Volltext
Bezeichnung des Auftrags durch den Auftraggeber: Gegenstand des Aufrags ist die Erstellung und die hochverfügbare Beretistellung mehrerer Trust Service Status Lists (nach ETSI TS 102 231). Um den Vertrauensraum der Gesundheitstelematik-Infrastruktur technisch abzubilden, wird das bei ETSI ESI TS 102 231 international standardisierte Konzept der Trust-service Status List verwendet. Diese Liste wird in zwei Varianten erstellt, einer Trust-service Status List (TSL) für die CA-Zertifikate der Trust Service Provider von HBA, eGK und SMC-B und einer Trusted-Component-List (TCL) für die Herausgeber von Komponentenzertifikaten (SM-K der Konnektoren, Fach-Dienste, Server-, IPSEC- und System-Managementzertifikate). Zu jeder der Listenvariante gibt es eine Test- und eine Produktivversion. Die Prüfung der Zulassung und Freigabe des Registrierungsprozesses für die jeweilige TSL erfolgt durch die gematik. Der eigentliche technische Betrieb wird im Auftrage der gematik durch einen technischen Dienstleister („gematik TSL-Serviceprovider“) durchgeführt werden. Die Vergabe dieser Leistungen ist Gegenstand der Ausschreibung. Dieses umfasst für Test- und Produktivbetrieb von TCL und TSL mit jeweils folgenden Kern-Aufgaben: a) Aufbau der erforderlichen Public Key Infrastructure (PKI) unter Nutzung von evaluierten Hochsicherheitsmodulen b) Bereitstellung von hochverfügbarer Download-Services via https innerhalb der Gesundheitstelematik und im Internet auf Basis garantierter Service Level Agreements c) Bereitstellung der räumlichen, organisatorischen, personellen und technischen Infrastruktur an mehreren Standorten für den Betrieb der oben beschriebenen Services in voraussichtlich drei getrennten Betriebsumgebungen: o Produktions-Umgebung (für den Echtdaten-Verkehr) o Produktionstest-Umgebung (für die Testung neuer Versions-Stände vor der Implementierung) o Produktionsreferenz-Umgebung (für die zeitnahe Nachstellung von Fehlerzuständen der Produktions-Umgebung in vergleichbarer Infrastruktur) Die Notwendigkeit der logischen und / oder physikalischen Trennung der einzelnen Betriebsumgebungen wird durch konzeptionelle Vorgaben im Rahmen der Verdingungsunterlagen ersichtlich. d) Betrieb der Services durch Sicherstellung mindestens folgender Aufgaben: o Störungshandling inkl. Erfassung, Bearbeitung / Lösung, Schließung und ggf. Weiterleitung (Incident Management) o Proaktive Störungsvermeidung und präventive Maßnahmen zur Vermeidung vorhersehbarer Störungen u.a. auf Basis statistischer Erhebungen / Trendanalysen (Problem Management) o Planung, Durchführung und Dokumentation von Änderungen wie z.Bsp. neuen Releases und deren Stati (Change und Release Management) o Sicherstellung von Wiederherstellungsmechanismen (Replikation, Backup / Recovery, Archivierung etc.) für alle Daten o Monitoring u.a. von Verfügbarkeiten, Kapazitäten, Zugriffsprotokollierung (Availability Management) o Bereitstellung der Services im Rahmen von zu vereinbarenden SLAs sowie eines entsprechenden Berichtswesens (Service Level Management) o Notfallplanung und Durchführung entsprechender Tests (Continuity Management) e) Technische und organisatorische Unterstützung des IT Service Managements der gematik durch Benennung und Bereitstellung notwendiger personeller Ressourcen und technischer Infrastrukturen, sowie deren Integration in die gematik-Prozesse f) Online-Einbindung der gematik in das Netz-, Service-, Sicherheits- und Systemmonitoring des Auftragnehmers g) Unterstützung bei der Vorbereitung und Durchführung von Audits durch den Auftraggeber h) Die Services müssen hochverfügbar realisiert werden. Die genauen Anforderungen werden in den Verdingungsunterlagen spezifiziert. i) Da sich die gesamte Infrastruktur im Aufbau befindet, geht die gematik davon aus, dass zahlreiche, neue Software-Versionen oder Korrekturen kurzfristig eingespielt werden müssen. An dieser Stelle wird die Flexibilität und Schnelligkeit des Bieters im Rahmen der vereinbarten Prozesse besonders gefordert sein. Da Teilbereiche der oben dargestellten Services personenbezogene Patientendaten nutzen, werden extrem hohe Anforderungen an die Datensicherheit gestellt. Diese sind aus den Konzepten zu erlesen, die als Teil der Verdingungsunterlagen von den Bietern bei der Angebotserstellung zu berücksichtigen sind.