KONTRAKTBILAG 2B KUNDENS IT-MILJØ Kontraktbilag 2B Kundens IT-miljø Side 1 af 18
Indholdsfortegnelse: 1. INDLEDNING... 4 1.1 Formål... 4 1.2 Driftscentre i Kundens IT-miljø... 4 1.3 Generel Infrastruktur i Kundens IT-miljø... 5 1.3.1 Platforme... 5 1.3.2 Server Virtualisering... 5 1.3.3 System Management... 5 1.3.4 Patch management... 5 1.3.5 ITSM værktøj... 6 1.3.6 Overvågning... 6 1.3.7 Databaser... 6 1.3.8 Storage Area Network (SAN)... 7 1.3.9 Backup... 7 1.3.10 Directory services... 7 1.3.11 Antivirus... 8 1.3.12 SMS Passcode... 8 1.3.13 Load Balancing... 8 1.4 Klienter... 9 1.4.1 Hardware, stationære enheder... 9 1.4.2 Citrix i Region Syddanmark... 9 1.4.2.1 Administrative arbejdspladser i regionshuset... 9 1.4.2.2 Kliniske arbejdspladser (ESA)... 9 1.4.3 Software, Stationære enheder... 9 1.5 Netværk i Kundens IT-miljø... 10 1.5.1 Local Area Network (LAN) på Regionens sygehuse.... 10 1.5.2 Wide Area Network (WAN)... 10 1.5.3 Local Area Network (LAN) i Regionens datacentre.... 10 1.5.4 WiFi... 11 1.5.5 VPN... 11 1.5.6 Internet... 11 1.5.7 Sundhedsdatanettet (SDN)... 11 1.6 Integrationsarkitektur i Region Syddanmark... 12 1.6.1 Integrationsplatform... 12 1.6.2 Integrationsarkitektur og rammeværket Baseline... 13 1.6.3 Overholdelse af standarder... 13 Kontraktbilag 2B Kundens IT-miljø Side 2 af 18
1.6.4 Væsentlige integrationskomponenter i RSD... 13 1.7 Centrale applikationer i Kundens IT-miljø... 14 1.7.1 SharePoint... 14 1.7.2 Region Syddanmarks ESDH system... 14 1.7.3 MDM... 14 1.7.4 Kontor pakke... 14 1.7.5 Microsoft Exchange Server... 15 1.7.6 Certifikat infrastruktur... 15 1.7.7 Video konference... 15 1.8 Nøgleprocesser i Kundens IT-miljø... 15 1.8.1 Kundens IT-Strategi... 15 1.8.2 IT-sikkerhed... 16 1.8.3 Support & Servicedesk... 17 1.8.4 Change Management... 17 1.8.5 Incident Management... 18 1.8.6 Problem Management... 18 Kontraktbilag 2B Kundens IT-miljø Side 3 af 18
1. Indledning 1.1 Formål Formålet med dette dokument er at give et overblik over nuværende, samt planlagt/strategisk IT infrastruktur, der anvendes af Kunden. Dokumentet forventes at blive anvendt i forbindelse med tilbudsgivning, danne grundlag for kravspecifikationer, samt generelt give et overblik. Bilags oversigt Underbilag 2 A Specifikation af WAN Underbilag 2 C2 Baseline White Paper Underbilag 2 C3 Baseline External System Guidelines Underbilag 2 C4 Baseline Metadata Specification Underbilag 2 C5 Baseline Test Plan Underbilag 2 C6 Baseline Testprotocol Underbilag 2 C7 Baseline Integration Specification Underbilag 2 F1 Strategi for tværgående IT Underbilag 2 F2 Strategi for Sundheds IT Underbilag 2 F3 Det digitale sundhedsvæsen i Region Syddanmark Underbilag 2 G1 Strategi it-sikkerhed Underbilag 2 G2 Politik for it-sikkerhed Underbilag 2 H Change Management Underbilag 2 I1 Problem Management Underbilag 2 I2 Problem Management - Tværfunktionelt rutediagram Underbilag 2B Applikation Integrations Politik (AIP) Underbilag 2C_Netværksspec V1 1 Underbilag 2D1 Proces for Incident Management Underbilag 2D2 Proces for Major Incident Management Underbilag 2E Proces for Serviceintroduktion 1.2 Driftscentre i Kundens IT-miljø Kunden har i dag etableret 2 driftscentre - et i Odense (DCO) og et i Esbjerg (DCE). DCO og DCE kører i dag ikke som en 2-Center løsning på grund af afstanden mellem dem. IT løsninger drives hovedsagligt alene på ét center. Delte IT løsninger mellem centre ville køre som Aktiv / Passiv setup. Med den nuværende infrastruktur er der følgende garanti fra kundens leverandøren: Forsinkelse i datatrafik målt som round trip delay (RTD) på ethvert tidspunkt indenfor driftstiden, fra CPE til CPE, mellem tilkoblede lokationer, må ikke som middelværdi målt over 3 timer overstige 10 ms Praktiske daglige målinger viser typisk en forsinkelse på 2-3 ms mellem DCO og DCE Disse centre varetager drift af en lang række programpakker til både kliniske områder og til administrative områder. Driftscentrene fungerer som datacentre for Kundens samlede IT-portefølje og indeholder virtuelle og fysiske serverfarme, databaser, Storage Area Network (SAN) samt funktionaliteter til backup og overvågning. Kontraktbilag 2B Kundens IT-miljø Side 4 af 18
Driftscentrene er fuldt udstyret med central nødstrøm, køleanlæg, adgangskontrol og brandsikring og alarmering. De to driftscentre ligger på et niveau svarende til Tier 2, hvilket svarer til en oppetid på 99,741 % pr. datacenter. Datacentrene er vurderet efter TIA-942 standarden for drift af et datacenter. Datacentrene er ikke certificerede. Den officielle beskrivelse af TIA-942 standarden kan anskaffes her: http://global.ihs.com/search_res.cfm?&input_doc_number=tia%2d942 1.3 Generel Infrastruktur i Kundens IT-miljø 1.3.1 Platforme Kunden anvender primært følgende operativsystemer i deres driftscentre, og vil umiddelbart kunne stille driftskompetencer om disse operativsystemer til rådighed for Leverandøren. Windows Server 2008/2012 R2 64 bit Redhat Linux Enterprise Server (RHEL) Ubuntu Server LTS CentOS 1.3.2 Server Virtualisering Størstedelen af Regionens platforme er virtuelle, men der forefindes også fysiske servere. Regionens virtualiseringsplatform afvikles som en shared resourses. Kunden baserer sig på følgende server virtualiseringsplatform VMware vsphere 5.5 1.3.3 System Management Kunden har et værktøj til konfiguration og distribution af ændringer på Windows servere, VMware vcenter Protect. Kundens Linux infrastruktur indeholder et konfigurationsværktøj, der har til formål at opsamle og udrulle ændringer på servere i Linux infrastrukturen. Værktøjet giver ligeledes mulighed for hurtigt at etablere nye servere med samme konfiguration eller udføre et fall-back til en tidligere konfiguration. Systemmanagement på mobile enheder MDM se afsnit 1.7.3.3 1.3.4 Patch management Til workstations benytter kunden Windows Server Update Services (WSUS) til distribution af Microsoft sikkerhedsopdateringer. Til servere benyttes Vcenter Protect til distribution og installation af sikkerhedsopdateringer fra både Microsoft og andre førende programproducenter. For Workstations er der en testgruppe, som er placeret forskellige steder i regionen. Disse personer får en e-mail om at der distribueres sikkerhedsopdateringer, og at afprøvningsperioden varer til en angivet dato. Testpersonerne har så i denne periode mulighed for at meddele, hvis de oplever uhen- Kontraktbilag 2B Kundens IT-miljø Side 5 af 18
sigtsmæssigheder. Hvis der ikke kommer nogen tilbagemelding betragtes som OK og opdateringerne udsendes til alle workstations. Microsoft sikkerhedsopdateringer bliver ligeledes distribueret via WSUS. Dette sker i fastlagte service vinduer. For hvert servicevindue er der udvalgt servere, hvor der bliver distribueret opdateringer ud og serveren genstartes efterfølgende. Dette sker enten attended via en overvåget deployment af patches, genstart af systemer og kontrol. Alternativt sker det unattended. Det vurderes fra system til system hvilken procedure der passer bedst. Kunden har endvidere Microsoft System Management Server 2007 til udrulning af applikations patches og andre opdateringer på alle Windows klienter. Microsoft SCCM 2012 platform benyttes fremadrettet til Windows 7 klienter og derfor udfases System Management Server 2007 platformen. 1.3.5 ITSM værktøj Kunden anvender IBM SmartCloud Control Desk (IBM SCCD) som primært ITSM værktøj. Man har for nuværende systemunderstøttelse til Incident, problem og Change udviklet og kørende via denne platform. Regionen er også i gang med at udvikle et Asset Management værktøj på samme platform. Derudover kigges der på moduler til Indkøb og Service Katalog. Der kan integreres/kommunikeres til IBM SCCD på følgende måder: Email, Webservices, Tivoli Data Integrator (TDI). 1.3.6 Overvågning Serverinfrastrukturen overvåges af værktøjet Zabbix, der indeholder en agent til at overvåge flere forskellige services på en given server. Alle servere i infrastrukturen har installeret en Zabbix agent, der løbende rapporterer nøgledata til det centrale overvågningssystem. Netværket i regionen er overvåget af Solarwinds. 1.3.7 Databaser Database miljøet er installeret på en vmware platform, som er konfigureret i en cluster lø s- ning. Det anvendte OS er windows 2008 R2 og windows 2012 og i enkelte til fælde linux til oracle. Microsoft SQL Server: Versioner: 2008 R2, 2012 Edition: Enterprise Funktioner: BI, SSRS, SSAS, SSIS OS: Windows 2008 R2 (64 bit) og Windows 2012 (64 bit) Oracle IBM DB2 (UDW) Versioner: 10g, 11g (nuværende R2) Edition: Standard Funktioner: RDBMS OS: primært Windows 2008 R2/2012 (64 bit), sekundært Linux (Oracle eller Redhat) Kontraktbilag 2B Kundens IT-miljø Side 6 af 18
Versioner: 9.x Edition: Enterprise Funktioner: DB engine OS: Windows 2008 R2/2012 (64 bit) 1.3.8 Storage Area Network (SAN) Kunden benytter EMC som primært Storage Area Network. SAN et er fysisk placeret i to driftscentre i henholdsvis Odense (DCO) og Esbjerg (DCE). Selve SAN et består af to EMC VNX 5600 i DCO og to i DCE. Kunden anvender endvidere EMC SILION med OneFS til filestorage VNX 5600 anvendes hovedsageligt som traditionel SAN som storage for Virtuelle servere og Databaser. EMC SILION anvendes hovedsageligt til file Storage VNX 5600 & EMC SILION indeholder følgende filsystemer og diskfordeling: Filer 1: NFS/VMWare SAS Filer 2: NFS/VMWare SATA Filer 3: CIFS/NFS-Citrix SAS Filer 4: CIFS SATA Kunden anvender i dag ikke synkron storage spejling på tværs af DCO og DCE på nuværende applikationer. Der benyttes asynkron replikering mellem de to lokationer, p.g.a. afstanden mellem centrene som beskrevet i pkt. 1.2 DCE har to Cisco Nexus 7000 Switche, der håndterer trafikken mellem datacenter LAN og SAN, mens DCO har to Cisco Nexus 5020 Switche. Begge driftscentre er koblet op til to Fiber Channel Silkwork 4300 Switche. 1.3.9 Backup Kunden benytter EMC Snapshots / AppSync samt IBM Tivoli Storage Management til backup. Der gennemføres lokal såvel som krydsbackup mellem DCE og DCO, derved ligger backup i begge Driftscentrer. Driftcenter Odense (DCO) indeholder et IBM 3548 Tape Library med syv stk. LTO5 tape drives, mens Driftcenter Esbjerg (DCE) har et IBM 3548 Tape Library med tolv stk. LTO3 tapes drives. Der tages backup af den virtuelle infrastruktur (VMWare) ved hjælp af storage Snapshots 3 gange i døgnet. Snapshots gemmes i 21 dage. Der tages daglig backup af servere på fysisk hardware. Slettede filer gemmes i 180 dage, ændrede filer i 5 versioner. Eventuelle databaser på fysisk hardware, tages der backup af hver 2. time. Historik på databaser gemmes i 30 dage. Alle agenter fra IBM TSM til applikationer er tilgængelige i Kundens IT-miljø og ligeledes er alle Snapmanager produkter fra EMC tilgængelige. Backup aftales mellem leverandøren og kunden i forbindelse med det enkelte projekt. 1.3.10 Directory services Region Syddanmark anvender i dag Microsoft Active Directory Services (AD) og tilhørende domæner som sikkerheds boundary, samt til styring af IT resurser (Brugere, Pcére, Servere, Applikationer, Printere etc.). Domænets Functional Domain Level er Windows Server 2003. Kontraktbilag 2B Kundens IT-miljø Side 7 af 18
Designet i RSYD.NET AD domænet er baseret på ét fælles Active Directory for hele Region Syddanmark, driftet i 2 driftscentre, Driftcenter Odense og Driftcenter Esbjerg. Designet tager udgangspunkt i at kunne håndtere 28.000 brugere, men det formodes at antallet af samtidige brugere er væsentlig mindre. Dimensioneringen af løsningen er derfor lavet ud fra ca. 15.000 samtidige brugere. Der eksisterer p.t. flere domæner med resurser. Dog er der kun to domæner med deciderede bruger objekter. Der er etableret et projekt med henblik på at få konsolideret og migreret alle resurser til det centrale domæne - RSYD.NET. Der er etableret 2-vejs trust imellem disse domæner. Det underliggende hardware og software for regionens AD håndteres driftsmæssigt centralt og der er centrale politikker der er bestemmende for hele regionen. Lokationer er opdelt på Organisational Unit (OU) niveau i ADét. Der er uddelegeret ansvar (Sygehuse, Regionshuset osv.) i forbindelse med administration af resurser på de enkelte lokationers specifikke OU. Region Syddanmark benytter Windows Active Directory Certificate Services (AD CS) som identitetsog adgangskontrol i forbindelse med udstedelse af certifikater til interne services. Primært benyttes denne service til at sikre, at brugere, der er medlem af en bestemt sikkerhedsgruppe, får adgang til Wi-Fi netværk i regionen. 1.3.11 Antivirus Kunden benytter TrendMicro Antivirus på alle servere og klienter i IT-miljøet. Regionen har en aftale som gør at følgende add on produkter fra TrendMicro bruges: ScanMail OfficeScan Portal Protect Interscan Web Security Alle platforme, servere og klienter overvåges af TrendMicro via en installeret agent. Visse servere har ekskluderet centrale filer såsom logfiler og lignende fra den løbende antivirus scanning af performancehensyn. 1.3.12 SMS Passcode Regionen har en SMS Passcode som 2 faktor authenticering. 1.3.13 Load Balancing For at opnå større driftssikkerhed på kørende services samt mulighed for at kunne vedligeholde driftsmiljøet på trods af meget små service vinduer, anvender Kunden Citrix NetScaler til håndtering af load balancing i servermiljøet. Der er placeret henholdsvis to NetScaler i DCO og to i DCE. Alle fire er opsat i cluster og er redundante for hinanden. Kontraktbilag 2B Kundens IT-miljø Side 8 af 18
Blandt mange funktionaliteter er NetScaler med til automatisk at kunne sende brugeren til en aktiv service, selvom der er fejl på den normale server eller denne er under vedligeholdelse. Den understøtter desuden load balancer på LDAP, hvilket gør det muligt for Leverandøren at udnytte dette på applikationsniveau i forbindelse med henvendelse til AD og tildeling af DC. 1.4 Klienter Kunden har en række forskellige klienter fordelt på henholdsvis mobile enheder og stationære enheder. Kunden ser en stigende anvendelse af både smartphones og tablets. 1.4.1 Hardware, stationære enheder Regionens stationære enheder er baseret på en standard PC fra enten Lenovo med minimum 2Gb Ram. 1.4.2 Citrix i Region Syddanmark 1.4.2.1 Administrative arbejdspladser i regionshuset De administrative arbejdspladser, primært i Regionshuset og satellitter, afvikler deres applikationer på Kundens Citrix miljø med følgende kort beskrevne infrastruktur: Server OS er Windows 2003 SP1, 4 kerner cpu, 4 Gb mem. Xenapp 4.5 Antal citrix servere er 140 + Alle citrix servere booter via Citrix provisioning services. Nuværende office pakke i miljøet er Office 2003 Internet explorer 8 Hele miljøet køres virtuelt på Xenserver 1.4.2.2 Kliniske arbejdspladser (ESA) Region Syddanmark er ved at udbrede ESA platformen til deres klinikere. ESA projektet, er et RSI pejlemærke hvor regionerne skal opnå en mere effektiv systemadgang for klinikerne. Løsningen er baseret på følgende komponenter Windows Server 2008 R2 64bit Servicepack 1 Alle seneste updateringer Internet Explorer 8 RES Workspace Manager 2012 SR4 Citrix XenApp 6.5 Feature Pack 4 with Hotfix RollUp 3 Imprivata OneSign version 4.9 1.4.3 Software, Stationære enheder Regionens er i gang med opdatering af PC fra XP til Windows 7. Regionen har derfor i en overgangsperiode 2 platform. Kunden har kliniske systemer, som har bindinger til Internet Explorer versioner, derfor er den nuværende version af internet Explorer 8. Det forventes at opgradere de kliniske systemer i starten af 2015, således at IE10 er understøttet. Xp platformen indeholder Kontraktbilag 2B Kundens IT-miljø Side 9 af 18
Windows XP Professionel Service Pack 3. Internet Explorer i versionerne 6, 7 og 8. Mozilla Firefox og Google Chrome anvendes i det omfang nyere browsere har været nødvendige. Klienter modtager IP adresse og netværkskonfiguration via DHCP Brugere har ikke lokale administratorrettigheder Software afvikles primært via lokal installeret software, sekundært via Citrix XenApp platformen. (se evt. 2.3.9) Office 2003 Windows 7 platformen indeholder som standard Windows 7 Enterprise Service Pack 1. Internet Explorer 10 Klienter modtager IP adresse og netværkskonfiguration via DHCP Software afvikles primært via lokal installeret software, sekundært via Citrix XenApp platformen. (se evt. 2.3.9) Software til Windows 7 pc rulles ud via Microsoft SCCM 2012 platform Office 2010 Som udgangspunkt skal nye systemer understøtte Windows 7 platformen. Såfremt der er behov for XP understøttelse, vil dette være specificeret i det enkelte udbud. 1.5 Netværk i Kundens IT-miljø Kundens datatekniske netværk er sammensat af følgende komponenter: 1.5.1 Local Area Network (LAN) på Regionens sygehuse. LAN på Regionens Sygehuse transporterer data mellem en stor mængde medico-teknisk udstyr og mellem almindelige administrative IT-systemer til understøttelse af det kliniske arbejde. Lokalt på sygehusene er der placeret switche hvori udstyr som PC er eller medico teknisk udstyr kan kobles på. De kan kobles på med optil 1 Gbit forbindelse. Switchene er forbundet til lokale centrale switche via 1Gbit forbindelser. 1.5.2 Wide Area Network (WAN) Kunden har et højhastigheds datanetværk, der binder regionens lokationer sammen via et alle-til-alle netværk, baseret på MPLS teknologien. WAN transporterer data mellem de forskellige LAN i regionen og er baseret på et MLPS netværk. En nærmere beskrivelse af opkobling og redundans for hvert sygehus findes i Underbilag 2 A Specifikation af WAN. 1.5.3 Local Area Network (LAN) i Regionens datacentre. Server access i datacentre er baseret på Cisco s Nexus platform. Der tilbydes som udgangspunkt 1 og 10 Gbit fiberporte. Ved behov kan der leveres 1 Gbit kobberporte. Management netværk er baseret på 1 Gbit kobberporte. Uplink speed på alle server access switche er tilpasset det konkrete behov og kan ændres/udvides ved ændringer i behov. Kontraktbilag 2B Kundens IT-miljø Side 10 af 18
Alt trafik mellem de to datacentre (DCE og DCO) routes som udgangspunkt via redundante dedikerede fiberforbindelser. Ved dobbeltfejl på dette setup routes trafikken automatisk ud via regionens WAN forbindelser i datacentrene. 1.5.4 WiFi Kunden råder over et tværgående og sammenhængende trådløst IP-netværk baseret på komponenter og løsninger fra Cisco Systems. Netværksservicen udbydes internt i regionen af Regional IT, og det er ikke nødvendigvis alle matrikler, afdelinger, enheder m.v., der vælger at tilbyde medarbejdere og / eller borger adgang til netværket trådløst. Nettet anvendes til bærbare PC-arbejdspladser, EPJ terminaler, medico teknisk udstyr, mobile og tablet enheder samt trådløs internet adgang for borgere (patienter og pårørende på sygehusenhederne). Netværket anvender 2,4 og 5 GHz frekvensbåndene og der understøttes følgende standarder 802.11a/g/n. Validering foregår, hvad angår regionens trådløse enheder, ved brug af 802.1x EAP- TLS og 802.1x PEAP 1.5.5 VPN Regionen har en VPN løsning, denne giver brugere i regionen samt leverandører adgang til regionens netværk. Det er dog kun en mindre del af brugerne der anvender VPN. Software VPN adgang er baseret på Cisco AnyConnect. Der er ligeledes mulighed for etablering af site-2-site VPN forbindelser, der som udgangspunkt anvendes, når leverandører skal have servicemæssig adgang til regionens net og servere Leverandører skal i forbindelse med tildeling af VPN adgang, med dertil hørende adgang til netværk og systemer, udfylde Kundens til enhver tid gældende personlige tro og love erklæring. Erklæringen indeholder retningslinjer og ansvar, som den pågældende Leverandør skal overholde ved anvendelse af Kundens infrastruktur. 1.5.6 Internet Regionen har en redundant 1 GB internet forbindelser koblet på vores datacentre. Regionens perimeterfirewall er baseret på teknologi fra Palo Alto. 1.5.7 Sundhedsdatanettet (SDN) Kunden er tilkoblet Sundhedsdatanettet i Danmark. Sundhedsdatanettet forbinder hele sundhedssektoren i Danmark og alle regioner, offentlige og private sygehuse, praksisydere under den offentlige sygesikring, kommuner, apoteker og private laboratorier er forhåndsgodkendte til at komme på netværket. IT-leverandører til ovenstående kan også komme på netværket. Netværket drives af MedCom og består teknisk af et centralt knudepunkt og et MPLS-net. Sundhedsdatanettet er døgnovervåget og redundant, og Kunden er koblet til Sundhedsdatanettet via sit eget sikrede regionsnet. Forbindelsen er etableret til TDCs MPLS netværk via 2 stk. 1 GB MPLS faste forbindelser. Kontraktbilag 2B Kundens IT-miljø Side 11 af 18
1.6 Integrationsarkitektur i Region Syddanmark 1.6.1 Integrationsplatform Kunden har en lang række forskellige producentsystemer og administrative systemer, der alle varetager specialiserede opgaver inden for deres specifikke felt. En del af de berørte systemer er teknologisk set af noget ældre dato, men de er velfungerende inden for hver deres område, og der er derfor ikke umiddelbart planer om udskiftning. Dette forhold kan imidlertid medføre en række udfordringer med hensyn til etablering af snitflader. Som følge heraf har Kunden etableret en integrationsplatform, som er baseret på hub-and-spoke princippet. Integrationsplatformen skal anvendes i forbindelse med systemintegration, så omkostningstunge punkt-til-punkt integrationer kan undgås. Figur 1 skitserer Kunden integrationsplatform, der er baseret på IBM Websphere Application Server, Websphere Enterprise Service Bus, Websphere MQ samt integrationsværktøjet Cloverleaf. Cloverleaf anvendes til datakonvertering (eks. EDI til/fra XML, HL7 til/fra XML, etc) samt til EDI-forsendelse. IBM Enterprise Service Bus og Cloverleaf er tæt forbundet og beskrives samlet som REGIS (det Regionale Integrationssystem). I forhold til REGIS er der tilknyttet en række værktøjer (monitoring og management) samt et Serviceregister, der bygger på det standardiserede integrationsrammeværk Baseline, som er beskrevet i det følgende. Security Service Repository - Baseline Wiki documentation Enterprise Service Bus - WMB - WebSphere ESB - WMQ - WAS - HTTP Service enabler - Websphere Adapter Service enabler - Baseline Adapter Monitoring and management - Baseline Track&Trace - Tivoli Omegamon Application Application Application Figur 1 Regions Syddanmarks integrationsplatform Kontraktbilag 2B Kundens IT-miljø Side 12 af 18
1.6.2 Integrationsarkitektur og rammeværket Baseline Kunden anvender bestemte modeller for implementering af services og integrationer ved system-tilsystem integration med henblik på at sikre en ensartet integration på tværs af alle applikationer og systemer. Som følge heraf har Kunden nogle retningslinjer og principper for integration af systemer via REGIS, som er beskrevet i Underbilag 2 B Applikation Integrations Politik (AIP). Endvidere er retningslinjer for webservice beskrevet i Retningslinier for WebService i RSD, se http://techwiki.regionsyddanmark.dk/display/public/retningslin ier+for+webservice+i+rsd. Brugen af REGIS er implementeret med udgangspunkt i rammeværket Baseline, der indeholder en række metoder og fremgangsmåder til brug ved arbejdet med systemintegration i Regionen. Baseline er udviklet og vedligeholdes af det svenske firma Enfo Zystems. Retningslinjer og principper fremgår også af Underbilag 2C2 2C7. 1.6.3 Overholdelse af standarder Helt overordnet gælder for alle integrationer, at disse som udgangspunkt skal baseres på offentlige og åbne, dokumenterede nationale eller internationale standarder. Med åbne standarder menes standarder, der er anerkendt af et internationalt eller nationalt standardiseringsorgan som f.eks. ISO (International Standard Organisation), CEN (Comité Européen de Normalisation) og DS (Dansk Standard), eller sammenslutninger af normsættende karakter som f.eks. W3C eller det danske OIO-initiativ. På sundhedsområdet kommer hertil standarder koordineret af f.eks. HL7 (Health Level Seven), og ikke mindst det danske Medcom-samarbejde. Blandt leverandører til sundhedsområdet findes derudover frivillige åbne standardiseringsinitiativer som f.eks. IHE (Integrating the Healthcare Enterprise); dette initiativ er oprindeligt og overvejende rettet mod især det radiologiske område, men har også initiativer af mere generel betydning anvendelige for andre områder. At en standard er åben betyder også, at dens anvendelse i systemet er veldokumenteret, at dokumentationen er almindeligt tilgængelig, og at brugen ikke er forbundet med afgifter eller licenser. I modsætning hertil findes mere lukkede og proprietære standarder, som typisk tilhører en bestemt leverandør eller gruppe af leverandører, som ikke har almindelig offentlig tilgængelig dokumentation og som derfor ikke kan benyttes frit af alle. Kravet om anvendelse af offentlige standarder gælder såvel i relation til den forretningsorienterede del af arkitekturen (processer og data) som til den tekniske arkitektur (applikationer, systemservices, datalagring, driftsplatform, etc.) samt ikke mindst i alle eksterne snitflader for integrationer med omverdenen. 1.6.4 Væsentlige integrationskomponenter i RSD Region Syddanmark administrerer lokale systemer for henholdsvis CPR- og SOR-registrene. Disse systemer opdateres og vedligeholdes via integrationer til de nationale systemer, og udstiller patientog organisationsdata internt for regionens systemer. Der skal etableres direkte interfaces fra nye systemer til de services, som der stilles til rådighed via REGIS for lokal adgang til disse systemer. De tilgængelige modeller for integration med SOR- og CPR-komponenterne samt snitfladebeskrivelser er dokumenteret på RSDs techwiki: http://techwiki.regionsyddanmark.dk/display/public/cpr+service og Kontraktbilag 2B Kundens IT-miljø Side 13 af 18
http://techwiki.regionsyddanmark.dk/display/public/sor+service 1.7 Centrale applikationer i Kundens IT-miljø 1.7.1 SharePoint Kunden anvender i dag SharePoint 2010 primært til projektrum, herunder regionens sygehusbyggerier, projektstyringssystem og økonomistyringssystem. Kunden har to seperate farme, en til ECAL og en til Standard CAL. Regionens standard setup som anvendes til projektrum er baseret på std. CAL hvorimod farmen til Projektstyringssystemet (leverancesystemet) er en farm med ECAL. Økonomistyringens anvendelse af SharePoint hostes i dag sammen med Prisme systemet eksternt. 1.7.2 Region Syddanmarks ESDH system Region Syddanmark bruger i dag Acacdre 4.3 som ESDH system. 1.7.3 MDM MDM (Mobile Device Management) er et system til styring af sikkerhed på mobile devices. MDM har sin egen APP store til Corporate APPS. MDM er implementeret med egen activesync, der giver adgang til Exchange data. Applikationer i MDM har adgang til data på intranettet gennem en krypteret forbindelse via MDM systemet. MDM er placeret i DMZ zonen. MDM består af F5 som frontgate og MobileIron til APPConnect og Activesync. Adgang til brug af MDM og sikkerhed på systemet styres fra regionens AD. Applikationer kan udvikles til følgende dags dato godkendte OS-versioner, som understøttes af MDMplatformen: Android 4.0 through 4.4 ios versions 5.0 through 8.1 Windows Phone 8, 8.1 Kravene til apps er at de skal leveres som HTML5, HTML5+, Native APP. Alle Apps skal leveres til de aftale mobilplatforme ifølge udbudsmaterialet. Alle apps skal overholde alle Region Syd standarder, samt leveres så det er muligt at få pakkede ind i MobileIron til udrulning. Alle applikationer skal igennem en godkedelses procedure, test procedure mv. 1.7.4 Kontor pakke Kunden har implementeret Microsoft Office 2003 med seneste service pack som kontorpakke. Kontorpakken indeholder som standard: Outlook Word Excel PowerPoint Endvidere er der efter behov fra forretningen implementeret tillægsprodukter: Visio Kontraktbilag 2B Kundens IT-miljø Side 14 af 18
Access I forbindelse med Windows 7 udrulningen skifter kontorpakken til Office 2010 1.7.5 Microsoft Exchange Server Region Syddanmark benytter Microsoft Exchange Server til E-mail, kalenderstyring og kontaktoplysninger. Regionen benytter på nuværende tidspunkt Exchange 2010. Regionen tilbyder Outlook Web Access til en del af regionens brugere og benytter Forefront Threat Management Gateway 2010 til at autorisere og autentificere brugerne. 1.7.6 Certifikat infrastruktur Regionen anvender overordnet certifikater på tre niveauer. 1. I forbindelse med kryptering af webløsninger hvor der kræves en SSL forbindelse, anvender regionen produkter leveret af Trustzone A/S. 2. Da mange af kundens løsninger skal kunne håndtere adgangen og sikkerheden via NEM-ID anvendes der certifikater der anskaffes ved Nets Danmark A/S. Til disse løsninger anvendes der virksomheds- såvel som funktionscertifikat. Det er behovet i den enkelte løsning der dikterer dette. 3. Regionen anvender internt certifikater mellem servere og applikationer, hertil bruges et internt PKI system. Generelt anvender regionen en fleksibel certifikat struktur der forsøgs tilpasset den enkelte løsning. 1.7.7 Video konference Kunden har en større installation af Tandberg/Cisco video udstyr. Løsningen bruges primært internt i regionen, men der er mulighed for at eksterne kan ringe op til løsningen. Dette forudsætter at Leverandøren har et Video system der kan kommunikere med H.323 eller SIP protokollen. For at ringe til et video møde ringer man til <nummer>@vrsyd.dk. Nummer kan enten være på en person eller et konference møde. Der er etableret en test mulighed hvor en leverandør kan ringe til test@vrsyd.dk og derved se/høre om der skulle være forbindelse mellem leverandørens og kundens løsning. 1.8 Nøgleprocesser i Kundens IT-miljø 1.8.1 Kundens IT-Strategi Kunden har tre overordnede IT-strategier: Strategi for tværgående IT (Underbilag 2 F1 Strategi for tværgående IT) Strategi for Sundheds-it (Underbilag 2 F2 Strategi for Sundheds IT) IT-strategi til understøttelse af samarbejdet mellem sygehuse, kommuner og praksissektoren i Region Syddanmark. Det digitale sundhedsvæsen i Region Syddanmark. (Underbilag 2 F3 Det digitale sundhedsvæsen i Region Syddanmark) Kontraktbilag 2B Kundens IT-miljø Side 15 af 18
Overordnet fokuserer strategien på følgende hovedindsatsområder Overensstemmelse mellem it-strategien og de forretningsmæssige mål Sikring af størst mulig værdi ved anvendelse af IT Opfølgning på de resultater, som IT skaber, samt styring af ressourcer anvendt til IT-udvikling og -drift Strategien omfatter målsætninger for IT hos Kunden samt forholdet til det nationale niveau. Den fastlægger grundprincipper, mål og indsatsområder for sikkerhed, arkitektur, infrastruktur og systemintegration og beskriver den styring og organisation, som i den kommende strategiperiode skal sikre retning og progression. IT-strategien omfatter en række strategiske (langsigtede) og taktiske (kort sigtede) indsatsområder og dækker en periode på fire år. Strategien har følgende grundprincipper: Kunden udvikler egne løsninger, hvor der ikke er modne løsninger på markedet. Kunden anvender fælles it-løsninger til fælles opgaver. Kunden skaber rum for innovation. Kunden påvirker og deltager i nationale it-initiativer. Kunden satser på forpligtende samarbejde som vejen til succes. 1.8.2 IT-sikkerhed Kunden har udarbejdet en række politikker og strategier på det IT-sikkerhedsmæssige område. Da Regionens anvendelse af informationsteknologi er betydelig, kompleks og i en række tilfælde livsnødvendig er det væsentligt at styre processen med at implementere og vedligeholde et tilstrækkeligt og aftalt niveau for IT-sikkerhed. Som følge heraf har Kunden udarbejdet en strategi for IT-sikkerhed, der har til opgave at fungere som et styringsredskab for udvikling, implementering og fastholdelse af et tilstrækkeligt og aftalt sikkerhedsniveau. IT-sikkerheden i Regionen er baseret på DS484:2005, Standard for informationssikkerhed og styringen af IT-sikkerheden baseres på DS/ISO/IEC 27001, Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for informationssikkerhed (ISMS). Strategien for IT-sikkerhed kan læses i sin fulde længde i underbilag 2 G1 Strategi it-sikkerhed. Kunden har yderligere etableret en IT-sikkerhedspolitik med henblik på at fastsætte de grundlæggende principper for beskyttelse af Regionens informationer. Politikken skal sikre, at de grundlæggende principper for IT-sikkerhed, fortrolighed, integritet og tilgængelighed efterleves. Politikken skal ligeledes sikre, at sikkerhedsproblemer forebygges, eventuelle skader begrænses, og reetablering af informationer sikres. IT-sikkerhed skal være en integreret del af den ydelse Kunden leverer og ITsikkerhed skal være en integreret del af det daglige arbejde for regionens medarbejdere. Håndtering af IT-sikkerhed varetages af det enkelte sygehus hos Kunden. Som følge heraf har sygehusene udarbejdet de nødvendige instrukser for at sikre, at den ansatte kan varetage sit arbejde på en måde, der ikke kompromitterer sikkerheden på de samlede IT systemer. IT-sikkerhedspolitikken kan læses i sin fulde længde i underbilag 2 G2 Politik for it-sikkerhed. Kontraktbilag 2B Kundens IT-miljø Side 16 af 18
Sidste bilag omkring akkreditering er under udarbejdelse. 1.8.3 Support & Servicedesk Regionen har en Servicedesk på de enkelte sygehuse samt regionshuset i Vejle. Åbningstiderne er 8-15.30 mandag til torsdag og 8-14 fredag. Regionen har overvågning med tilkaldevagt på servere 7x24x365, og driftsvagten har en reaktionstid på 1 time. Region Syddanmark benytter IBM Tivoli Maximo til rapportering til regionens Servicedesk. Opgaveløsning i driftstiden påbegyndes senest fire timer fra anmodningen om service er modtaget i Servicedesk. Opgaveløsningen afhænger ligeledes af opgavens samlede prioritet. Region Syddanmark opererer med følgende kategorier af prioriterer Prioritet 1: Løst inden for fire timer Prioritet 2: Løst inden for en arbejdsdag Prioritet 3: Løst inden for to arbejdsdage Prioritet 4: Løst inden for fem dage Prioritet 5: Løst inden for ti dage En opgaves prioritet er sammensat af to paramenter, opgavens vigtighed (Urgency) og opgavens konsekvens (Impact) for forretningen. Regionen arbejder med følgende kategorier af vigtighed: Høj Kræver omgående handling Medium Hurtigst muligt Lav Når det er belejligt Planlagt Regionen arbejder med følgende kategorier af vigtighed: Høj (F.eks. Patientkritisk, stor konsekvens for forretningen, Alvorligt brug på sikkerheden) Medium (Default) Lav (Påvirkningen af forretningen er minimal, ikke kritisk fejl) 1.8.4 Change Management Kunden anvender Change Management Processer baseret på ITIL rammeværket. Change Management processen er etableret med henblik på at sikre stabil og effektiv drift samtidig med at sikre en smidig organisation, der er i stand til at håndtere et omskifteligt IT-miljø. Yderlige skal processerne sikre, at ændringer i driftsmiljøet kan iværksættes som aftalt uden at eksisterende kunder og løsninger påvirkes unødigt af denne proces. Kunden opererer med fem nøgleprocesser i forbindelse med Change Management: Registrering af Change (RFC) Change Quality Control behandling af RFC Change Managers endelige godkendelse eller afvisning af RFC Kontraktbilag 2B Kundens IT-miljø Side 17 af 18
Implementering af Change Post Implementation Review (PIR) og afslutning af sagen Change processen hos Kunden er beskrevet i Underbilag 2 H Change Management 1.8.5 Incident Management Kunden anvender Incident Management Processer baseret på ITIL rammeværket. Incident Management processen er etableret med henblik på at sikre stabil og effektiv Service leverance samt genetablere IT services og optimere IT services i forhold til forretningens drift. Incident Management processen er beskrevet i Underbilag 2 D1 Proces for Incident Management og Underbilag 2 D2 Proces for Major Incident Management. 1.8.6 Problem Management Kunden anvender Problem Management Processer baseret på ITIL rammeværket. Problem Management processen er etableret med henblik på at proaktivt forebygge problemer og minimere incidents samt minimere impact af incidents, der ikke kan forhindres. Problem Management processen er beskrevet i Under 2 I1 Problem Management og Underbilag 2 I2 Problem Management - Tværfunktionelt rutediagram. Kontraktbilag 2B Kundens IT-miljø Side 18 af 18