This is an HTML version of an attachment to the Freedom of Information request 'Estate Infrastructure'.


 
 
 
  
02/09/2021  
  
Dear Requester,  
  
Thank you for your Freedom of Information request. 
  
In accordance with S.1 (1) (a) of the Freedom of Information Act 2000 (FOIA), I can confirm that we do hold the 
information relevant to your request. FOI 795 
Response below 

 
You asked:                                          
 
Under the Freedom of Information Act 2000, I write to obtain the following information about the organisation’s 
information technology infrastructure: 
   
 
1. What is your annual IT Budget for 2021, 2022 & 2023? 
 
Section 43 & 31 applied to this question 
Commercially Sensitive & Cyber Security. 
 
2. Storage: 
IT directorate total storage for the current and forthcoming financial years -£1.75m including service contracts 
excluding project funding 
 
 
a. What storage vendor(s) and models do you currently use? 
Section 31 applied Cyber Security 
 
 
b. What is the capacity of the storage data in TB & How much of this is utilised? 
This is varied – we have a managed service provided by Cancom 
 
 
c. What were the installation dates of the above storage vendor(s)? (Month/Year) 
2013 
 
 
d. When is your planned (or estimated) storage refresh date? (Month/Year)? 
Ongoing/rolling 
 
 
 
e. Do you have any extended warranties, if so, with which supplier? 
Managed service by cancom 
 

 
 
 
f. What is your estimated budget for the storage refresh? 
Managed service by cancom 
 
 
3. Server/Compute: 
 
 
 
a. What server vendor(s) and models do you currently use? 
Section 31 applied Cyber Security 
 
b. What were the installation dates of the above server vendor(s)? (Month/Year) 
2015 
 
 
c. When is your planned (or estimated) server refresh date? (Month/Year) 
Managed service is rolling – refresh when needed 
 
 
d. What is your estimated budget for the server refresh? 
Contractual based 
 
 
e. Do you have any extended warranties, if so, with which supplier? 
No 
 
 
f. Which operating systems are used? 
Section 31 applied Cyber Security 
 
4. Backup, DR and BC: 
Section 31 applied 
 
 
 
a. What device/system do you use for your daily backups (e.g tape or disk) 
Section 31 applied 
 
b. What backup software do you use? 
Section 31 applied 
 
c. How much data do you backup, in TB? 
Section 31 applied 
 
 
d. Do you use a third party to provide a Business Continuity service (e.g. office workplace recovery or 
infrastructure ship-to-site solutions)? 
No 
 
 
 
e. Does your current recovery solution meet your stakeholder’s RTO/RPO expectations? 
Section 31 applied Cyber Security 
 

 
 
f. Do you already backup into the cloud? 
Section 31 applied Cyber Security 
 
 
g. Do you have a documented disaster recovery & business continuity plan in place? 
Yes 
 
 
5. Number of Physical servers? 
Section 31 applied Cyber Security 
 
6. Number of virtualised servers? & Which Virtualisation platform do you use? 
Section 31 applied Cyber Security 
 
 
7. Security: 
 
 
 
a. What security solutions are being utilised? –Section 31 applied to questions b, c, & d Cyber Security 
 
 
b. Do you have a SIEM? 
 
 
 
c. Do you have a SOC? If so, is it in house or outsourced? 
 
 
d. Is it 24/7? 
 
 
e. Name and role for IT Manager(s) / Officer(s) primarily responsible for cybersecurity 
Section 40 applied Personal Information 
 
f. Names of all cyber security vendor(s) you us 
Section 43 Commercially Sensitive. 
 
g. Cost, duration and end date for the above contract(s)/license(s) 
Section 43 applied Commercially Sensitive. 
 
 
 
 
 
 
 
 
 
 
 
 
8. How far are you in your cloud strategy? 

 

 
 
 
A. Not considering Cloud for the foreseeable future 
 
 
 
B. Interested in Cloud, but have not started looking into it 
 
 
 
C. Research Stage 
 
 
 
D. Meeting with Suppliers 
 
 
 
E. Consultancy 
 
 
 
F. Started to integrate 
 
 
 
G. Fully integrated 
 
 
 
9. Which public cloud provider do you use? 
N/A 
 
 
 
10. Which IT services do you outsource? When do the contracts end? 
Data Centre  
Section 43 applied Commercially Sensitive. 
 
 
11. Please also name all of the IT re-sellers that you work with and buy from, as well as the frameworks utilised. 
Section 40 applied Personal Information 
 
12. Are you actively moving any applications/infrastructure into a cloud environment? If so who is responsible 
for this? 
Yes 
 
 
13. What is the total number of IT staff employed by the organization: Please list and provide contact details for 
the IT senior management team including CIO, IT Director and Infrastructure Architects if applicable. 
100+ IT staff.  Unable to provide details due to GDPR 
 
 
 
14. Who is Head of IT? – Please provide contact details 
xxxxxxxxxxxxx@xxx.xxx.xx 

 
 
 
15. Who is Head of IT Procurement? – Please provide contact details 
xxxxxxxxxxxxx@xxx.xxx.xx 
 
 
16. Do you normally purchase equipment and services as a capital investment (Cap-Ex) or ongoing operational 
charges (Opex)? 
Mixed 
 
 
If you are not satisfied with the Trust review under the Freedom of Information Act 2000 you may apply 
directly to the Information Commissioners Officer (ICO) for a review of your appeal decision. The ICO can be 
contacted at: ICO, Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF www.ico.org.uk  
  
Yours sincerely,  
  
IG/FOI Coordinator  
 
This information is provided for your personal use and is the property of Bedfordshire Hospitals NHS Trust and 
subject to any existing Intellectual Property and Database Rights. Any commercial application or use of this 
information may be subject to the provisions of the Re-use of Public Sector Information Regulations 2015 
(RPSI). This means that if you wish to re-use the information provided for commercial purposes for any reason 
you must ask the Trust for permission to do so.  
  
Please note that the Trust has a formal internal review and complaints process which is managed by the 
Information Governance Manager/Data Protection Officer. Should you have any concerns with our response, 
you can make a formal request for an internal review. Requests for internal review should be submitted within 
three months of the date of receipt of the response to your original letter, and should be addressed to: 
xxxxxxxxxxxxxxxxxxxxx@xxx.xxx.xx