Volltext
Bezeichnung des Auftrags durch den Auftraggeber: Gegenstand des Auftrages ist der Aufbau und der Betrieb des Audit-Servcies der Telematik-Infrastruktur. Der Auftrag besteht aus dem Aufbau und dem Betrieb eines Audit-Services für Leistungserbringer und Nutzer der Telematik-Infrastruktur. a) Aufbau eines zentraler Audit-Services als innerhalb der Telematik-Infrastruktur. Die Softwarekomponenten des Services sowie das MPLS-Netz werden von der gematik beigestellt. Audit-Service Aufgabe des Audit-Service ist es, ein versichertenzentriertes DatenzugriffAuditLog (Auditlog) zur Verfügung zu stellen, das es dem Versicherten (und nur ihm) erlaubt, Zugriffe zu seinen Daten zu verfolgen und retrospektiv Verletzungen von Datenschutz und Datensicherheitsvorschriften festzustellen und nachweisen zu können. Weil jeder Datenzugriff protokolliert werden muss und Protokolle schützenswerte Daten sind, bestehen hohe Anforderungen an die Sicherheit, Verfügbarkeit und Skalierbarkeit des Service. Der Audit-Service wird durch das beigestellte MPLS-Netzwerke mit dem Backend-VPN der Telematik-Infrstruktur verbunden. Die Realisierung der Protokollierung erfolgt durch einen DatenzugriffAuditService. Die Auditierung von Datenzugriffen Online erfolgt über Fachdienst-übergreifend implementierte DatenzugriffAudit-Instanzen. Jedem Versicherten wird genau eine Online-Serviceinstanz zugeordnet. Der Audit-Service protokolliert versichertenzentriert und (Telematik-) serviceübergreifend alle Zugriffe auf Versichertendaten der Telematik-Infrastruktur. Die im Gesetz geforderte Protokollierung ist zweckgebunden zur Datenschutzkontrolle und darf damit nicht für andere Zwecke genutzt werden. b) Bereitstellung der räumlichen, organisatorischen, personellen und technischen Infrastruktur an mehreren Standorten für den Betrieb der unter a) beschriebenen Services in voraussichtlich drei getrennten Betriebsumgebungen: Produktions-Umgebung (für den Echtdaten-Verkehr) Produktionstest-Umgebung (für die Testung neuer Versions-Stände vor der Implementierung) Produktionsreferenz-Umgebung (für die zeitnahe Nachstellung von Fehlerzuständen der Produktions-Umgebung in vergleichbarer Infrastruktur) Die Notwendigkeit der logischen und / oder physikalischen Trennung der einzelnen Betriebsumgebungen wird durch konzeptionelle Vorgaben im Rahmen der Verdingungsunterlagen ersichtlich. c)Betrieb der Services durch Sicherstellung mindestens folgender Aufgaben: Störungshandling inkl. Erfassung, Bearbeitung / Lösung, Schließung und ggf. Weiterleitung (Incident Management) Proaktive Störungsvermeidung und präventive Maßnahmen zur Vermeidung vorhersehbarer Störungen u.a. auf Basis statistischer Erhebungen / Trendanalysen (Problem Management) Planung, Durchführung und Dokumentation von Änderungen wie z.Bsp. neuen Releases und deren Stati (Change und Release Management) Sicherstellung von Wiederherstellungsmechanismen (Replikation, Backup / Recovery, Archivierung etc.) für alle Daten Monitoring u.a. von Verfügbarkeiten, Kapazitäten, Zugriffsprotokollierung (Availability Management) Bereitstellung der Services im Rahmen von zu vereinbarenden SLAs sowie eines entsprechenden Berichtswesens (Service Level Management) Notfallplanung und Durchführung entsprechender Tests (Continuity Management) d)Technische und organisatorische Unterstützung des IT Service Managements der gematik durch Benennung und Bereitstellung notwendiger personeller Ressourcen und technischer Infrastrukturen, sowie deren Integration in die gematik-Prozesse e) Online-Einbindung der gematik in das Netz-, Service-, Sicherheits- und Systemmonitoring des Auftragnehmers f) Unterstützung bei der Vorbereitung und Durchführung von Audits durch den Auftraggeber g) Die Services müssen hochverfügbar realisiert werden. Die genauen Anforderungen werden in den Verdingungsunterlagen spezifiziert. h) Da sich die gesamte Infrastruktur im Aufbau befindet, geht die gematik davon aus, dass zahlreiche, neue Sofware-Versionen oder Korrekturen kurzfristig eingespielt werden müssen. An dieser Stelle wird die Flexibilität und Schnelligkeit des Bieters im Rahmen der vereinbarten Prozesse besonders gefordert sein. Da die oben dargestellten Services personenbezogene Patientendaten nutzen, werden extrem hohe Anforderungen an die Datensicherheit gestellt. Diese sind aus den Konzepten zu erlesen, die im Rahmen der Verdingungsunterlagen versendet werden.