> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0062 | 2023-10-23 | Om systemet används med klientdator ska UM’s standard-PC med eKlient (Länk till sida med bl.a. eKlients krav) kunna användas. Systemet ska klara ska-kraven i eKlients kravbibliotek. | Klient | Icke funktionellt IT-krav | Klienthantering Detta krav förutsätter att UM använder eKlient | Systemunderhåll | Underhållbarhet | <nod> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0063 | 2023-05-22 | Om systemet används med klientdator ska anbudsgivaren redovisa hur systemet möter bör-kraven i eKlients kravbibliotek (se https://inera.se/eklient , https://publik.eklient.it). | Klient | Icke funktionellt IT-krav | Åtkomst | Användarbarhet | <applikationsfunktion> | <princip> | AG0052 | 2023-04-12 | Systemet bör ha en funktion för automatisk utloggning vid inaktivitet där inaktivitetstid för utloggning av användare är konfigurerbar. | System | Icke funktionellt IT-krav | Används om patientinformation eller annan känslig information hanteras. | Åtkomst | Användarbarhet | Klienthantering Detta krav förutsätter att UM använder eKlient | Systemunderhåll | Underhållbarhet | <nod> <applikationsfunktion> | <princip> | | | | | | | | | |
AG0053AG0064 | 2023-0411-12 | Endast behöriga användare ska kunna använda systemet. | System06 | Webbapplikationers användargränssnitt bör vara responsivt med stöd för smartphone, plattor och dator och förändra layout beroende på vilken enhet, skärmstorlek och skärmupplösning som användaren har. | Användbarhet | Icke funktionellt IT-krav | Åtkomst | Riktighet | <applikation> <applikationsfunktion> | <princip> | AG0054
2023-04-12 | Endast behörig administratör ska kunna ändra systemets inställningar och konfiguration. | System | Icke funktionellt IT-krav | Åtkomst | Riktighet | <applikation> <applikationsfunktion> | Se utvärderingsmodell för utvärdering. Vi rekommenderar att bilägga mätbara värden i kravet. (ex. responstid i ms) | UI | Gränssnittsutformning | <applikationsgränssnitt> | <standard> | | | | | | | | | |
AG0065 | 2023-11-06 | 2 faktors autentisering för medarbetare ska kunna göras med de av Digg LoA3 godkända organisations eID. | Användarhantering | Säkerhetskrav | Om man ex upphandlar en IdP så kan kravet användas oförändrat. Annars behöver man specificera vilket eID som UM använder för upphandlat systemet. | Identitetshantering | Konfidentialitet | <teknisk tjänst> | <princip> | | | | | | | | | |