OIO-komitéen Dagsorden Dagsorden, OIO-komitéens møde den 21. januar, 2010 Dagsorden OIO-Komitéens 11. møde d. 21. januar, 2010 Mødet afholdes d. 21. januar, 2010 fra kl. 13 i Direktionens mødelokale, 4 sal, IT- og Telestyrelsen, Holsteinsgade 63. Dagsorden 1. Velkomst 2. Godkendelse af dagsorden og referat (Bilag 1) (B) 3. Meddelelser 4. edag 3 - krav til myndigheder (Bilag 2) (O) 5. edag 3 - kampagnen (Bilag 3) (O) 6. e-tinglysning orientering om ibrugtagning (O) 7. Konference om Cloud computing i Danmark (Bilag 4) (O) 8. Standardisering af referencearkitekturer (Bilag 5) (D) 9. Begrebsmodel for brugerstyring (Bilag 6) (B) 10. Generel hændelsesbesked (Bilag 7) (B) 11. Referencegrupper til OIO-komitéen (Bilag 8) (D) 12. Eventuelt Punkter mærket B, D, E, O er til henholdsvis (B) Beslutning (D) Drøftelse (E) Efterretning (O) Orientering OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. www.itst.dk/oio-komiteen Digitalisér.dk/group/11917
lfljâçãáí Éå=Ó=oÉÑÉê~í= Referat, OIO-komitéens møde den 12. november, 2009 = oéñéê~íi= lfljhçãáí Éåë=NMK=ã ÇÉ= ÇK=NOK=åçîÉãÄÉêI=OMMV= Mødet afholdtes d. 12. november, 2009 fra kl.13 i Direktionens mødelokale, 4 sal, IT- og Telestyrelsen, Holsteinsgade 63. Til stede: Cecile Christensen, ITST, formand Mads Ellehammer, KL Anders Bo Nielsen, Rigsarkivet Jesper Nielsen, Indenrigs- og Socialministeriet Flemming Nissen, KMS Kaspar Didriksen, Miljøstyrelsen Torben Sløk, Vejdirektoratet Mogens Pedersen, Integrationsministeriet Rune Bechgaard Holm, Ministeriet for Fødevarer, Landbrug og Fiskeri Franci Johansen, FødevareErhverv Jan Danielsen, Københavns Universitet Rasmus Espholm, ITST Magnus Ag, ITST Rita Lützhøft Andersen, ITST Henriette Juul Riishøj, ITST Per de Place Bjørn, ITST, referat = = a~öëçêçéå= = 1. Velkomst 2. Godkendelse af dagsorden og referat (B) Dagsorden og referat godkendt uden bemærkninger 3. Meddelelser Cecile Christensen orienterede om, at der i forbindelse med udarbejdningen af en referencearkitektur for geodata afholdes en myndighedsworkshop den 26/11, samt en høringskonference den 4/12. Komitéen opfordres til at deltage. Det uafhængige ekspertudvalg for dokumentformater har fastslået, at både OOXML og ODF fortsat må betragtes som umodne standarder, og der lægges derfor op til at pege på både OOXML og ODF som obligatoriske standarder for dokumentformater. Der skal holdes møde med it-ordførerne den 18. november, hvor man vil forsøge at finde en løsning. OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. www.itst.dk/oio-komiteen Digitalisér.dk/group/11917
4. edag 3 (O) Punktet matte udgå pga. sygdom 5. edag 3 - Informationskampagnen (O) Dette punkt udgik ligeledes, da det er tæt knyttet til det foregående. Begge punkter søges gennemført på næste møde, den 21. januar. 6. Teaming up for the eunion egovernment ministerkonference (O) Magnus Ag, ITST, orienterede (præsentationen er vedlagt referatet) om den forestående EU-ministerkonference om egovernment, hvor Videnskabsministeren vil deltage. Konferencen er den sjette i rækken, arrangeret af Europakommissionen og det svenske EUformandskab. Konferencen vil have oplæg fra blandt andre Uffe Toudal Pedersen, videnskabsministeriets departementschef samt vicedirektør i ITST, Adam Lebech. Danmark har prioriteret, at deklarationen fra konferencen kommer til at indeholde stærke formuleringer om grøn it, tilgængelighed, open source og åbne standarder. Den vedtagne deklaration er vedlagt referatet. Konferencen indeholder der ud over uddelingen af egovernment awards, hvor Danmark deltager med fire projekter ud af i alt 52 nominerede. Se præsentationen for detaljer. 7. Borger.dk (O) Rasmus Espholm, ITST, orienterede om status og planer for integration af Borger.dk med data fra andre myndigheder, samt om personalisering og adgang til egne data. Præsentationen er vedlagt. Portalens arkitektur er forberedt til at integrere data fra andre myndigheder, og portalen kan således leve op til kravene i edag3. Der udestår dog en del udviklingsarbejde, ikke mindst for at finde en model for, hvordan eksternt indhold bedst integreres visuelt på siderne. Komitéen henledte opmærksomheden på problematikker relateret til fordelingen af omkostninger, når data skal udstilles, samt på spørgsmål omkring adgang til registerdata. For eksempel hvis en borger via sammenstillingen af sine data opdager fejl, kan dette ikke altid eftervises af myndighederne, som ikke har samme muligheder for at sammenstille data. Disse spørgsmål må dog siges at ligge udenfor oplæggets emne, som var rent arkitekturrettet. 8. Høring af nye standarder på Sags- og Dokumentområdet (O) Rita Lüzhøft Andersen, ITST, orienterede om processen frem mod godkendelse af standarder for Sag og Dokumentsområdet. Præsentationen er vedlagt. Standarderne er i fællesoffentlig høring frem til fredag den 13. november, hvorefter høringssvarene skal indarbejdes i standarderne. De planlægges at komme til OIO-komitéens skriftlige godkendelse den 6. december. 2
Sideløbende med udviklingen af standarderne, er der foregået et proof of concept projekt, hvor en referenceimplementering i et ESDH system er blevet gennemført af et konsulentfirma. Alle erfaringer fra projektet er dokumenterede og offentligt tilgængelige. Standarderne bliver ledsaget af OIOXML-skemaer samt XML til specifikation af operationer. Det er planen, at FESD og S&D vil kunne anvendes parallelt frem til 2012, hvor FESD standarderne udfases. Komitéen spurgte til kompatibiliteten mellem de eksisterende FESD standarder og de nye S&D standarder. Der er ikke som sådan bagudkompatibilitet i de nye standarder, men en komplet mapping mellem de to specifikationer vil blive udarbejdet. Samtidig med høringen af S&D standarderne har også en begrebsmodel for brugerstyring været i høring. På tidspunktet for mødet kunne man antage, at der ikke ville indkomme særligt mange substantielle høringssvar, og projektet ønskede at høre komitéens stillingtagen til hvorvidt dette ville være et problem for godkendelsen af standarderne. Til dette bemærkede komitéen, at der i høringen godt nok var et ganske stort materiale at forholde sig til, og at der i de enkelte myndigheder kun er ganske få personer der kan give kvalificerede høringssvar, men at processen bag udarbejdelsen af standarderne har været særdeles åben og inkluderende, og at alle substantielle bemærkninger til standarderne må antages allerede at være indarbejdet. Især afholdelsen af en stort anlagt høringskonference midtvejs i processen blev fremhævet som udslagsgivende for at der var fuld tillid til processen. (Ved høringens afslutning den 13. november kl. 12 er der indkommet over 20 høringssvar til hver af høringerne, hvoraf mere end halvdelen indeholder egentlige kommentarer) 9. Anbefalelsesgrad for KML (B) Indstillingen om optagelse af standarden KML i OIO-kataloget som Anbefalet til Geografisk information blev forelagt komitéen af Per de Place Bjørn, ITST. Flemming Nissen, KMS, bemærkede, at KML udgør en ikke-hensigtsmæssig blanding af specifikation af data og specifikation af præsentation af data. Således kan den afstedkomme ikke ønskelig anvendelse. KMS ville imidlertid ikke hindre godkendelsen af indstillingen, men formanden lovede at der vil blive udarbejdet en vejledning i anvendelse af standarden, som placeres på OIO-kataloget i tilknytning til standarden. OIO-sekretariatet vil kvittere for dette på næste møde. 10. Eventuelt Intet til punktet. Punkter mærket B, D, E, O er til henholdsvis (B) Beslutning (D) Drøftelse (E) Efterretning (O) Orientering = 3
lfljâçãáí Éå=Ó=`çîÉê= _áä~ö=o OIO-komitéen : 21. januar, 2010 : Dagsordenspunkt 4 : Cover Orientering = Éa~ÖP= oéëìã = Regeringen og KL og Danske Regioner er enige om at afholde en edag3 den 1. november 2010 under overskriften Nem adgang til det offentlige på nettet. Formålet med edag3 er at give borgerne en væsentligt mere effektiv og fleksibel service på internettet. p~öëñêéãëíáääáåö= edag3 har følgende målsætninger: edag3-målsætning nr. 1: Alle borgerrettede selvbetjeningsløsninger med national udbredelse, hvor der er behov for sikker identifikation, skal alene anvende NemLog-in med Digital Signatur. edag3-målsætning nr. 2: Alle borgerrettede selvbetjeningsløsninger med national udbredelse skal integreres visuelt i borgerportalen. edag3-målsætning nr. 3: Alle myndigheder kan kontaktes og svare via dokumentboksen, og alle myndigheder skal afsende alle relevante masseforsendelser via dokumentboksen til tilsluttede borgere og virksomheder. = fåçëíáääáåö= 14. januar 2010 Sekretariat: IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sagsbehandler Per de Place Bjørn Telefon 3545 0175 E-post ppb@itst.dk Chefkonsulent Jens Krieger Røyen, Finansministeriet, giver oplæg om de krav og muligheder, som edag3 giver myndighederne. = OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. www.itst.dk/oio-komiteen Digitalisér.dk/group/11917
lfljâçãáí Éå=Ó=`çîÉê= _áä~ö=p OIO-komitéen : 21. januar, 2010 : Dagsordenspunkt 5 : Cover Orientering = Éa~ÖP=J=fåÑçêã~íáçåëâ~ãé~ÖåÉå= = p~öëñêéãëíáääáåö= I forlængelse af edag3 afholdes en fællesoffentlig kampagne for at styrke kendskab og anvendelse af offentlig digital selvbetjening. Der er nedsat et sekretariat i IT- og Telestyrelsen, der i efteråret 2009 har sikret finansieringsgrundlaget for kampagnen. Sekretariatet er på nuværende tidspunkt ved at planlægge kampagnen. Oplægget vil informere om kampagnen og mulighederne for at deltage. 14. januar 2010 Sekretariat: IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sagsbehandler Per de Place Bjørn Telefon 3545 0175 = E-post ppb@itst.dk OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. www.itst.dk/oio-komiteen Digitalisér.dk/group/11917
lfljâçãáí Éå=Ó=`çîÉê= _áä~ö=q OIO-komitéen : 21. januar, 2010 : Dagsordenspunkt 7 : Cover Orientering = hçåñéêéååé=çã=`äçìç=åçãéìíáåö=á=a~åã~êâ= oéëìã = Kort orientering om konference vedrørende Cloud computing som IT og Telestyrelsen afholdt den 13. januar i samarbejde med KL = p~öëñêéãëíáääáåö= KL og IT- og Telestyrelsen afholdt den 13.januar en konference om Cloud computing i Danmark. Konference blev afholdt i Eigtveds Pakhus, og havde cirka 200 deltagere. Yderligere deltog cirka 10 leverandører med stande på konferencen. Konferencens program er inkluderet som bilag. Indholdet bestod af en visionær del om formiddagen, og erfaringer fra konkrete projekter om eftermiddagen. Desuden deltog to udenlandske talere. Michael Nelson fra Georgetown University, som har en fortid i et Hvide Hus og bla. også har været rådgiver for Vicepræsident Al Gore indledte med et godt overblik over de nye muligheder, der åbnes for med Cloud computing. Han afsluttede med at konstatere at vi er nået mindre end 15% igennem internet-revolutionen. Director Martin Bellamy fra den engelske regering sluttede af med en gennemgang af den engelske regerings plan om at etablere en såkaldt Government Cloud (G- Cloud). 14. januar 2010 Sekretariat: IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sagsbehandler Per de Place Bjørn Telefon 3545 0175 E-post ppb@itst.dk På konferencen præsenterede IT og Telestyrelsens en regnearksmodel til beregning af interne omkostninger holdt op imod prisen ved at anvende en tilsvarende Cloudbaseret ydelse. Denne regnearksmodel stilles til rådighed på Digitaliser.dk sammen med en tilhørende vejledning til afprøvning og kommentering. Indlægsholdernes præsentationer gøres også tilgængelige på Digitaliser.dk. IT og Telestyrelsen orienterede på konferencen om følgende overordnede punkter, som der arbejdes videre med i forbindelse med Cloud computing Økonomi Beregningsmode o mere robust og letanvendelig samarbejde søges Større gennemsigtighed hos udbyderne o international/europæisk certifikation? Sikkerhed & Privacy o Mere sikker datalagring, mindre afgivelse af data CloudForum OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. www.itst.dk/oio-komiteen Digitalisér.dk/group/11917
o Fortsætter dialogen på Digitaliser.dk o 3-4 seminarer i år som går mere i dybden med forskellige Cloudtemaer Danmark som Cloud-nation o Billigt + Hurtigt = Platform for Innovation Derudover arbejdes der med planer for, hvordan den private sektor kan støttes, blandt andet i form af en vejledning om hvordan nystartede virksomheder kan sænke IT-opstartsomkostningerne ved at anvende Cloud computing. Umiddelbare tilbagemeldinger antyder at konferencen er blevet rigtig godt modtaget. Der har også været god pressedækning. Konferencen er blandt andet blevet nævnt i DR Orientering - Cloud Computing - nyt fænomen http://www.dr.dk/p1/orientering/indslag/2010/01/11/160553.htm DR P1Morgen Kort indslag http://www.dr.dk/p1/p1morgen/ Ministeriet for Videnskab, Teknologi og Udvikling DR Harddisken - Harddisken uge 2, 2010: Netcensur, gadgetmesse og cloud computing http://www.dr.dk/php/drmu/wpmu/harddisken/blog/2010/01/13/harddisken-uge- 2-2010-netcensur-gadgetmesse-og-cloud-computing/ Computerworld - Kommuner kan score kassen ved at skifte til Google http://www.computerworld.dk/art/54590/kommuner-kan-score-kassen-ved-atskifte-til-google?page=1 Version 2 - KL: Ingen servere i det offentlige om fem år http://www.version2.dk/artikel/13484-kl-ingen-servere-i-det-offentlige-om-femaar Det forventes også at Børsen bringer en artikel afledt af konferencen fåçëíáääáåö= Det indstilles at komiteen modtager orienteringen. _áä~ö= Program for konference om Cloud computing den 13. januar 2010 i Eigtveds Pakhus = 2
Program 9.00 Registrering og networking 9.30 Velkommen - Marie Munk, Vicedirektør i IT- og Telestyrelsen 9.40 Cloud Computing - The Big Picture - Professor Michael R. Nelson, Georgetown University. Konferencen åbnes med en introduktion til hvad Cloud Computing er, hvorfor Cloud Computing er vigtigt og en diskussion af de udfordringer, som skal overvindes. Michael R. Nelson forsker i internettets fremtid samt fremtidsteknologier og trends og rådgiver blandt andet OECD om Cloud computing. 10.20 Scenen er sat - Fem spørgsmål til cloud computing - Michael Hald, konsulent, KL. Scenen sættes med de fem største spørgsmål om cloud computing. 10.30 Den fulde cloud- løsning - Magnus Andersen, medstifter af PodcastMachine. Case: PodcastMachine får alle deres it-ydelser fra skyen. 10.50 Pause og networking 11.15 Sikkerhed: Mere af det samme klarer ikke opgaven - Jens Roed Andersen, Chief Information Security Officer hos Arla Foods - Jakob Illeborg Pagter, Innovationschef for Center for it-sikkerhed på Alexandra Instituttet. I takt med at nye forretningsmodeller opstår indenfor IT, vil ikke kun Cloud-baserede løsninger, men også traditionelt hostede løsninger i fremtiden stå overfor en række sikkerhedsmæssige udfordringer, som ikke kan løses med den traditionelle perimeterbaserede sikkerhedsmodel. Der er behov for at tænke ud af boksen og se på nye modeller for sikre IT services og leverancer Hør hvordan Jens Roed Andersen, ser på fremtiden og hvordan Arla Foods forholder sig til disse udfordringer - og hør nogle konkrete løsningsforslag baseret på en helt ny sikkerhedsmodel, fra Jakob Illeborg Pagter, Innovationschef for Center for it-sikkerhed på Alexandra Instituttet. 12.00 Leverandørerne i skyen 2 minutters elevatortaler fra standholderne. 12.30 Frokost og networking 1
13.30 Erfaringer fra virkeligheden i skyen - Simon Kaastrup-Olsen, emarketing Manager for World Climate Community, Københavns Kommune, Teknik og miljøforvaltningen. - Kasper Pedersen, administrerende direktør for Process 2 ebusiness. Case: World Climate Community i skyen. 13.45 Er det sikkert at bygge sikkerhedsløsninger i skyen? - Søren Maigaard, Chief Technical Officer hos Inspekt. Case: Hør hvordan og hvorfor Inspekt har bygget deres log management løsning på Amazon's elastic computing infrastruktur. Søren Maigaard vil fortælle om baggrunden for valget af cloud teknologi og udfordringerne i at bygge en sikkerhedsmæssig forsvarlig infrastruktur på en platform, hvis opbygning hemmeligholdes af Amazon. Desuden diskuteres nye sikkerhedsbegreber som er opstået i forbindelse med cloud teknologien - bl.a. Denial of Business Case. 14.10 Hvordan gør du? - Migration til skyen - Martin Høegh Mortensen, specialkonsulent, IT- og Telestyrelsen. - Heinrich Clausen, konsulent, Hothouse Cph I slutningen af 2009 flyttede IT- og Telestyrelsen Digitalisér.dk s infrastruktur til skyen hør hvilke overvejelser der blev gjort inden flytningen og hvad det hele endte med. 14.45 Pause og networking 15.00 Hvor modent er cloud computing og hvor kan vi starte? - Søren Peter Nielsen, chefarkitekt, IT- og Telestyrelsen - Camilla G. Fisker, fuldmægtig, IT- og Telestyrelsen - Michael Hald, konsulent, KL IT- og Telestyrelsen og KL deler ud af den viden der er blevet indsamlet i det første år med projektet Cloud computing i det offentlige. 15.15 Hvordan får vi tal på potentialet i cloud computing? - Bjarne Kohl, partner, Implement Consulting Group - Søren Ørslund, chefkonsulent, Trifork Implement Consulting Group vil præsentere en beregningsmodel for det økonomiske potentiale ved skift til cloud computing, som de har udviklet for IT- og Telestyrelsen. 15.30 Cloud computing - hvilke tanker gør man sig i andre lande? (35min) - Martin Bellamy, direktør for den britiske regerings Office of the Government CIO & SIRO. Den Britiske regering udgav i sommers en digitaliseringsstrategi hvor cloud computing var nævnt som en del af fremtiden. Martin Bellamy vil give et indblik i den Britiske regerings tiltag og visioner for cloud computing, som en del af den offentlige itadmnistration i England specielt har de fokus på oprettelsen af en government-cloud dvs. en privat sky for den offentlige sektor i England. 16.15 Afslutning på dagen 16.30 Networking - Der tages forbehold for ændringer i programmet 2
lfljâçãáí Éå=Ó=`çîÉê= _áä~ö=r OIO-komitéen : 21. januar, 2010 : Dagsordenspunkt 8 : Cover Drøftelse = lfljâçãáí Éåë=ÄÉÜ~åÇäáåÖ=~Ñ=êÉÑÉêÉåÅÉ~êâáJ íéâíìêéê= oéëìã = OIO-komitéen bedes overveje mulighederne for at give referencearkitekturer en form for blåstempling, og den nødvendige proces i forbindelse hermed. = p~öëñêéãëíáääáåö= Hvad er referencearkitektur? En referencearkitektur er en velovervejet måde at bygge it-løsninger indenfor et specifikt område. Referencearkitekturen beskriver de overordnede logiske strukturer og begrebsapparatet for det specifikke område, således at der er et godt grundlag at arbejde ud fra, når der skal skabes sammenhængende it-løsninger. 14. januar 2010 Sekretariat: IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sagsbehandler Per de Place Bjørn Telefon 3545 0175 Er referencearkitekturer relevante for OIO-komitéen? E-post ppb@itst.dk To referencearkitekturer findes pt. udformet for Sag og Dokument og for Geodata, men der er interesse for udarbejdelse af referencearkitekturer i flere domæner; ITST har været i dialog med 2-4 interesserede organisationer. I øjeblikket findes ikke en klar procedure for, hvordan referencearkitekturer kvalitetssikres og kvalificeres i fællesoffentlig regi (evt. som OIO-referencearkitekturer), men det er komité-sekretariatets holdning, at referencearkitekturer er et nyttigt værktøj til kortlægning, harmonisering og videreudvikling af fællesoffentlig digitalisering, som bør have OIO-komitéens bevågenhed. Derfor kunne det være gavnligt både for markedsføring af konceptet, og for kvalitetssikring af de enkelte referencearkitekturer om OIO-komitéen iværksatte en procedure til kvalificerende stillingtagen til udvikling og udbredelse af referencearkitektur. Sekretariatet foreslår følgende virkemidler i komitéens regi: 1) et best practice dokument for udvikling af referencearkitektur, som anbefales af komitéen 2) en evalueringsprocedure for nyudviklede referencearkitektur-dokumenter. Best practice Bilag 1 indeholder et udkast til et best practice dokument for udvikling af referencearkitekturer. OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. www.itst.dk/oio-komiteen Digitalisér.dk/group/11917
Evalueringsprocedure For at kvalitetssikre nye referencearkitekturer kan OIO-komitéen vedtage en procedure, som sikrer at disse overholder en række målsætninger, som højner kvaliteten og anvendeligheden. Komitéen kunne optræde som fast høringspart ved den tværoffentlige høring, som normalt foregår før produkter af denne kaliber kvalificeres af opdragsstilleren typisk en domænebestyrelse. På den måde forbliver ejerskabet til referencearkitekturen hos opdragsstilleren samtidig med at OIO-komitéen sørger for en tværoffentlige kvalificering. Et mere vidtgående forslag kunne være at referencearkitekturen som det sker med domænespecifikke datastandarder bringes til godkendelse i OIO-komitéen efter at den er godkendt hos opdragsstillerne, og således gøres til en OIOreferencearkitektur. Kvalitetssikringen skulle bestå i en vurdering af overholdelsesgraden af en række målepunkter, hvoraf de fleste skulle være begrundet i best practice-dokumentet. Resumé En komité-anbefaling af et best practice dokument vil lette igangsættelse af referencearkitektur-projekter ligesom det vil give forslagsstillere i domænerne OIO-input til en umiddelbart kommunikérbar projektbeskrivelse. Ministeriet for Videnskab, Teknologi og Udvikling En kvalificeringsproces i forbindelse med aflevering og publikation af referencearkitekturer skal højne anseelsen og genanvendelsen af disse, med OIO-brandet som kvalificerende organisation. fåçëíáääáåö= Komitéen bedes diskutere oplæggets pointer, samt om ønskeligt give sekretariatet opdrag til at udforme et beslutningsdokument indeholdende beskrivelse af procedure samt dokumenterne Best-practice for referencearkitekturer og Målepunkter for kvalificering af referencearkitekturer = _áä~ö= 1) Udkast til Best-practice for referencearkitekturer = 2
Best practice anbefalinger for udarbejdelse af tværoffentlige referencearkitekturer UDKAST - V01 Dette dokument indeholder best practice anbefalinger for udarbejdelse af tværoffentlige referencearkitekturer (OIO-referencearkitekturer). Baggrunden for anbefalingerne er dels de erfaringer, der allerede er gjort i det tværoffentlige samarbejde om referencearkitektur for sag og dokument (2008) og stedbestemt information (2009) dels en forventning om, at der i de kommende år vil blive udarbejdet flere referencearkitekturer indenfor forskellige forvaltningsmæssige og tekniske emneområder.. Formålet med disse best practice retningslinjer er at fremme udvikling og anvendelse af referencearkitekturer. Konkret er formålet: At hjælpe projekter til at lave gode referencearkitekturer At gøre det lettere at koordinere referencearkitekturer på tværs At gøre det lettere at kvalitetssikre referencearkitekturer At gøre det lettere at anvende referencearkitekturer Målgruppen er myndigheder, herunder domænebestyrelser og OIO-udvalg, som påtænker at udarbejde referencearkitekturer for et nærmere afgrænset forretningsfagligt eller it-fagligt emneområde. Hvad er en referencearkitektur? En referencearkitektur er en velovervejet måde at bygge it-løsninger indenfor et specifikt område. Referencearkitekturen beskriver de overordnede logiske strukturer og begrebsapparatet for det specifikke område, således at der er et godt grundlag at arbejde ud fra, når der skal skabes sammenhængende it-løsninger. En referencearkitektur beskriver, udover de logiske strukturer og begrebsapparatet, også de grundlæggende logiske forretningstjenester og -begreber indenfor referencearkitekturens fokus. Ofte beskrives der også på logisk plan de generiske forretningstjenester og -begreber, som benyttes i grænsefladen omkring referencearkitekturen. Referencearkitekturer kan beskrives på flere abstraktionsniveauer. På et meget højt abstraktionsniveau vises alene de grundlæggende strukturer og den tilgrænsende omverden. I mere detaljerede niveauer ser man ofte beskrevet logiske tjenester, kernebegreber og interaktion mellem disse. En referencearkitektur opstiller fælles pejlemærker og principper for udviklingen af området. Referencearkitekturen giver både myndigheder (bestillere) og leverandører (udbydere) fælles sigtepunkter for udviklingen af området. Anbefalingerne omfatter følgende områder: Foranalyse Metode Indhold Kvalitetssikring Proces Realitetstjek
Anbefalinger 1. Foranalyse Det er vigtigt at få skabt klare rammer for projektet. En foranalyse er et vigtigt element i dette, men omfanget afhænger også af projektets karakter og størrelse. Foranalysen skal danne grundlag for projektplan og synopsis. Foranalysen bør omfatte formål, udfordringer, interessenter, modenhed, scope (emne og tid), business case samt governance. Tag stilling til hvem der skal læse foranalysen. Den er afgørende for bestiller / styregruppe, men kan også være relevant for fremtidige anvendere af referencearkitekturen. Hovedelementer fra foranalysen bør indgå i de indledende afsnit i selve referencearkitekturen. 2. Metode Det er vigtigt at referencearkitekturer er nemme at forstå og anvende og skal man anvende flere forskellige referencearkitekturer er det vigtigt, at det er muligt at få overblik over hvordan de hænger sammen eller eventuelt ikke hænger sammen. Metoden skal danne grundlag for indhold, kvalitet og fælles sprog. Referencearkitekturens emnemæssige scope bør reference til relevante områder i referencemodellerne FORM (offentlige opgaveområder) og/eller STORM (it-servicetyper) afhængigt af om referencearkitekturen er afgrænset med hensyn til opgaveområder eller it-services. Referencearkitekturens enkelte afsnit bør referere til relevante OIO EA trin. Det skal fx ske gennem overskrift og bør altid ske via fodnote. (Eksempel: Se referencearkitektur for stedbestemt information http://digitaliser.dk/group/41572/resources) 3. Indhold Referencearkitekturen kan tage udgangspunkt i nedenstående skabelon til en disposition. Det afhænger af det konkrete emne, scope og vægtning, hvilke afsnit og underafsnit der skal indgå og deres omfang. Afsnit markeret med stjerne bør som hovedregel altid indgå. Indledende afsnit Resumé* Referencearkitekturens centrale indhold / scope Referencearkitekturens centrale begreber* Referencearkitekturens formål* Hvad er en referencearkitektur* Metoderamme* Anvendelse* Målgruppe*
Læsevejledning* o Tilblivelsesproces Strategiarkitektur Vision* As-is- og to-be situation* Forretningsmæssigt målbillede* Værdiskabelse* Forretningsarkitektur Principper* Begrebsmodel Tjenester Processer Teknisk arkitektur Systemteknisk målbillede Teknisk implementering Bilag Tjekliste for vigtige egenskaber* Referencearkitekturer er beskrivelser på konceptuelt og logisk niveau. Derfor kan de være svære at forstå, specielt for lægmænd. Der bør udarbejdes eksempler, som kan illustrere referencearkitekturen og dermed gøre den mindre abstrakt og mere anvendelsesnær. Eksempler bør placeres løbende i teksten, men kan eventuelt uddybes i bilag. Undgå så vidt muligt at referencearkitekturen bevæger sig ned på det fysiske lag og for eksempel beskriver konkrete løsninger, standarder og især hvordan løsninger skal skrues sammen inde i maven. Det sikrer at referencearkitekturer ikke bliver så følsomme overfor ændringer i teknologier og standarder, og tillader innovation og mangfoldighed på markedet. NB! Resumeet og tjeklisten er måske de to vigtigste dele af referencearkitekturen: Topledelsen skal forstå, hvorfor de skal anvende referencearkitekturen ved at læse resumeet Brugerne skal forstå, hvad det betyder for deres arbejde, hvis de skal overholde referencearkitekturen ved at svare på tjeklisten. 4. Kvalitetssikring på tværs Hvis referencearkitekturen behandler emner der også er behandlet i andre referencearkitekturer eller emner der er beslægtet med andre referencearkitekturer bør dette fremgå i noter. Hvis referencearkitekturen indeholder elementer der afviger fra andre referencearkitekturen bør disse afvigelser publiceres i relation til referencearkitekturen selv og andre relevante referencearkitekturer. Det bør ske via publicering på digitalier.dk. 5. Proces Det er vigtigt at indtænke inddragelse af andre interessenter i følgende faser
Foranalysefase. Det er vigtigt at inddrage nøgleinteressenter i foranalyse for at sikre et godt scope, en god proces og forankring. Produktionsfase. Det er vigtigt at inddrage faglige eksperter og gerne udvalgte myndigheder 7 projekter og leverandører, som kan bidrage med viden, holdninger og eksempler og tillige fungere som ambassadører til deres respektive netværk. Høringsfase. Det er vigtigt med en bred høring for at skabe opmærksomhed, opbakning, kvalitetssikring og konsensus. Desuden er det vigtigt med en formel høring af en række parter, herunder relevante myndigheder, OIO-udvalg og OIO-komitéen. 6. Realitetstjek Det er vigtigt at referencearkitekturer møder virkeligheden og bliver bragt i spil i verden. Der kan fx laves mindre POC-projekter (proof of concept), der skal afprøve og demonstrere den tekniske og forretningsmæssige anvendelighed. Der kan også laves egentlige pilotprojekter med aktører som er villige til at afprøve hele eller dele af referencearkitekturen og dermed bidrage til at afprøve den, samle erfaringer, fungere som ambassadører os Endelig er konkrete eksempler og visualiseringer gode metoder til at fremme kendskab og forståelse.
lfljâçãáí Éå=Ó=`çîÉê= _áä~ö=s OIO-komitéen : 21. januar, 2010 : Dagsordenspunkt 9 : Cover Beslutning = _ÉÖêÉÄëãçÇÉä=íáä=ÄêìÖÉêëíóêáåÖ= oéëìã = Begrebsmodel til brugerstyring er udarbejdet af IT- og Telestyrelsen for brugerstyringssekretariatet (BSS). Begrebsmodellen har været i høring, hvorefter den er blevet modificeret i henhold til høringssvarene. Begrebsmodellen forelægges her OIOkomitéen til godkendelse som fællesoffentlig arkitekturanbefaling. = p~öëñêéãëíáääáåö= Høringsperiode IT- og Telestyrelsen har sendt version 1.0 af Begrebsmodel til brugerstyring i offentlig høring i perioden fra 12. oktober til 13. november 2009. 14. januar 2010 Sekretariat: IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Det oprindelige forslag til begrebsmodel samt høringsbrev kan ses på høringsportalen: https://www.borger.dk/lovgivning/hoeringsportalen/sider/fakta.aspx?hpid=21460 00871 Sagsbehandler Per de Place Bjørn Telefon 3545 0175 E-post ppb@itst.dk Høringsprocessen Der er modtaget høringssvar fra i alt 18 respondenter. Hovedkonklusionen fra disse høringssvar er, at der generelt er opbakning til den foreslåede model, men også at der er behov for opstramninger og præciseringer på visse områder. De enkelte høringssvar er behandlet og dokumenteret i et samlet høringsnotat, der redegør for hvilken behandling, som der er foretaget i relation til version 1.1 af modellen. Version 1.0 af Begrebsmodel til brugerstyring er tilrettet under hensyntagen til de indkomne høringssvar med tilhørende behandling. Resultatet heraf er dokumenteret i en opdateret udgave af Begrebsmodel til brugerstyring Version 1.1. Anbefalingen Begrebsmodel til brugerstyring Version 1.1 beskriver en fællesoffentlig begrebsmodel for brugerstyring, som viser begreberne inden for brugerstyring og deres indbyrdes relationer. Modellen er beskrevet på et konceptuelt niveau, således at den kan danne udgangspunkt for flere forskellige implementeringer af brugerrettighedsløsninger. Målet er en begrebsmodel for udveksling af information omkring aktør og roller, som kan anvendes i forbindelse med brugerrettighedsstyring. Modellen skal danne et fælles udgangspunkt for en Fællesoffentlig BrugerStyring (FOBS), som de mere detaljerede sektor begrebsmodeller kan mødes i. FOBS er et initiativ drevet af Brugersty- OIO-komitéen for it-arkitektur og standardisering koordinerer offentlige initiativer inden for standardisering og it-arkitektur, og består af repræsentanter fra ministerier, kommuner og regioner. www.itst.dk/oio-komiteen Digitalisér.dk/group/11917
ringssekretariatet (BSS) i Økonomistyrelsen. Initiativet sigter mod at definere en fælles offentlig brugerstyrings infrastruktur. Målgruppen er primært myndigheder, konsulentvirksomheder og leverandører, som indkøber, rådgiver om og leverer it-løsninger i relation til brugerrettighedsstyring. Anbefalingen vedrører FORM opgaveområdet it-sikkerhedsadministration (60.55.20.00.UD) inklusive tjenesterne 60.55.20.05.UD Adgang til it-systemer for borgere og 60.55.20.10.UD Adgang til it-systemer for medarbejdere. Begge tjenester inkluderer også tildeling af systemrettigheder. fåçëíáääáåö= Det indstilles, at OIO-Komiteen godkender det vedlagte forslag til Begrebsmodel for brugerstyring Version 1.1 som fællesoffentlig arkitekturanbefaling. _áä~ö= Begrebsmodel til brugerstyring - Version 1.1 Begrebsmodel til brugerstyring - Høringsnotat = Ministeriet for Videnskab, Teknologi og Udvikling = 2
Begrebsmodel til brugerstyring Version 1.1 1
2 > Begrebsmodel til brugerstyring Denne fællesoffentlige arkitektur anbefaling kan frit anvendes af alle. Citeres der fra den fællesoffentlige arkitektur anbefalingen i andre publikationer til offentligheden, skal der angives korrekt kildehenvisning. Denne fællesoffentlige arkitektur anbefalingen er udarbejdet af IT- og Telestyrelsen for brugerstyringssekretariatet (BSS). Kontaktperson i IT- og Telestyrelsen: Chefarkitekt Søren Peter Nielsen: spn@itst.dk. Direkte telefon: +45 3337 9158 Udgivet af: IT- & Telestyrelsen IT- & Telestyrelsen Holsteinsgade 63 2100 København Ø Telefon: +45 3545 0000 Fax: +45 3545 0010 Publikationen kan hentes på IT- & Telestyrelsens Hjemmeside: http://www.itst.dk ISBN (internet): [Angiv] ISBN: [Angiv]
> Begrebsmodel til brugerstyring Version 1.1 IT- & Telestyrelsen 14. januar 2010 3
Indhold [ Forord 5 Del A Indledning 6 Baggrund 6 Tilblivelsesproces 6 Målgruppe 6 Del B Kontekst og afgrænsning 7 Konceptuel model 7 Snitflader 7 Modelstruktur 8 Del C Begrebsmodel 9 Overblik 9 Begreber 11 Relationer 14 Del D - Modeleksempler 19 Sygeplejerske med to ansættelsesforhold 19 Revisor for to institutioner 19 Mapning mellem roller 20 Nedarvning af roller 21 Del E Fødereret brugerstyring 22 Logisk datamodel for fødereret brugerstyring 22 Entiteter (udvalgte) 23 Lægeeksempel 25 Implementeringseksempel 25 Mapning mod begrebsmodel 26 Del F Andre anvendelsesscenarier 27 Økonomistyrelsen BRL projektet 27 Digital Sundhed 28 Anvendelse af et attributregister 28 4
Forord Dokumentet her beskriver en fællesoffentlig begrebsmodel for brugerstyring, som viser begreberne inden for brugerstyring og deres indbyrdes relationer. Modellen er beskrevet på et konceptuelt niveau, således at den kan danne udgangspunkt for flere forskellige implementeringer af brugerrettighedsløsninger. Scope for modellen er brugerstyring. For at gøre begreber og beskrivelser mere mundrette, er navngivningen i modellen simplificeret, således at styring ikke indgår i beregnerne. Eksempelvis er et begreb som brugerstyringsrolle simplificeret til brugerrolle og brugerstyringsklassifikation simplificeret til klassifikation. Målgruppen er primært myndigheder, konsulentvirksomheder og leverandører, som indkøber, rådgiver om og leverer it-løsninger i relation til brugerrettighedsstyring. 5
Del A Indledning Baggrund OIO-udvalget for Sags- og dokumentområdet blev nedsat i januar 2009. Udvalget har ansvaret for standardisering af sags- og dokumentområdet inden for stat, regioner og kommuner. I forbindelse med standardiseringen af sag- og dokumentområdet har der vist sig et behov for standardisering af nogle infrastrukturkomponenter herunder brugerstyring. Et led i denne standardisering er fastlæggelse af en fællesoffentlig begrebsmodel for brugerstyring. Dokumentet her beskriver denne model. Selvom modellen er udviklet ifb. sag- og dokument er modellen ikke specifikt rettet mod dette område. Det er en generel fællesoffentlig begrebsmodel. Målet er en begrebsmodel for udveksling af information omkring aktør og roller, som kan anvendes i forbindelse med brugerrettighedsstyring. Modellen skal danne et fælles udgangspunkt for en Fællesoffentlig BrugerStyring (FOBS), som de mere detaljerede sektor begrebsmodeller kan mødes i. FOBS er et initiativ drevet af Brugerstyringssekretariatet (BSS) i Økonomistyrelsen. Initiativet sigter mod at definere en fælles offentlig brugerstyrings infrastruktur. Begrebsmodellen er udarbejdet med udgangspunkt i primært tre modeller: Konceptuel model for Aktør-Rolle-Organisation dateret 18. marts 2009. Model for sag og dokument området (OIO-SD). Modeller omkring Digital Sundheds arbejde med brugerrettighedsstyring. Erfaringer fra andre umiddelbart tilgængelige brugerrettighedsmodeller er inddraget (eksempelvis RBAC ), men opgaven har ikke omfattet et opsøgende arbejde i relation til, hvad der måtte være af øvrige modeller på området i de forskellige myndigheder. Dette er i stedet indfanget igennem en OIO-høring. Tilblivelsesproces Begrebsmodellen i dette dokument er udarbejdet af Strand & Donslund i perioden medio august til ultimo december 2009. Der har i august og primo september været afholdt afstemningsmøder i forhold til OIO-SD Organisation, Digital Sundhed og FBRS projektet i brugerstyringssekretariatet. Begrebsmodellen har bl.a. været præsenteret i et første udkast på OIO-SD s 5. workshop omkring Organisation 8. september 2009. Kommentarer herfra blev indarbejdet og præsenteret på OIO-SD s 6. workshop omkring Organisation 22. september 2009. Kommentarer herfra blev sammen med øvrige kommentarer indarbejdet i version 1.0. Version 1.0 blev udsendt til offentlig høring i perioden 12. oktober 2009 til 13. november 2009. Denne høring medførte høringssvar fra 18 interessenter. Disse høringssvar er koordineret og indarbejdet i denne version 1.1 af begrebsmodellen. Målgruppe Målgruppen for dette arbejde er myndigheder, konsulentvirksomheder og leverandører, som indkøber, rådgiver om og leverer it-løsninger i relation til brugerrettighedsstyring. 6
Del B Kontekst og afgrænsning Konceptuel model Dokumentet her beskriver en fællesoffentlig begrebsmodel for brugerstyring, som viser begreberne inden for brugerstyring og deres indbyrdes relationer. Modellen er en begrebsmodel for brugerstyring på konceptuelt niveau (det der på engelsk kaldes High Level Business Type Model ) 1. Dvs. en model som ikke er bundet til at implementeringen skal være via claims, tokens, WS-policy, attributserver, RACF, Top Secret eller lign. Det er en model frigjort fra teknologi og platforme. Begreber, relationer m.m. er løftet til et konceptuelt niveau, således at den kan danne udgangspunkt for flere forskellige implementeringer af brugerrettighedsløsninger. Begrebsmodel Begrebsafklaring / Konceptuelt niveau Modeller ud fra forretningsmæssig kontekst - frigjort fra specifikke miljø og leverandør forhold. Målet er en fælles begrebsmodel og begrebsforståelse på tværs af systemer og leverandører. Dokumentets scope Informationsmodel Logisk datamodel Miljø og/eller leverandør vendte modeller/løsninger Modeller beregnet på anvendelse på en given platform eller i en given arkitektur (eksempelvis et løsning med claims og tokens. Den fysiske model ændres over tid, mens den logiske er mere stabil. Fysisk datamodel Figur 1. Dokumentets scope Begrebsmodel på konceptuelt niveau. Snitflader Der er ikke tale om en referencearkitektur for brugerstyring, hvorfor modellen kun forholder sig til eksterne begreber (eksempelvis Aktør ) ikke til hvorledes disse begreber og forretningsregler opbygges i forskellige forretningsservices, ligesom den heller ikke forholder sig til, hvorledes de eksterne begreber er tænkt organiseret i forretningstjenester (eksempelvis Organisation og Person ). 1 For yderligere beskrivelse henvises til ITST publikationsserien omkring OIO Datastandardisering i sektorerne specielt publikationen Begrebsafklaring i sektoren. 7
Modelstruktur Grundstrukturen i begrebsmodellen er bygget over en struktur svarende til nedenstående matrice: Brugerroller Udføres på hvad? ( Brugerrollerestriktion ) Figur 2. Illustration af grundstruktur omkring brugerroller og brugerrollerestriktioner. Konceptuelt beskriver kolonnerne mængden af brugerroller (grupper af rettigheder), som findes inden for brugerrettighedsstyring. Eksemplet kunne være rollen læge eller rollen lønindberetter. Rækkerne beskriver på hvad (eller i forhold til hvad) denne rolle med tilhørende rettigheder må udføres (dette kaldes i modellen for Brugerrollerestriktion ). Eksemplet her kunne være en restriktion i forhold til, at rollen læge kun kan udføres på Rigshospitalet eller at rollen lønindberetter kun kan udføres i IT- og Telestyrelsen. Tildelingen i matricen kaldes i modellen for Brugerrolletildeling og er dokumenteret gennem en Brugerrolleattest udstedt af en Attestudsteder. 8
Del C Begrebsmodel Overblik Den fællesoffentlige begrebsmodel for brugerstyring viser begreberne indenfor brugerstyring og deres indbyrdes relationer. Grafisk er modellen illustreret nedenfor: Adgangsregel * Gælder for * Anvender * Adgangsrettighed * Klassificeres af * 1..* 1 It-system Grupperes i Klassifikation * Anvender Har retten til at tildele * * * * Brugerrolle * * * Arver fra 1..* Klassificeres af Omfatter * Bruger 1 1 Tildeles * * * Brugerrolletildeling Begrænses af * * Brugerrollerestriktion 1 Tildelt af * Person Attesterer Organisation 0..1 It-system Autentificerer * Brugerrolleattest Interessefællesskab * Virksomhed Er udstedt af 1 Person Attest udsteder It-system Figur 3. Begrebsmodel til brugerstyring 9
Modellen består konceptuelt af to dele: 1. Tildeling af brugerroller til en bruger. Disse begreber er på figuren vist som grønne begreber og omfatter - udover selve brugeren - tildelingen af rolle ( Brugerrolletildeling ), afgrænsningen af på hvad/hvor rollen må udføres ( Brugerrollerestriktion ) samt den attestation ( Brugerrolleattest ) udstedt af en Attestudsteder som ligger til grund for tildelingen. 2. Definition af brugerroller med tilhørende adgangsrettigheder. Disse begreber er på figuren vist som blå begreber og omfatter roller ( Brugerrolle ), rettigheder ( Adgangsrettigheder ) og regler i forhold til disse rettigheder ( Adgangsregel ). Derudover er der nogle begreber i modellen, som har betydning for modellen og dennes relationer, men som principielt er eksterne begreber ift. modellen, dvs. at definition og beskrivelse af disse begreber hører hjemme i andre begrebsmodeller under andre forretningsområder. Disse begreber er på figuren vist som røde begreber og omfatter forskellige aktører - Organisation, Interessefællesskab, Virksomhed, Person og It-system samt en generel klassifikation ( Klassifikation ). En bruger kan være enten en person eller et it-system. En person, eller for den sags skyld et it-system, kan optræde som mange brugere med hver sine akkreditiver tilknyttet. En bruger tildeles gennem en brugerrolletildeling en række brugerroller. Tildelingen kan begrænses i form af brugerrollerestriktioner og attesteres i form af en brugerrolleattest - udstedt af en attestudsteder. En tildeling af en brugerrolle er foretaget af en anden bruger. Brugerroller er grupperinger af adgangsrettigheder. Til de enkelte adgangsrettigheder kan der knyttes forskellige adgangsregler. Eksempelvis en regel om at man ikke samtidig kan have en adgangsrettighed som bestiller og som godkender, eller en regel om at man kun må godkende fakturaer op til 100.000 kr. De enkelte brugerroller og adgangsrettigheder klassificeres i forskellige klasser, hvilket betyder, at der både kan være fællesoffentlige brugerroller / adgangsrettigheder og specifikke brugerroller / adgangsrettigheder inden for fagområder, organisationer, it-systemer etc. It-systemer anvender brugerroller og adgangsrettigheder. I nogle implementeringer vil it-systemet kun anvende adgangsrettigheder. Her vil brugerroller primært fungere som en administrativ forenkling ift. tildelingen af adgangsrettigheder til den enkelte bruger. I andre implementeringer vil it-systemet udstille hvilke roller, der kræves for at få adgang, mens selve adgangsrettighederne vil være interne i it-systemet. Bemærk at modellen er en konceptuel model. De enkelte brugerrolletildelinger m.m. kan i en given implementering sagtens være noget som tildeles dynamisk ud fra informationer hentet andre steder, som man i den givne situation har tillid til. Eksempelvis ved at man gennem sin organisatoriske placering er tildelt nogle givne arbejdsfunktioner. 10
Begreber Bruger Definition: Beskrivelse: Fysisk person eller it-system der vha. et akkreditiv identificerer sig over for et itsystem. Bruger anvendes til at identificere en person eller et it-system med et akkreditiv (eksempelvis med et medarbejder-certifikat) i forhold til en given service, der stilles til rådighed af et it-system. En fysisk person kan optræde som flere brugere eksempelvis som privatperson og som ansat - med hver sit akkreditiv. Synonymer: Eksempler: Informationsindhold: Brugerstyringsbruger, It-bruger 170342-0618, RIGET1747 Virkningsperiode for den pågældende bruger. Identifikation af bruger og det tilhørende akkreditiv. Brugerrolle Definition: Beskrivelse: Rolle der udgøres af en eller flere adgangsrettigheder til et eller flere it-systemer, som en bloc tildeles til en bruger. Brugerroller anvendes til at afgøre, hvilke handlinger en bruger må udføre i et itsystem. Brugerrollen fastlægger de adgangsrettigheder, som brugeren er tildelt. Brugere tilknyttes til roller og opnår adgangsrettigheder ved at være rolleindehaver. Brugerroller er grupperinger af adgangsrettigheder. Der er ikke nødvendigvis sammenfald mellem brugerroller og brugerens profession, stillingsbetegnelse mv. Synonymer: Eksempler: Informationsindhold: Brugerstyringsrolle, Grundrolle, Systemrolle, Funktionsrolle, It-rolle, Rolle. Læge, Sygeplejerske, SygeplejerskeOrd, Lønindberetter Virkningsperiode for den pågældende brugerrolle. Dokumentation af brugerrollen i form af navngivning og en beskrivelse. Adgangsrettighed Definition: Beskrivelse: Synonymer: Rettighed der tildeles en brugerrolle og som derved giver brugerrolleindehaveren adgang til at udføre en eller flere funktioner i et it-system. Adgangsrettigheder anvendes til at afgøre om en bruger må udføre en specifik handling på et objekt. Brugerstyringsrettighed, Servicerettighed, Rettighed. 11
Eksempler: Informationsindhold: Oprette en Sag. Opdatere en patientjournal. Foretage en bogføring. Læse personfølsomme data. Virkningsperiode for den pågældende adgangsrettighed. Dokumentation af adgangsrettigheden i form af navngivning og beskrivelse af den handling på en objekttype, som adgangsrettigheder giver adgang til. Adgangsregel Definition: Beskrivelse: Synonymer: Eksempler: Informationsindhold: Regel som kan begrænse en eller flere adgangsrettigheder. Adgangsregler beskriver regler, der er gældende for en eller flere adgangsrettigheder. Regler kan være simple, eksempelvis ved at begrænse anvendelsen af en rettighed til et bestemt tidsrum, eller komplekse eksempelvis ved at udpege adgangsrettigheder der udelukker hinanden. Brugerstyringsrettighedsregel, Rettighedsregel. Adgangsrettighed begrænset til beløb på max 100.000 kr. Adgangsrettighed begrænset til månedens første 5 arbejdsdage. Adgangsrettighed Tildele ydelse og Godkende ydelse må ikke udføres af samme bruger. Virkningsperiode for den pågældende regel samt en beskrivelse af den pågældende regel både som tekst og i en maskinel brugbar form. Klassifikation Definition: Beskrivelse: Inddeling i af brugerroller og adgangsrettigheder i klasser. Klassifikationer anvendes til at inddele brugerroller og adgangsrettigheder i grupper af samme type. Klassifikationen giver mulighed for, at de forskellige myndigheder, forvaltningsområder m.m. (eksempelvis Sundhed) kan anvende deres egne brugerroller og adgangsrettigheder. Synonymer: Eksempler: Informationsindhold: Brugerstyringsklassifikation FORM, Sundhed, Fællesoffentlig Navn og beskrivelse i forhold til den pågældende klassifikation. It-system Definition: Elektronisk system der modtager informationer fra dets omgivelser, opbevarer og 12
behandler disse informationer og afleverer resultater tilbage til dets omgivelser. Beskrivelse: It-system omfatter en granularitet fra den enkelte service til et samlet system bestående af mange applikationer. It-system kan således være en enkelt applikation med et brugerinterface, en enkelt webservice eller et simpelt register til opbevaring af data. It-system omfatter både selve systemet med funktionalitet og tilhørende data, og de beskrivelser der skal til for at omverden kan anvende systemet eksempelvis beskrivelse af en services interface og de tilhørende sikkerhedspolitikker. Synonymer: Eksempler: Informationsindhold: Informationssystem, Applikation, It-service, Webservice, Register, Datakilde. Boligstøttesystem, Vagtplan, Vejregister, Skatteindbetaling. Dokumentation af it-systemet og de forskellige interfaces inkl. de tilhørende sikkerhedspolitikker. Brugerrollerestriktion Definition: Beskrivelse: Synonymer: Eksempler: Informationsindhold: En begrænsning som specificerer hvad en brugerrolle må bruges på. En brugerrollerestriktion er en aktør (eksempelvis person, organisation eller itsystem), som en brugers tildeling af en brugerrolle (brugerrolletildeling) begrænses til mht. anvendelse af brugerrollen. Organisation, Interessefællesskab, Virksomhed, Person. It-system, Applikation, It-service, Webservice, Register. Rollerestriktion, Restriktion. Rigshospitalet, Århus Kommune, Økonomistyrelsen. Personen Hans Hansen, it-register Patientjournal, It-systemet Boligsikring. Navn og identifikation i forhold til de forskellige subtyper: Organisation, Interessefællesskab, Virksomhed, Person og it-system. Brugerrolletildeling Definition: Beskrivelse: Synonymer: Eksempler: Angivelse af de brugerroller som en bruger er tildelt med tilhørende brugerrollerestriktioner attesteret gennem en brugerrolleattest. Brugerrolletildeling anvendes til at definere en brugers brugerroller med de begrænsninger (brugerrollerestriktioner), der måtte være i forhold til anvendelsen af brugerrollen. Brugerstyringsrolletildeling. Hans Hansen (med et givet certifikat) er tildelt brugerrollen Lønindberetter begrænset til anvendelse inden for daginstitutioner i Esbjerg Kommune. Jens Jensen (med et givet certifikat) er tildelt brugerrollen Revisor for institutio- 13