Bilag 2. Kundens IT-miljø. Til Kontrakt. Den Nationale Henvisningsformidling

Transkript

1 Bilag 2 Kundens IT-miljø Til Kontrakt OM Den Nationale Henvisningsformidling Bilag 2 Kundens IT-miljø Side 1/10

2 INSTRUKTION TIL TILBUDSGIVER: Teksten i dette afsnit er ikke en del af Kontrakten og vil blive fjernet ved indgåelse heraf. Formål med bilag: Formålet med Bilag 2 er at give et overblik over nuværende, samt planlagt/strategisk IT infrastruktur, der anvendes af Kunden. Bilaget med underbilag indeholder ikke egentlige krav og skal ikke besvares. Instruks vedrørende bilag: Bilag 2 og Underbilag hertil skal ikke udfyldes af Tilbudsgiver. Evaluering af besvarelse: Bilaget indgår ikke i tilbudsevalueringen. Udbudsbetingelsernes bilag X: Det vil være muligt at angive forbedringsforslag i Udbudsbetingelsernes bilag X, Leverandørens forbedringsforslag. Sådanne forslag kan blive drøftet i forhandlingsfasen, men vil ikke nødvendigvis blive det. Bilag 2 Kundens IT-miljø Side 2/10

3 Indholdsfortegnelse 2.1 INDLEDNING FORMÅL SUNDHEDSDATANETTET (SDN) ØKONOMIFAKTA SYSTEMFAKTA DRIFTSFAKTA NEMLOG-IN OG CERTIFIKAT INFRASTRUKTUR VÆSENTLIGE INTEGRATIONSKOMPONENTER HOS KUNDEN SOR-REGISTRET AUTORISATIONSREGISTERET YDERREGISTERET GODKENDTE BRANCHESYSTEMER DEN NATIONALE SERVICEPLATFORM (NSP) STRATEGI OG SIKKERHED DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI DANSKE REGIONERS SUNDHEDSDATAPOLITIK REGIONERNES POLITISKE LINIE FOR INFORMATIONSSIKKERHED DEN FÆLLESREGIONALE INFORMATIONSSIKKERHEDSPOLITIK... 9 Bilag 2 Kundens IT-miljø Side 3/10

4 2.1 Indledning I dette bilag angiver Kunden sit nuværende IT-miljø, strategi og planer for det fremtidige IT-miljø, samt de øvrige resourcer Kunden kan stille til rådighed vedr. IT-miljøet Formål Formålet med nærværende bilag er, at give et overblik over nuværende, samt planlagt/strategisk IT infrastruktur, der anvendes af Kunden. Nærværende bilag beskriver elementer i Kundens it-miljø, som leverandøren skal forholde sig til. 2.2 Sundhedsdatanettet (SDN) SDN er et sikret netværk til datakommunikation i den danske sundhedssektor (offentlige og private parter). SDN binder lokale, sikrede net sammen i en fælles infrastruktur. SDN anvendes bl.a. af NSP, FMK, sundhed.dk, VDX, KIH-database og en række lokale tværsektorielle og tværregionale driftsløsninger. SDN supplerer det kommercielle VANS-net, der anvendes til tværsektoriel udveksling af XML- og EDImeddelelser. SDN blev sat i drift af MedComs styregruppe i 2003 i forlængelse af MedComs internetstrategi. Yderligere informationer om SDN kan findes her: Økonomifakta Finansieringen af SDN er fælles med videoknudepunktet (VDX). SDN inkl. VDX er underlagt udgiftsneutral brugerfinansiering. Hovedfinansieringen stammer fra landets kommuner og regioner, der alle bidrager med fast ørebeløb pr. indbygger. Øvrige tilsluttede parter, herunder statslige organisationer, it-leverandører og øvrige, medfinansierer efter særlige regler. Da driften udelukkende er brugerfinansieret, betyder det, at følgende omkostninger skal dækkes af de parter, der tilslutter sig: - Omkostninger til driftsoperatør, herunder husning, driftsafvikling, teknisk support til tilsluttende netværk, overvågning og sikkerhedslogning - MedComs administrative omkostninger ved tilslutning, statistik og vedligeholdelse af aftaler - Teknisk udvikling og vedligeholdelse, herunder udskiftning og opgradering af teknisk udstyr og teknologisk tilpasning til nye services. Driften skal økonomisk hvile i sig selv, og anvendelsen af de opkrævede midler indgår som selvstændig post i MedComs revisorpåtegnede regnskab. De fastsatte tilslutnings- og abonnementspriser reguleres årligt med den statsligt udmeldte pris- og lønreguleringstakst. Regulering herudover kan kun ske efter konkret beslutning i MedComs styregruppe. Fordelingen på drift, videreudvikling og administration indgår i MedComs løbende budgetlægning og - opfølgning. Bilag 2 Kundens IT-miljø Side 4/10

5 2.2.2 Systemfakta MedCom er fællesoffentlig systemforvalter for SDN. Den fællesoffentlige systemforvaltning er aktuelt organiseret under MedComs styregruppe, der fra og med 2015 er underlagt den Nationale Bestyrelse for Sundheds-it. I tilknytning til SDN er der nedsat en brugergruppe, som har til opgave at følge driften af nettet og sikre den tekniske og sikkerhedsmæssige udvikling. SDN-brugergruppen mødes fast ifm. årlig SDN-temadag og ved behov. MedCom har ansvaret for bl.a. sekretariatsbetjening af styregruppe i forhold til SDN, opfølgning på drift og vedligehold samt videreudvikling Driftsfakta Driften af SDN varetages af TDC A/S og underleverandøren Netic A/S. MedComs kontrakt med TDC A/S er indgået i 2016 efter afholdt offentligt EU-udbud. 2.3 NEMLOG-IN og Certifikat Infrastruktur Den fællesoffentlige føderation for NEMLOG-IN og Certifikat infrastruktur er baseret på en dansk profil af SAML 2.0 standarden [OIO-SAML]. Denne foreskriver brug af signering og kryptering af meddelelser samt etablering af SSL / TLS forbindelser med henblik på at opnå en række sikkerhedsmæssige egenskaber som autenticitet, integritet og konfidentialitet. Parternes offentlige nøgler udveksles via X509 certifikater, men profilen definerer ikke nærmere krav til certifikaterne, herunder de politikker, de skal udstedes under. Sådanne krav er overladt til de føderationer, der anvender profilen. Politikker og retningslinier vedr. den fællesoffentlige log-in-løsning definerer hvilke certifikater, der må anvendes til kryptering og signering af meddelelser, samt etablering af sikre transportkanaler via SSL / TLS protokollen. Politikkerne udstikker tillige retningslinjerne for validering af certifikater. Politikkerne omfatter ligeledes krav til Integrationstest, Logning, Timeout af brugersessioner, support i forbindelse med opkobling og løbende drift af løsning, fælles beredskabsprocedure for varsling og recovery samt tidssætning af servere i den fællesoffentlige føderation. Politikker, retningslinier vedr. den fællesoffentlige log-in-løsning kan læses i følgende underbilag til dette bilag: - Underbilag 2A Integrationstest V1.7.pdf - Underbilag 2B Integrationstest V1.6.pdf - Underbilag 2C Integrationstestrapport-1_7.doc - Underbilag 2D Integrationstestrapport-1_7.pdf - Underbilag 2E Integrationstestrapport 1_4 pdf.pdf - Underbilag 2F Integrationstestrapport-1_4.doc - Underbilag 2G Politik fortidsstningv11.pdf - Underbilag 2H TimeoutpolitikV11.pdf - Underbilag 2I CertifikatpolitikV12.pdf Bilag 2 Kundens IT-miljø Side 5/10

6 - Underbilag 2J Logningspolitik.pdf - Underbilag 2K Drifts- og supportpolitik.pdf - Underbilag 2L Beredskabspolitik.pdf - Underbilag 2M Sundhedsdata i spil - Underbilag 2N Den Fællesoffentlige digitaliseringsstrategi Underbilag 2O regionernes politiske lin je for informationssikkerhed - Underbilag 2P Fællesregional Informationssikkerhedspolitik Væsentlige Integrationskomponenter hos Kunden SOR-registret Sundhedsvæsenets Organisationsregister (SOR) er et register, der indeholder organisations- og adressedata om sundhedsvæsenet. Registeret anvendes af en række fagsystemer i sundhedsvæsenet. SOR indeholder data om hospitaler, primærsektoren (fysioterapeuter, praktiserende læger, tandlæger mv.) og i mindre grad om kommunernes sundhedsorganisation. Sundhedsdatastyrelsen administrerer og tildeler lokationsnumre til Sundhedsvæsenets parter. Regionerne administrerer og vedligeholder deres egne data i SOR. Yderligere informationer on SOR kan findes her: Autorisationsregisteret I Styrelsen for Patientsikkerheds offentlige register er det muligt at finde oplysninger om alle sundhedspersoner med en dansk autorisation. Sundhedspersoner, ansættelsesmyndigheder og private kan således ved opslag i registeret kontrollere den enkelte sundhedspersons autorisationsstatus. Sundhedspersoner kan i registeret samtidig finde frem til deres autorisationsid. I registeret kan endvidere findes oplysninger om: - Tilsyn med private behandlingssteder - Tilsyn med kosmetiske behandlere og kosmetiske behandlingssteder Yderligere informationer om Autorisationsregistret kan findes her: Bilag 2 Kundens IT-miljø Side 6/10

7 2.4.3 Yderregisteret Yderregisteret opdateres hvert kvartal og har til formål, at give information om fx yders praksisadresser, speciale samt lægetypen. En yder udøver virksomhed i henhold til loven om offentlig sygesikring, dvs. alment praktiserende læger, speciallæger, tandlæger, fysioterapeuter, psykologer etc. Ved hjælp af Yderregisteret er det muligt at få oplysninger om fx yders praksisadresse, speciale samt lægetype. Registret opdateres hvert kvartal. Yderligere informationer om Yderregistret kan findes her: Godkendte Branchesystemer I forbindelse med afvikling af Leverancen vil der skulle skabes komm unikation med de af MedCom godkendte brancehesystemer. En oversigt over disse systemer kan findes her: Den Nationale Serviceplatform (NSP) Den Nationale Serviceplatform skal gøre det muligt, at anvende nationale registre og services direkte i patientbehandlingen ved, at sikre den nødvendige tilgængelighed og driftsstabilitet. Det sikres gennem: en robust infrastruktur med høj grad af forsyningssikkerhed, der sikrer at eventuelle driftsproblemer i de bagvedliggende kilder ikke påvirker adgang til data og forretningsservices indbygget skalérbarhed oppetids- og svartidsgarantier og løbende monitorering af disse overvågning af den samlede infrastruktur, med henblik på at fange eventuelle drifts-forstyrrelser før det når at blive et problem for brugerne Ud over at give adgang til nationale services er NSP'en også en teknisk infrastruktur, der har indbygget en række komponenter, som understøtter de tilkoblede services. For eksempel sikres den fornødne robusthed og svartid på platformen ved, at der distribueres NSP instanser ud over hele landet. For mange parter i sundhedsvæsenet vil NSP derfor kunne betragtes som et lokalt system. Desuden giver den Nationale Serviceplatform et højere sikkerhedsniveau samt mulighed for at vurdere forsyningssikkerheden. Læs mere om NSP en på følgende link: Bilag 2 Kundens IT-miljø Side 7/10

8 2.5 Strategi og sikkerhed Den Fællesoffentlige Digitaliseringsstrategi Offentlig digitalisering skaber værdi, vækst og effektivisering og fastholder danskernes tillid til det digitale samfund. Digitalisering kan både give mere kvalitet i den offentlige service og en mere sammenhængende og effektiv offentlig sektor, der skaber værdi for borgere og virksomheder. Danmark er kommet langt med den digitale omstilling af den offentlige sektor, men der ligger fortsat et stort arbejde forude. Med den fællesoffentlige digitaliseringsstrategi sætter den offentlige sektor tre ambitiøse, men realistiske mål for udviklingen mod en mere digital offentlig sektor de kommende år: - Det digitale skal være let, hurtigt og sikre god kvalitet - Offentlig digitalisering skal give gode vilkår for vækst - Tryghed og tillid skal i centrum De fællesoffentlige digitaliseringsstrategier vedrører myndigheder i både stat, kommuner og regioner dvs. både de administrative led i form af ministerier, styrelser samt kommunernes og regionernes forvaltninger og de udførende institutioner som fx hospitaler, folkeskoler, universiteter mv. Digitaliseringsstrategien kan læses i sin helhed i underbilag til dette bilag: Underbilag 2N Den fællesoffentlige digitaliseringsstrategi Danske Regioners Sundhedsdatapolitik Regionernes vision er, at sundhedsdata skal bringes i spil til gavn for sundhedsfremme og behandling samt til fortsat udvikling af sundhedsvæsenet. Det kan ske, ved at bruge sundhedsdata til en række forskellige formål, som f.eks. patientbehandling, kvalitetsudvikling, planlægning, styring, forskning og innovation. Derfor har Danske Regioner inden for seks områder opstillet politiske målsætninger for realisering af visionen: - Vi bruger sundhedsdata proaktivt til at styrke behandlingskvaliteten og synliggøre resultater. - Vi gør det nemt for sundhedsprofessionelle at bruge sundhedsdata til patientbehandling. - Vi bruger sundhedsdata til at få mere sundhed for pengene. - Vi udvikler vores sundhedsvæsen ved at anvende sundhedsdata i sundhedsforskning, innovation og offentlig-privat samarbejde. - Vi udvikler nye digitale løsninger sammen med borgerne, som understøtter borgernes brug af sundhedsdata. - Vi håndterer borgernes sundhedsdata sikkert og transparent. Visionen om at bruge sundhedsdata hviler på en præmis om, at data håndteres sikkert og forsvarligt. Borgerne skal være trygge ved at afgive deres helbredsoplysninger, når de er i kontakt med sundhedsvæsenet. I regionerne vil vi gerne stå på mål for, at det sker. Samtidig skal borgerne kunne følge med i, hvordan deres sundhedsdata håndteres. Derfor vil vi i regionerne være åbne om, hvordan sundhedsvæsenet indsamler, opbevarer og bruger sundhedsdata. Danske Regioners Sundhedsdatapolitik kan læses i sin helhed i underbilag til dette bilag: Underbilag 2M Sundhedsdata i spil Bilag 2 Kundens IT-miljø Side 8/10

9 2.5.3 Regionernes Politiske Linie for Informationssikkerhed Hver eneste dag behandles fortrolige oplysninger af medarbejdere i de 5 regioner. Medarbejdernes adgang til relevante data er helt afgørende for en god og sammenhængende behandling af den enkelte borger, ligesom data er vigtige for at vi kan have et moderne og effektivt sundhedsvæsen. Borgerne skal kunne være trygge ved at deres personfølsomme oplysninger behandles sikkert og med den nødvendige fortrolighed. Danske Regioners bestyrelse har derfor den 22. januar 2015 vedtaget "Regionernes politiske linje for informationssikkerhed". Den politiske linje for informationssikkerhed indebærer at regionerne fremover skal have en risikobaseret tilgang til informationssikkerhed inden for sikkerhedsstandarden ISO Sikkerhedsstandarden hviler på to principper.: Det ene er at indsatsen for informationssikkerhed er baseret på en konkret vurdering og afvejning af risici. Det indebærer en prioritering af indsatsen for at forebygge sikkerhedsbrister. Heri indgår en analyse af, hvad der er organisationens mest kritiske systemer. Endvidere skal der være en handlingsplan for håndtering af risici. Det andet princip er, at informationssikkerhed er forankret i topledelsen for at sikre den nødvendige ledelsesmæssige bevågenhed. Derfor er det en del af den politiske linje at der skal foregå en årlig drøftelse af den enkelte regions informationssikkerhed i regionsrådet. RSI pejlemærke om informationssikkerhed For at kunne realisere implementeringen af den politiske linje for informationssikkerhed er det vigtigt at regionerne har en fælles tilgang til området. Regionernes Sundheds-IT (RSI) har derfor igangsat et pejlemærke, som skal understøtte implementeringen af regionernes politiske linje for informationssikkerhed. Regionernes politiske linje for informationssikkerhed kan læses i sin helhed i underbilag til dette bilag: Underbilag 2O Regionernes politiske linje for informationssikkerhed Den Fællesregionale Informationssikkerhedspolitik Kundens IT-miljø er underlagt den Fællesregionale Informationssikkerhedspolitik, der er udledt af "Regionernes politiske linje for informationssikkerhed". Den Fællesregionale Informationssikkerhedspolitik er udarbejdet i et samarbejde mellem Region Hovedstaden, Region Sjælland, Region Syddanmark, Region Midtjylland og Region Nordjylland. Formålet med informationssikkerhed er at beskytte oplysninger, så fortrolighed, integritet og tilgængelighed bevares. Følsomme persondata, herunder sundhedsdata, er personlige, og når regionerne behandler dem, har de et særligt ansvar for, at sikkerheden er høj. Danske Regioner har i 2015 lagt en politisk linje for informationssikkerhed, som den Fællesregionale Informationssikkerhedspolitik skal udmønte. Den politiske linje lægger vægt på at: - Informationssikkerhed bruges som fundament for et stadig bedre sundhedsvæsen. - Regionerne sætter et tilstrækkeligt højt niveau for informationssikkerhed. - Informationssikkerhed og brugervenlighed går hånd i hånd. - Alle medarbejdere forstår, at deres adfærd er fundament for informationssikkerhed. - Regionerne samarbejder og lærer af hinanden. - Regionerne stiller krav til leverandører. Bilag 2 Kundens IT-miljø Side 9/10

10 Den politiske linje for informationssikkerhed sætter desuden krav til at regionerne skal efterleve ISO standarden som rammeværktøj forarbejdet med informationssikkerhed i regionerne. Den fællesregionale politik skal sammen med den enkelte regions egen politik understøtte og sikre et ensartet sikkerhedsniveau. Det skal ske ved, at den enkelte region etablerer, implementerer, vedligeholder og løbende forbedrer et ledelsessystem for informationssikkerhed inden for rammerne af informationssikkerhedsstandarden ISO Den Fællesregionale Informationssikkerhedspolitik er godkendt af RSI den 8. juni Den Fællesregionale Informationssikkerhedspolitik kan læses i sin helhed i underbilag til dette bilag: Underbilag 2P Fællesregional informationssikkerhedspolitik Bilag 2 Kundens IT-miljø Side 10/10