2005-2007 NOVEMBER 2004
K ONCERN-IT-STRATEGI Yderligere eksemplarer kan rekvireres i papirudgave eller som PDF-fil ved henvendelse til: Indenrigs- og Sundhedsministeriet EDB-sekretariatet - 2 -
Indholdsfortegnelse Forord... 4 Læsevejledning... 5 1 Visioner og trædesten... 6 2 Forretningsorienteret it-anvendelse...12 3 Styring og organisering af it...14 4 It-arkitektur...20 5 Kompetencer...24 6 It-sikkerhed...27 7 Økonomi, optimering af it-driften og indkøb...30 8 Udmøntning i handlingsplaner og interne retningslinjer...36 9 Ordliste...38-3 -
K ONCERN-IT-STRATEGI Forord Vi skal i den offentlige sektor hele tiden sørge for at løse opgaverne effektivt og skabe den bedst mulige service for borgere og virksomheder. Denne Koncern-it-strategi er ét af de redskaber Indenrigs- og Sundhedsministeriet vil anvende til at løfte denne udfordring. Strategien støtter op om de pejlemærker, der er omdrejningspunktet for den fælles offentlige strategi for digital forvaltning. Strategien opstiller en it-vision for Indenrigs- og Sundhedsministeriet samt en række trædesten, ministeriet vil betræde på vej hertil. Indenrigs- og Sundhedsministeriet løser mange forskelligartede kerneopgaver baseret på en stærk faglighed i institutioner og styrelser. Grundlaget for strategien er, at ministerområdet i højere grad i fællesskab vil løse de opgaver på it-området, der går på tværs af institutionerne, og som er vigtige for at bidrage til digitaliseringen af den offentlige sektor. Det er alfa og omega, at vi i de kommende år får mest muligt ud af de ressourcer, vi anvender til it. Og at vi får sat noget mere skub i digitaliseringen. Strategien udstikker en vej og den vil vi følge. Departementchef Ib Valsborg, november 2004-4 -
Læsevejledning Indenrigs- og Sundhedsministeriets koncern-it-strategi er udarbejdet af ministeriets Koncern-it-styregruppe på grundlag af koncernledelsens forudgående tilslutning til vision og trædesten og endelig tiltrådt af koncernledelsen november 2004. Strategien er udarbejdet på baggrund af skabelonen IT-strategi for et ministerområde, der er udgivet af Ministeriet for Videnskab Teknologi og Udvikling, juli 2004. Strategiens trædesten og målsætninger er endvidere opstillet således, at de understøtter den fælles offentlige strategi for digital forvaltning, der er tiltrådt af regeringen og de kommunale parter i januar 2004. Hensigten med strategien er at give Indenrigs- og Sundhedsministeriet et strategisk styringsgrundlag, der kan udgøre fundamentet for et styrket bidrag til digitaliseringen af den offentlige sektor. Strategiens værdi skal udmøntes gennem dens praktiske anvendelse. Der er opsat konkrete indsatsområder og aktiviteter, der i strategiperioden kan understøtte denne udvikling på ministerområdet. Strategiens kapitel 1 indeholdende visioner og trædesten samt kapitel 8 indeholdende indsatsområder og aktiviteter kan således læses i forlængelse af hinanden. - 5 -
K ONCERN-IT-STRATEGI 1 Visioner og trædesten Indenrigs- og Sundhedsministeriets mission er at sikre en effektiv gennemførelse og udvikling af regeringens politik på kommunal- og sundhedsområdet og at sikre myndighedsudøvelse på et højt fagligt niveau. Ministeriets koncern-it-strategi skal understøtte den overordnede mission og de enkelte institutioners forretningsstrategier. Indenrigs- og Sundhedsministeriet ønsker i den kommende strategiperiode (frem til udgangen af 2007) at støtte op omkring realiseringen af den fællesoffentlige strategi for digital forvaltning. Digitalisering skal bidrage til at skabe en effektiv og sammenhængende offentlig sektor med høj servicekvalitet, hvor borgerne og virksomhederne er i centrum. Citat: Den offentlige sektors strategi for digital forvaltning 2004-06 realisering af potentialet Indenrigs- og Sundhedsministeriets digitale vision Indenrigs- og Sundhedsministeriets digitale vision har to ben. Der vil blive arbejdet med at udvikle og nyttiggøre digitale løsninger, der: udvikler opgaveløsningen og frigør ressourcer. Indenrigs- og Sundhedsministeriet spiller en central rolle i moderniseringen af den offentlige sektor. Indenrigs- og Sundhedsministeriet vil bidrage hertil ved bedst muligt at udnytte ressourcerne til at: tilbyde sammenhængende og brugerorienterede serviceydelser indenfor ministerområdets kerneområder, effektivisere ministerområdets opgaveløsning med digitalisering og anvendelse af it. - 6 -
Indenrigs- og Sundhedsministeriet har en ambitiøs tilgang til arbejdet med digital forvaltning. Dette sker ikke mindst, fordi ministeriet er omdrejningspunkt for varetagelsen af centrale samfundsopgaver. Her kan blot nævnes den særlige rolle, som ministeriet spiller med strukturering af den kommunale sektor og indenfor sundhedsområdet. Endvidere skal nævnes, at ministeriet har ressortansvaret for centrale samfundssystemer, som f.eks. CPR-systemet. Visionen indebærer, at ministerområdet indenfor sine kerneområder skal være langt fremme med implementering af digitale løsninger, hvis disse kan bidrage til opfyldelse af visionen om at yde en bedre og billigere service. I nogle projekter vil dette ske i et tæt og ligeværdigt samarbejde med andre offentlige myndigheder. I andre vil ministeriet selv på koncernniveau eller i pilotprojekter på institutionsplan gøre sig sine egne erfaringer, som så efterfølgende vil kunne bruges af andre. Ministeriet vil åbent og gennemsigtigt dele sin viden omkring resultater og effekter af konkrete digitaliseringstiltag. Trædesten på vej mod den digitale vision Visionen konkretiseres gennem syv trædesten, der udgør Indenrigs- og Sundhedsministeriets konkretisering af de pejlemærker, der indgår i den nationale Strategi for digital forvaltning 2004-06. Det skal bemærkes, at vi første to trædesten ses som en uddybning af den overordnede digitale vision, medens de efterfølgende mere har karakter af at være midler, som skal anvendes for at målet udvikling af opgaveløsningen og en effektiv digital forvaltning kan nås. For de enkelte trædesten er udformet en række specifikke målsætninger. I de handlingsplaner, som bliver lavet i forlængelse af koncern-itstrategien, vil der indgå konkrete indsatsområder. Der vil blive gennemført en løbende registrering af initiativer i tilknytning til målsætningerne. Denne vil indgå i den årlige beretning til koncernledelsen. Trædesten 1: Indenrigs- og Sundhedsministeriet vil udvide udbuddet og forbedre kvaliteten af de digitale ydelser for at yde en bedre og mere sammenhængende service til borgere og virksomheder. Indenrigs- og Sundhedsministeriet vil medvirke til at borgere og virksomheder får adgang til at anvende flere og bedre digitale serviceydelser 24 timer i døgnet. Borgere og virksomheder skal opleve den offentlige sektor som én enhed uanset faglige og organisatoriske opdelinger. Dette indebærer bl.a., at der skal tænkes i hele sagsforløb, når et område skal digitaliseres, og at der skal foretages integration mellem forskellige it-systemer. Målsætninger Indenrigs- og Sundhedsministeriet vil - 7 -
K ONCERN-IT-STRATEGI øge antallet af servicetilbud til borgere og virksomheder, der kan tilgås digitalt, udvikle sammenhængende digital service til borgere og virksomheder på områder, hvor adgangen til service i dag kræver flere indgange. Trædesten 2: Indenrigs- og Sundhedsministeriet vil effektivisere opgaveløsningen på ministerområdet ved digitalisering og anvendelse af it. Indenrigs- og Sundhedsministeriet vil ved hjælp af bl.a. it foretage en effektivisering af de interne sags- og arbejdsgange. Der skal foretages omlægninger af interne arbejdsprocesser, for at de digitale muligheder fuldt ud kan udnyttes. Målet er både at højne serviceniveauet udadtil og at frigøre ressourcer indadtil. Målsætninger Indenrigs- og Sundhedsministeriet vil foretage digitalisering af enhedernes kerneopgaver og af de administrative arbejdsgange på ministerområdet, hvor dette udløser effektiviseringsgevinster, øge den tværgående og den faglige videndeling, således at medarbejderne bedre og mere effektivt kan dele viden og finde relevant information på tværs af ministerområdet, øge genanvendelsen af data på ministerområdet, således at data så vidt muligt kun findes et sted og genindtastning af data minimeres. Trædesten 3: Indenrigs- og Sundhedsministeriet vil udvikle sin organisation, således at kurs og tempo frem mod realiseringen af den digitale vision kan fastholdes. Indenrigs- og Sundhedsministeriet vil som led i digitaliseringen, nytænke sin interne organisering, således at helhedstænkning og samarbejde sættes i højsædet. Dette er nødvendigt for at fastholde momentum i arbejdet med at realisere de målsætninger, som tilsammen udgør ministeriets digitale vision. Omdrejningspunktet for de beslutninger, som skal tages på koncernplan, vil være koncernledelsen og KIT-styregruppen. Dette skal sikre, at beslutninger om etablering af fælles organer og enheder, fælles standarder - 8 -
m.v. bliver taget ud fra en helhedsmæssig vurdering, og således at ministeriets it-løsninger understøtter de kerneopgaver, som løses på de enkelte institutioner. Ministeriet vil løbende udvikle og forfine de strukturer, relationer og processer, som skal sikre den optimale styring af itudviklingen (it-governance). Den dybe tallerken skal ikke opfindes flere steder i ministeriet. Der skal etableres den rette balance mellem hvilke opgaver, der skal løses i fællesskab og hvilke, der skal varetages på institutionsniveau. Dette gælder både for de udviklingsprægede opgaver, der typisk organiseres i projekter, og for de mere driftsprægede opgaver, som enten udføres i en eller flere interne enheder eller outsources til eksterne samarbejdspartnere. Målsætninger Indenrigs- og Sundhedsministeriet vil som led i gennemførelsen af koncern-it-strategien som udgangspunkt tage initiativer i fællesskab på ministerområdet, hvor dette ikke unødigt vanskeliggør enhedernes forretningsmæssige virksomhed, udvikle it-organisationen, således at den bedst muligt sikrer tilstedeværelsen af ressourcer og kompetencer til indfrielse af visionerne om digitalisering på ministerområdet. Trædesten 4: Indenrigs- og Sundhedsministeriet vil udbygge samarbejdet med sine nationale og internationale samarbejdspartnere i og uden for den offentlige sektor. Indenrigs- og Sundhedsministeriet spiller som ressortområde en central rolle i moderniseringen af den offentlige sektor. Ministerområdet indgår endvidere i en række samarbejder med andre myndigheder. Målsætninger Indenrigs- og Sundhedsministeriet vil aktivt deltage i udviklingen og anvendelsen af en fællesoffentlig it-arkitektur, som led i digitaliseringen af hele sagsforløb indgå i dialog med samarbejdspartnere i og uden for den offentlige sektor i såvel indland som udland, stille egne data til rådighed for andre myndigheder i den udstrækning dette ikke konflikter med den enkelte borgers ret til fortrolighed i forholdet til det offentlige. - 9 -
K ONCERN-IT-STRATEGI Trædesten 5: Indenrigs- og Sundhedsministeriet vil opbygge og udvikle sin tekniske infrastruktur på koncernplan og tilrettelægge sin systemarkitektur, således at denne bygger på fællesoffentlige eller fællesministerielle standarder. Indenrigs- og Sundhedsministeriet står over for betydelige udfordringer på it-området i de kommende år. Der skal både foretages en modernisering af eksisterende systemer og anskaffes nye it-løsninger. Formålet er at etablere det teknologiske fundament for digitaliseringen på ministerområdet (jf. trædesten 1 & 2), etablering af koncern-fælles it-løsninger (jf. trædesten 3) samt udbygning af samarbejdet med ministerområdets samarbejdspartnere (jf. trædesten 4). Målsætninger Indenrigs- og Sundhedsministeriet vil intensivere arbejdet med at opbygge en sammenhængende teknisk infrastruktur i koncernen med henblik på at give større kapacitet, hastighed, fleksibilitet og sikkerhed i databehandling og kommunikation, etablere en it-arkitekturramme på grundlag af de fællesoffentlige standarder for herved at medvirke til at fremme data- og systemintegration på tværs af den offentlige sektor og internt i ministeriet, vedtage standarder på de områder, hvor dette ud fra en helhedsbetragtning indebærer effektiviseringer og besparelser. Trædesten 6: I Indenrigs- og Sundhedsministeriet skal anvendelse af moderne teknologi bidrage til, at ministerområdet er en attraktiv og tidssvarende arbejdsplads. Personalet bidrager til, at der sker en løbende udvikling af opgaveløsningen ved hjælp af it. Digitaliseringen betyder, at nye funktioner kommer til og gamle arbejdsopgaver forsvinder. For at sikre, at Indenrigs- og Sundhedsministeriet til stadighed vil være en attraktiv og tidssvarende arbejdsplads, skal teknologien anvendes til at begrænse rutineprægede arbejdsgange. Anvendelsen af moderne teknologi skal endvidere bidrage til at styrke medarbejdernes kvalifikationer i konkurrencen på arbejdsmarkedet gennem opgave- og kompetenceudvikling. Målsætninger Indenrigs- og Sundhedsministeriet vil - 10 -
Udvikle arbejdsgange og organisation ved hjælp af it, således at arbejdsopgaverne løses på en tidssvarende måde og gøres så udviklende som overhovedet muligt. Tilbyde relevant og målrettet uddannelse og kompetenceudvikling samt stille krav om medarbejdernes deltagelse heri. Som led i personalepolitikken løbende følge op på medarbejdernes tilfredshed med de it-mæssige værktøjer og systemer, som de får stillet til rådighed som led i deres arbejde. Trædesten 7: Indenrigs- og Sundhedsministeriets chefer og ledere har et særligt ansvar for at fremme en effektiv og helhedsorienteret anvendelse af digitale serviceydelser. Der skal være fokus på, hvordan der bredt i organisationen skabes motivation og engagement omkring det arbejde, som skal realisere den digitale vision. Alle ministerområdets medarbejdere har et medansvar for, at den digitale vision virkeliggøres, men lederne har et særligt ansvar for at fremme en effektiv anvendelse af it indenfor deres ansvarsområde og indenfor ministeriet som helhed. Ministeriet vil på såvel ledelses- som medarbejderniveau gennemføre tiltag, som udvikler den nødvendige forandringsparathed. Målsætninger Indenrigs- og Sundhedsministeriet vil Anspore lederne til at betragte it-projekter som forandringsprojekter og udvikle forståelsen for at brugen af fællesoffentlige standarder og sammenhængende it-løsninger. Foretage en helhedsorienteret behandling af it- og digitaliseringsprojekter og sikre gennemførelsen af ministeriets strategiske målsætninger på it-området. Det vil bl.a. være faste punkter på dagsordenen i henholdsvis koncernledelsen og på ledelsesmøder i de enkelte institutioner. Anskue varetagelsen af dette ansvar som et integreret led i varetagelsen af ledelsesopgaver og inddrage dette i den almindelige ledelsesvurdering og -udvikling. Sikre at der bliver foretaget en systematisk styring af risici- og sikkerhedsprocesser. - 11 -
K ONCERN-IT-STRATEGI 2 Forretningsorienteret itanvendelse Formålet med anvendelsen af it i Indenrigs- og Sundhedsministeriet er at understøtte og udvikle opgaveløsningen med fokus på de, der skal bruge systemerne: Borgere, samarbejdsparter og ansatte på ministerområdet. It skal understøtte og udvikle opgaveløsningen, Nytteværdien af it skal løbende dokumenteres, projekter skal prioriteres og gevinster skal realiseres. It skal understøtte og udvikle opgaveløsningen Et væsentligt element i realiseringen af potentialet ved digital forvaltning og derfor et centralt omdrejningspunkt i Indenrigs- og Sundhedsministeriets it-vision - er optimering af arbejds- og forretningsprocesser på tværs af de institutioner, der tilsammen udgør Indenrigs- og Sundhedsministeriets koncern. På nogle områder har opgaveløsningen en række fællestræk og sammenhænge med andre opgaver, der løses indenfor ministerområdet. Dette gælder eksempelvis administrativ sagsbehandling, lønudbetaling, økonomistyring og registerdrift. På andre områder er opgaveløsningen unik og enkeltstående eller kun sammenlignelig med tilsvarende områder i øvrigt i ind- og udland. Dette gælder eksempelvis kommunaløkonomiske systemer, personregistrering, lægemiddelgodkendelse, separation & skilsmisse og medicinproduktion. Ansvaret for at optimere og udvikle opgaveløsningen og it-understøttelsen heraf ligger i dag hos de enkelte enheder, både hvad angår de sammenlignelige og de unikke opgaver. Fremtidigt skal der, på områder hvor der indenfor ministerområdet er fællestræk i opgaveløsningen, ske en helhedsvurdering af, hvordan it-understøttelsen kan ske bedst og billigst. Udgangspunktet er, at it-understøttelsen af identiske eller stort set identiske forretningsprocesser skal fastlægges på koncernplan. Der vil dog på grundlag af en konkret vurdering kunne dispenseres fra anvendelsen af - 12 -
fælles standarder, systemer og metoder m.v. Det er her den enkelte enheds ansvar at dokumentere, at det vil vanskeliggøre enhedens forretningsmæssige virksomhed unødigt at følge de fælles standarder m.v. Som led i gennemførelsen af it- og digitaliseringsprojekter har den enkelte enhed, system- eller projektejer ansvaret for, at der indgår overvejelser omkring værdiskabende tværgående opgaveløsning, herunder at der ikke skabes tekniske barrierer for fremtidig etablering af tværgående digitale arbejdsgange, levering af sammenhængende ydelser, etablering af servicefællesskaber samt flytning og samling af opgaver på ministerområdet. Nytteværdien af it skal løbende dokumenteres, projekter skal prioriteres og gevinster skal realiseres. De opstillede trædesten og målsætninger er ledelsesmæssigt prioriterede områder, hvor Indenrigs- og Sundhedsministeriet ønsker, at der skal tages særlige initiativer. For at sikre og synliggøre den forretningsmæssige værdi af såvel allerede etablerede som påtænkte it-løsninger, vil Indenrigs- og Sundhedsministeriet anvende nogle dertil udviklede måleredskaber. Den enkelte enhed og den enkelte system- eller projektejer skal opstille klare og operationelle mål for projekter og aktiviteter. Deres bidrag til opfyldelse af koncern-it-strategiens målsætninger skal kunne dokumenteres, således at der er en ledelsesmæssig mulighed for at overskue og prioritere indsatsen. De nærmere processer er beskrevet i strategiens kapitel 3, 4 og 7. For at målopfyldelsen i Indenrigs- og Sundhedsministeriet skal kunne sammenlignes internt og med andre offentlige myndigheder, vil der på koncernplan blive anvist eller udviklet fælles målemetoder og redskaber. Der vil i den forbindelse blive lagt stor vægt på, at disse er lettilgængelige og belaster de enkelte enheder mindst muligt. De enkelte enheder har herefter ansvaret for at anvende de forskellige metoder og værktøjer, ligesom der kan blive tale om, at der skal ske rapportering af visse oplysninger til Koncern-it-styregruppen efter en fastlagt termin. Større projekter på it-området i Indenrigs- og Sundhedsministeriet skal af de enkelte enheder og projektejere vurderes ud fra en konkret businesscase, der bl.a. dokumenterer projektets bidrag til Koncern-it-strategiens målsætninger. Vurderingen skal tage udgangspunkt i en vejledning udarbejdet af Koncern-it-styregruppen på baggrund af materiale fra det fællesoffentlige Projekt Digital Forvaltning. For projekter der er lovbundne, eller for projekter der har baggrund i en politisk beslutning, vil en businesscase ikke være en del af beslutningsgrundlaget, med mindre dette er forudsat heri. - 13 -
K ONCERN-IT-STRATEGI 3 Styring og organisering af it Indenrigs- og Sundhedsministeriet vil tilbyde borgere samt private og offentlige samarbejdsparter sammenhængende ydelser indenfor ministeriets kerneområder og effektivisere ministerområdets opgaveløsning ved hjælp af digitale værktøjer. Det kræver et øget tværgående samarbejde på ministerområdet og en målrettet fokusering på lønsomheden af digitaliseringsprojekterne og på organiseringen af it-anvendelsen. Det skal ske gennem: øget fokus på den forretningsmæssige it-anvendelse i de enkelte enheder. Enhederne skal orientere sig mod løsning af deres respektive kerneopgaver og på at gennemføre en udvikling og effektivisering af de dermed forbundne forretningsprocesser, nøjere definering af en koncern-it-enhed, der er ansvarlig for at udføre de opgaver, som besluttes varetaget på koncernplan. Som udgangspunkt vil det indbefatte det overordnede ansvar for implementering og drift af en sammenhængende teknisk infrastruktur samt driften af de koncernfælles systemer. Styring og organisering af it i Indenrigs- og Sundhedsministeriet Rammerne for den overordnede styring og organisation af it i Indenrigsog Sundhedsministeriet skal grundlæggende tage afsæt i visionen om sammenhængende og brugerorienterede serviceydelser udadtil og effektivisering af ministerområdets opgaveløsning indadtil. Det fordrer bl.a., at der arbejdes målrettet med governance-begrebet, og at der lokalt foregår et effektivt samspil mellem it-funktionerne og ledelserne i de enkelte enheder. Koncern-it i Indenrigs- og Sundhedsministeriet er organiseret således: - 14 -
KITstyregruppen Koncernit-enhed Koncernledelsen Lokale ledelser Tværgående fora Del af basisorganisationen Lokale it-enheder Figuren illusterer ministerområdets it-organisation, der består af en Koncern-it-styregruppe, lokale it-funktioner i de enkelte enheder og en fælles koncern-it-enhed. It-organisationen har, på baggrund af itstrategien, til opgave at understøtte organisationen (koncernledelsen, lokale ledelser og medarbejdere) i en effektiv løsning af ministerområdets opgaver. Situationen i dag er, at der i de lokale it-funktioner er beskæftiget ca. 50 årsværk. Der er ikke i dag nøjere defineret en koncern-it-enhed, der ressourcemæssigt modsvarer de 50 lokale it-årsværk. Ansvar og roller for de forskellige enheder/funktioner er beskrevet nedenfor. Medarbejdernes rolle er primært beskrevet i kapitel 5. Koncernledelsen Koncernledelsen har ejerskabet til koncern-it-strategien. Det betyder, at Koncernledelsen blandt andet skal sørge for, at der opstilles de nødvendige rammer og retningslinier for de områder, hvor der skal foregå en koordinering på tværs af de enkelte institutioner. Det omfatter også større ændringer i it-organisationen. Lokale ledelser De lokale ledelser i de enheder, som ministeriet omfatter, er ansvarlige for at der er et lokalt fokus på den forretningsmæssige it-anvendelse. Det skal ske ved, at enhederne i forbindelse med løsningen af kerneopgaverne løbende gennemfører en udvikling og effektivisering af de dermed forbundne forretningsprocesser. For flere af ministerområdets institutioner indgår deltagelse i internationalt samarbejde som en integreret del af de forretningsmæssige målsætninger. Det er i den forbindelse vigtigt, at der løbende opsamles ideer, som kan omsættes til nationale projekter og eventuelt implementeres bredt i ministeriet. - 15 -
K ONCERN-IT-STRATEGI Det er tillige vigtigt, at også de mere forretningsmæssige it-systemer i Indenrigs- og Sundhedsministeriet i hensigtsmæssigt omfang designes, så data kan udveksles på tværs, og at arbejdsprocesserne tilsvarende tilrettelægges med henblik på tværgående samarbejder, både mellem enhederne i ministeriet og mellem ministeriet og danske og internationale myndigheder. Dette er en forudsætning/betingelse for, at Indenrigs- og Sundhedsministeriet kan realisere sin digitale vision om dels at udvikle opgaveløsningen og dels at frigøre ressourcer. På områder, hvor der er fællestræk i opgaveløsningen på tværs af flere enheder i ministeriet, skal der anvendes fælles standarder, systemer og metoder m.v.. Der skal endvidere udarbejdes en fælles projektmodel for ministeriet som sikrer, at der i projektplanlægningen og i selve projektgennemførelsen indgår overvejelser omkring værdiskabende tværgående opgaveløsning. Erfaringer om best practices skal desuden opsamles i projektmodellen, så de kan komme det samlede ministerområde til gode. Koncern-it-styregruppen (KIT-styregruppen) KIT-styregruppen er nedsat af koncernledelsen ud fra et ønske om at etablere et forum med ansvar for at der sker en realisering af strategien, herunder at der foregår en opfølgning på den besluttede anvendelse og organisering af it i koncernen. KIT-styregruppen kan eksempelvis behandle og træffe beslutning om etablering af tværgående digitaliseringsprojekter på ministerområdet. Der vil for de enkelte enheder altid være mulighed for at tage beslutninger herom op i koncernledelsen. Hvis KIT-styregruppen ikke kan nå til enighed om etablering af tværgående digitaliseringsprojekter, kan KITstyregruppen forelægge disse til beslutning i koncernledelsen. Ved beslutninger, der fordrer tilførelse af ressourcer eller har væsentlig betydning for opgaveløsningen på ministerområdet, vil behandling i koncernledelsen som udgangspunkt indgå i beslutningsprocessen. KIT-styregruppen består af en forretningsansvarlig og en it-ansvarlig for hver af de 5 største enheder på ministerområdet. Departementchefen udpeger formanden for KIT-styregruppen. KIT-styregruppen er som tværgående forum forankret i basisorganisationen gennem ledelsesrepræsentation fra departement og institutioner. KIT-styregruppen skal sikre en bred involvering fra enhederne i de itstrategiske beslutningsprocesser,og har overfor koncernledelsen ansvaret for at der er et beredskab til at imødekomme de krav som Indenrigs- og Sundhedsministeriet vil stå overfor i strategiperioden. Medlemmerne af KIT-styregruppen repræsenterer interesser og behov i egne enheder, men er også ansvarlig for udmøntning af koncern-itstrategien i koncernen som helhed. Herunder skal medlemmerne aktivt gå forrest i egen organisation og medvirke til at udleve de strategiske beslutninger, som træffes på koncernplan. - 16 -
Enhederne skal gennem deres deltagelse i KIT-styregruppen sikre en formidling af enhedernes forretningsmæssige behov, således at itanvendelsen på ministerområdet effektivt understøtter opgavevaretagelsen. Formanden for KIT-styregruppen udpeger repræsentanter til de eksterne fora, hvor Indenrigs- og Sundhedsministeriet skal eller ønsker at være repræsenteret. Dette omfatter f.eks. KIU (Det Koordinerende Informationsudvalg), Statens it-råd, Statens it-forum og tilsvarende organer. Med reference til KIT-styregruppen nedsættes et permanent Arkitekturforum, der har til opgave at etablere og vedligeholde en overordnet arkitekturplan. Arkitekturforum er nærmere beskrevet i kapitel 5. KIT-styregruppen har behov for en permanent sekretariatsbetjening, der baserer sig på såvel it-faglige som forretningsmæssige kompetencer. Hovedopgaverne herved er: at medvirke til gennemførelsen af og opfølgningen på koncern-itstrategien og af de handlingsplaner, som vedtages i tilslutning til denne, at være ansvarlig for den tværgående programledelse (porteføljestyring af projekter), i nærmere aftalt omfang at stille ressourcer til rådighed for planlægning og ledelse af koncern-projekter, at være udførende for KIT-styregruppen samt at betjene KITstyregruppen og dennes formand i forbindelse med planlægningen og gennemførelsen af møder, seminarer m.v. De fornødne personalemæssige ressourcer og kompetencesammensætning fastlægges løbende, idet der i forbindelse med handlingsplanen vil være en opgørelse af de umiddelbart konstaterede behov, som kan udledes af strategien. Lokale it-funktioner Indenfor de enheder, som tilsammen udgør ministerområdet, er der beskæftiget ca. 50 årsværk i egentlige it-funktioner. På ministerområdet varetages herudover en række registerrelaterede eller statistiske opgaver (eks. i forhold til CPR-systemet, valg og sundhed), der kan være placeret udenfor egentlige it-funktioner (ukendt antal årsværk). It-anvendelsen er organiseret forskelligt, alt efter institutionernes forskellige opgaver og struktur, men der er i nogle tilfælde etableret governance-organer med en eller anden form for (top)ledelsesrepræsentation. På Statens Serum Institut varetages it-opgaverne for de enkelte afdelinger og enheder af en fælles it-afdeling. For statsamternes vedkommende er it-håndteringen for de enkelte myndigheder organiseret i en central koncernfunktion i departementet (EDB-sekretariatet). For Sundhedsstyrelsen og Embedslægevæsenet varetages opgaverne i en fælles it-funktion i - 17 -
K ONCERN-IT-STRATEGI Sundhedsstyrelsen. I Lægemiddelstyrelsen er it-drift og support outsourcet til en ekstern leverandør. Der er endvidere på sundhedsområdet etableret et fælles datavarehus, der anvendes af Statens Institut for Folkesundhed og Sundhedsstyrelsen. Koncern-it-enheden Koncern-it-strategien fordrer, at Indenrigs- og Sundhedsministeriet i lighed med mange andre ministerområder nøjere definerer en organisatorisk enhed, som får tildelt ansvaret for udførelsen af de opgaver, som koncernledelsen beslutter varetaget på koncernplan. Som udgangspunkt vil det indbefatte det overordnede ansvar for implementering og drift af en sammenhængende teknisk infrastruktur samt driften af de koncernfælles systemer. Ministeriet vil som et af de første projekter i forlængelse af vedtagelsen af koncern-it-strategien, iværksætte et arbejde med at definere den organisatoriske enhed. I dette arbejde vil indgå overvejelser omkring Modeller for styring af koncern-it-enhedens opgaver ved hjælp af bl.a. serviceaftaler (SLA er), som indgås med de enkelte enheder, systemejere og eventuelt for visse tværgående opgavers vedkommende med KIT-styregruppen på vegne af koncernledelsen. Mulighederne for en reduktion af det nuværende antal driftssteder og serverrum således, at det udførende driftsansvar på de mindste enheder i koncernen flyttes ind i koncern-it-enheden, En hensigtsmæssig organisering og placering i basisorganisationen, således at opgaverne kan løses effektivt, der er adgang til de rette kompetencer og det koncernmæssige og strategiske ansvar, herunder forhold vedrørende bevilling og referencer o. lign, er placeret på hensigtsmæssigt niveau. Sourcingstrategi I Indenrigs- og Sundhedsministeriet har sourcingstrategien indtil nu været fastlagt lokalt. Herved har de enkelte enheder i høj grad kunnet bygge deres valg på lokale behov, erfaringer, kompetencer og ressourcer. Koncern-it-strategien vil dog nødvendiggøre, at den lokale tilgang kombineres med, at der på koncernplan tages stilling til hvor og hvordan visse typer af opgaver skal løses. Dette gælder f.eks. driften af de fremtidige koncernfælles systemer, men vil også kunne omfatte andre områder, hvor der ud fra en helhedsbetragtning er fordele ved at gøre tingene i fællesskab. Indenrigs- og Sundhedsministeriets vil således i forbindelse med defineringen af en koncern-it-enhed udarbejde en mere detaljeret sourcingstrategi, der sikrer en indfrielse af strategiens vision og målsætninger. Det vil bl.a. ske med udgangspunkt i en vurdering af adgangen til ressourcer og kompetencer på koncern-niveau (jf. strategiens kapitel 5) og med ud- - 18 -
gangspunkt i de øvrigt gældende retningslinier for området (eksempelvis effektiviseringsstrategien, finansministerielle bestemmelser om udlicitering og udbudspolitikken for ministerområdet). Styring af risici og fremadrettet udnyttelse af nye teknologiske muligheder Det er ikke en særskilt målsætning for Indenrigs- og Sundhedsministeriet at lave risikovurderinger og at gennemføre risikostyring. Men der er forskellige redskaber, som på en række områder kan og skal bruges for at realisere ministeriets it-mæssige målsætninger. Principper omkring risikovurdering og -styring vil således blive anvendt i forbindelse med det arbejde med at lave beredskabsplaner, som foregår i ministeriet (jf. kapitel 6) og indgå som en integreret del af den planlægning og styring, som foregår i forbindelse med gennemførelsen af større projekter på koncernplan eller inden for de enkelte enheder. Efterhånden som der udvikles erfaringer og færdigheder, vil risikotankegangen blive udvidet til at omfatte flere områder, således at den f.eks. også indgår i den løbende planlægning og styring af it-driften. - 19 -
K ONCERN-IT-STRATEGI 4 It-arkitektur En sammenhængende it-arkitektur på ministerområdet har stor betydning for indfrielse af Indenrigs- og Sundhedsministeriets IT-vision om effektiv og kvalitetsorienteret it-understøttelse af ministerområdets primære opgaver. Endvidere udgør it-systemer, der ikke kan arbejde sammen og som bygger på ikke-tidssvarende teknologiske platforme, en stor barriere for realisering af visionen om den effektive og sammenhængende offentlige sektor. Etableringen af en fælles offentlig it-arkitektur er således også et centralt element i statens it-politik og en væsentlig forudsætning for at digitaliseringen af den offentlige sektor giver de ønskede resultater. Indenrigs- og Sundhedsministeriet spiller en central rolle heri. Indenfor bl.a. sundhedsvæsenet er der udarbejdet en national sektorspecifik it-strategi. Indenrigs- og Sundhedsministeriet har behov for løbende at forholde sig offensivt og udvikle it-arkitekturen indenfor eget område og ønsker tilsvarende aktivt at bidrage til realiseringen af den fælles offentlige itarkitektur. Arbejdet med it-arkitektur på ministerområdet skal bidrage til at skabe grundlaget for: etablering af tværgående digitale arbejdsgange, levering af sammenhængende ydelser, etablering af servicefællesskaber samt flytning og samling af opgaver på ministerområdet, etablering af tværgående og fælles it-løsninger på ministerområdet, der på én og samme tid kan dække de forretningsmæssige behov og kravene om digitalisering samt sikre en effektiv udnyttelse af ressourcer og kompetencer. Indenrigs- og Sundhedsministeriets bidrag til den fælles offentlige it-arkitektur Et væsentligt element i udviklingen af en sammenhængende it-arkitektur og de deraf følgende gevinster er, at der i digitaliseringen tænkes i hele sagsforløb på tværs af myndighedsgrænser. - 20 -
Indenrigs- og Sundhedsministeriet vil derfor aktivt indgå i dialog med relevante offentlige og private samarbejdspartnere, både nationalt og internationalt. Særligt indenfor sundhedsområdet indgår flere af ministeriets institutioner i stadig stigende omfang i samarbejder i og uden for Europa. Indenrigs- og Sundhedsministeriet vil bidrage til, at der etableres det nødvendige arkitekturmæssige grundlag for disse samarbejder. Indenrigs- og Sundhedsministeriet ønsker endvidere at fremme digitaliseringen af den offentlige sektor ved at stille egne data til rådighed for andre myndigheder i den udstrækning det ikke er i konflikt med den enkelte borgers ret til fortrolighed i forholdet til det offentlige, eller med ministeriets opgavevaretagelse. Arbejdet med IT-arkitektur i Indenrigs- og Sundhedsministeriet Indenrigs- og Sundhedsministeriet ønsker at udvikle en sammenhængende IT-arkitektur på ministerområdet, der dækker såvel den lokale som den koncern-fælles IT-anvendelse. Ansvaret for udarbejdelsen af denne påhviler henholdsvis de enkelte enheder og Koncern-it-styregruppen. Med henblik herpå vil der med reference til Koncern-it-styregruppen blive nedsat et Arkitekturforum, som får til opgave at etablere og vedligeholde en overordnet arkitekturplan, som indeholder oplæg til strategiske beslutninger om teknisk infrastruktur, systemarkitektur og metodevalg. Arbejdet med at fastlægge it-arkitekturplanen skal ske med udgangspunkt i Videnskabsministeriets Håndbog om it-arkitektur. Arbejdet skal bl.a. definere sammenhængene mellem de it-systemer, som anvendes i Indenrigs- og Sundhedsministeriet. Planen skal tillige specificere, hvordan der kan foretages en optimering/udfasning af de anvendte systemer, så de kan understøtte både en effektiv udførelse af de primære forretningsprocesser og tilvejebringelsen af en fællesoffentlig, serviceorienteret it-arkitektur. Som følge af opgavefelterne særligt på sundhedsområdet er det vigtigt, at der heri endvidere indgår hensyn til it-arkitekturen i forbindelse med de samarbejdstiltag, som foregår på internationalt plan. Det kommende Arkitekturforum vil bestå af 4-6 deltagere fra koncern-itenheden og de enkelte enheder og vil blive betjent af Koncern-itstyregruppens sekretariat. Arkitekturforum kan inddrage andre specialister interne som eksterne i arbejdet. Koncern-it-styregruppen fastlægger kadencen og omfanget af arkitekturarbejdet. Udgangspunktet er, at alle nye it-løsninger og projekter er omfattet af arbejdet. Derudover vil den eksisterende it-anvendelse være omfattet i det omfang, der af strategiske hensyn eller af hensyn til andre samarbejdspartnere må være et behov herfor. De enkelte enheder har ansvaret for at rapportere indhold og ændringer indenfor enhedens it-arkitektur til Arkitekturforum. Afvigelser fra overholdelse af den fælles offentlige it-arkitektur og den tilknyttede referen- - 21 -
K ONCERN-IT-STRATEGI ceprofil kan som hovedregel kun begrundes i, at denne unødigt vanskeliggør enhedernes forretningsmæssige virksomhed eller medfører et uforholdsmæssigt stort merforbrug af økonomiske eller personalemæssige ressourcer. Hvis der sker afvigelser, har Arkitekturforum sammen med den enkelte enhed et ansvar for at fremkomme med en løsning på, hvorledes der på længere sigt kan etableres det nødvendige grundlag for tilvejebringelsen af en løsning, der lever op til kravene i Håndbog om itarkitektur. IT-arkitektur for Indenrigs- og Sundhedsministeriet Indenrigs- og Sundhedsministeriets it-arkitektur består af en lokal og en koncern-fælles del. Arkitekturen indeholder en konkret arkitekturstrategi, der beskriver hvorledes og efter hvilke principper og målsætninger, der etableres en sammenhængende it-arkitektur indenfor ministerområdet og i sammenhæng med den offentlige sektor i øvrigt. Derudover består it-arkitekturen af konkrete beskrivelser af den eksisterende og den fremtidige it-anvendelse i form af en forretningsarkitektur, en informationsarkitektur, en løsningsarkitektur samt en teknisk arkitektur. FORRETNINGSARKITEKTUR INFORMATIONSARKITEKTUR LØSNINGSARKITEKTUR TEKNISK ARKITEKTUR Indenrigs- og Sundhedsministeriet har en række specialiserede enheder, der løser afgrænsede og dedikerede opgaver. For at udnytte mulighederne for tværgående samarbejde, digitalisering af sammenhængende arbejdsprocesser, etablere fælles services og dele data, er det afgørende at der udvikles en sammenhængende forretnings- og informationsarkitektur for hele ministerområdet. Derfor skal hver enhed have fokus på egen rolle i den fælles it-arkitektur, og de enkelte it- og digitaliseringsprojekter skal bidrage til at udvikle den fælles it-arkitektur. For at styrke det tværgående it-arkitekturarbejde samt at give hver enhed et forbedret grundlag for at bidrage til udviklingen af den samlede fælles it-arkitektur vil Indenrigs- og Sundhedsministeriet i første omgang prioritere iværksættelse af fælles projekter i relation til den tekniske arkitektur og løsningsarkitektur. - 22 -
Dette arbejde skal sikre at Indenrigs- og Sundhedsministeriet er forberedt bedst muligt i forhold til de betydelige it-arkitekturmæssige udfordringer, som ministeriet står overfor i de kommende år: Der skal foretages en modernisering af eksisterende systemer og anskaffes nye it-løsninger for at etablere det teknologiske fundament for digitaliseringen på ministerområdet (jf. trædesten 1 & 2). Nye koncern-fælles it-løsninger skal etableres (jf. trædesten 3). Samarbejdet med ministerområdets samarbejdspartnere skal udbygges (jf. trædesten 4). Et vigtigt element i udviklingen af en sammenhængende teknisk infrastruktur i koncernen vil være etablering af et koncerndatanet, der muliggør anvendelsen og drift af fælles it-løsninger samt en øget grad af samordning af de anvendte it-løsninger i forhold til eks. intranet/internet (CMS), mail & kalender, kontorpakker m.v. - 23 -
K ONCERN-IT-STRATEGI 5 Kompetencer Realiseringen af Indenrigs- og Sundhedsministeriets it-vision og -strategi, vil kræve, at ministeriet gennemfører en målrettet kompetenceudvikling. Der vil som hidtil være et behov for udvikling af de værktøjsmæssige kompetencer, der kan bidrage til, at alle grupper af medarbejdere opnår en større grad af fortrolighed med anvendelse af it. Særligt overgangen til digital sagsbehandling med afskaffelse af mange af de nuværende papirgange (ESDH) vil stille nye krav til udviklingen af lederes og medarbejderes værktøjskompetencer. Men for at Indenrigs- og Sundhedsministeriet kan realisere it-visionen, er det ikke tilstrækkeligt at udvikle de rette værktøjskompetencer. Det er nødvendigt, at den fremtidige indsats fokuserer på Digital ledelse, Stærkere projektkompetence og en styrkelse af it-kompetencerne i it-funktionerne, Strategisk og målrettet kompetenceudvikling. Digital ledelse i Indenrigs- og Sundhedsministeriet Den egentlige digitalisering af den offentlige sektor vil bære mange forandringer med sig, og det er væsentligt, at medarbejdere og i særlig grad ledere klædes på, så de er i stand til at se perspektiverne i udnyttelsen af de digitale muligheder. Erfaringen fra adskillige offentlige it-projekter og fra det eksisterende arbejde med digitalisering af den offentlige sektor viser, at ledelsen spiller en afgørende rolle i gennemførelsen af de nødvendige forandringsprocesser. Ledelsen i Indenrigs- og Sundhedsministeriet har derfor en forpligtigelse til: at fremme udnyttelsen af it-systemer og værktøjer, at udfordre bestående fremgangsmåder ved at inddrage de digitale muligheder i opgavemæssige og organisatoriske overvejelser og beslutninger, - 24 -
at understøtte forandringsparathed gennem målrettet medarbejderudvikling og rekruttering. Den lederudvikling, som løbende foregår, er en langsigtet proces, som skal have en meget høj prioritet. Såvel nye som nuværende ledere vil i stadig stigende udstrækning opleve et behov for digital ledelse. Det er eksempelvis vigtigt, at lederne er bevidste om forudsætningerne for, at den digitale vision kan realiseres og ikke mindst den enkelte leders styrings- og ledelsesrolle heri. Stærkere projektkompetence og en styrkelse af itkompetencerne i it-funktionerne Udviklingen vil kræve, at der gennemføres flere og bedre digitaliseringsog forandringsprojekter på ministerområdet. Dette vil skærpe kravene til projektlederne, som både skal kunne tænke i helheder og samtidig skal have den nødvendige viden om de metoder og værktøjer, der kræves, for at der kan foregå en optimal styring af det enkelte projekt. Med hensyn til den kompetenceudvikling, som primært skal foregå inden for eller i tæt tilknytning til it-funktionerne, handler det primært om at styrke: specialistkompetencer i tilknytning til it-arkitektur (herunder it-sikkerhedsforhold) samt bredere kompetenceprofil i forbindelse it-support og it-drift. Strategisk og målrettet kompetenceudvikling i Indenrigs- og Sundhedsministeriet Indenrigs- og Sundhedsministeriet lægger afgørende vægt på at koncernens medarbejdere og ledere får udviklet deres kompetencer i det omfang, det er nødvendigt, for at it-systemer mv. kan udnyttes på optimal vis. Udviklingen af de mere værktøjsmæssige kompetencer vil som hidtil hovedsageligt foregå i regi af de enkelte institutioner, idet der dog også kan foregå udvikling af værktøjskompetencer som et integreret led i gennemførelsen af tværgående koncernprojekter (ESDH m.fl.). For at sikre en formaliseret og struktureret styring af udviklingen af de nødvendige it-mæssige kompetencer på tværs af Indenrigs- og Sundhedsministeriet, vil der i regi af Koncern-it-styregruppen først i strategiperioden blive etableret et overblik over kompetenceniveauet og sammensætningen på ministerområdet. I dette overblik skal de fremtidige ressource- og kompetencebehov indenfor følgende prioriterede hovedområder identificeres: It-governance (den overordnede styring og ledelse af it) Forandrings-, program- og projektledelse It-arkitektur og it-service management - 25 -
K ONCERN-IT-STRATEGI Når der er fastlagt, hvilke ressourcer og kompetencer Indenrigs- og Sundhedsministeriet skal have indenfor de prioriterede hovedområder, vil det blive undersøgt, hvorvidt de nuværende kompetencer er i stand til at understøtte opgavevaretagelsen på en tilfredsstillende måde. Herefter vil Koncern-it-styregruppen diskutere og beslutte, hvordan et eventuelt konstateret kompetencegab kan lukkes. Målet er at sikre, at medarbejderstyrkens sammensætning matcher de krav, der følger af it-strategien. Dette vil ske ved anvendelse af forskellige metoder og værktøjer. Elementer heri vil bl.a. være tiltag, der sigter mod: at etablere en fælles projektforståelse. Det kan bl.a. ske gennem uddannelsesforløb, etablering af projektmodeller m.v. at øge den gensidige videndeling bl.a. ved indførelse og nyttiggørelse af fælles digitale værktøjer blandt ledere og medarbejdere. Dette vil blive kombineret med, at Indenrigs- og Sundhedsministeriet også på it-området laver en strategi for, hvordan de ønskede kompetencer kan fastholdes og rekrutteres. På de områder, hvor Indenrigs- og Sundhedsministeriet ikke ønsker at opbygge eller opretholde egne interne kompetencer, vil det være nødvendigt at foretage outsourcing af opgaveløsningen (jf. også kap. 3). - 26 -
6 It-sikkerhed Det overordnede formål med it-sikkerhedsarbejdet i Indenrigs- og Sundhedsministeriet er at sikre: institutionernes funktionsdygtighed i form af tilgængelighed, pålidelighed, integritet og fortrolighed om data og systemer opfyldelse af borgernes lovfæstede krav m.h.t. beskyttelse af oplysninger om personlige eller forretningsmæssige forhold opfyldelse af krav fastsat af nationale myndigheder og/eller EU, herunder forretningsmæssige krav og behov som følge af branchenormer eller lign. Det nuværende arbejde med it-sikkerhed Indenrigs- og Sundhedsministeriet har december 2003 fastlagt en overordnet koncern-it-sikkerhedspolitik, der uddyber den nugældende it-strategi på det sikkerhedsmæssige område og fastlægger en række minimumsstandarder for de enkelte enheder på ministerområdet. Koncern-it-sikkerhedspolitikken er gældende for administration, udvikling, implementering, drift og brug af alle it-baserede informationssystemer, personregistre m.v. i Indenrigs- og Sundhedsministeriets departement og tilhørende institutioner. It-sikkerhedspolitikken er også bindende for driftsaftaler med tredjepart. KIT-styregruppen har ansvaret for, at den overordnede koncern-itsikkerhedspolitik mindst én gang årligt tages op til revision. Dette for at sikre, at den fortsat afspejler de sikkerhedsmæssige behov. KIT-styregruppen har endvidere ansvaret for, at erfaringer på itsikkerhedsområdet deles mellem de lokale it-funktioner i koncernen, og at best practices kommer hele koncernen til gode. Herudover foreligger der en klar anbefaling til de enkelte institutioner om at foretage en risikovurdering, herunder identifikation og klassifikation af it-aktiver, iværksætte it-sikkerhedstiltag for særligt kritiske aktiver og udarbejde beredskabsplaner. - 27 -
K ONCERN-IT-STRATEGI Departementschefen og direktører i styrelser og institutioner har det overordnede ansvar for it-sikkerheden indenfor eget område, mens det daglige ansvar delegeres til en lokal it-sikkerheds-ansvarlig, som refererer til institutionens ledelse. Ledelsen er ansvarlig for, at der udarbejdes en lokal it-sikkerhedspolitik i overensstemmelse med koncern-it-sikkerhedspolitikken, og at der, om nødvendigt, udarbejdes mere detaljerede retningslinier samt udføres løbende overvågning og kontrol. Den lokale it-sikkerhedsansvarlige skal påse, at alle medarbejdere er gjort bekendt med sikkerhedsbestemmelserne. Den lokale it-sikkerhedsansvarlige skal ligeledes påse, at sikkerhedsbestemmelserne revideres og vedligeholdes i fornødent omfang, dog som minimum en gang om året. It-sikkerhed i den kommende strategiperiode Den forestående evaluering af koncern-it-sikkerhedspolitikken vil omfatte dels erfaringer, best practices m.v., der er indsamlet i den forløbne periode og dels indførelse af den obligatoriske fælles standard for itsikkerhedsprocesser i staten (DS484) med sigte på, at ministerområdet opfylder standarden indenfor den anbefalede 3-årige periode. Indførelse af den fælles standard i koncern-it-sikkerhedspolitikken medfører, at alle institutioner skal anvende en metodik, som i det væsentlige fremgår af følgende: Udarbejde en overordnet skriftlig risikovurdering Risikovurderingen bør give information om følgende: Hvilke aktiver, herunder data, er kritiske for organisationens aktiviteter? Hvilke risici kan true organisationens muligheder for anvendelse af disse aktiver? Hvilke risici kan påvirke omverdenens tillid til rigtigheden af organisationens data? Hvad det vil koste at fastholde risikoen på det for ledelsen acceptable niveau? Hvilke udækkede restrisici er fortsat til stede? Udforme en skriftlig it-sikkerhedspolitik It-sikkerhedspolitikken fastlægger ledelsens overordnede sikkerhedsmålsætning og generelle retningslinier, de organisatoriske rammer for it-sikkerhedsarbejdet og det organisatoriske ansvar. Politikken fastlægges i høj grad på baggrund af viden om sårbarheden i den pågældende institution. - 28 -
Lægge en it-sikkerhedsstrategi. Strategien beskriver i hovedtræk, hvordan it-sikkerhedspolitikken/- målsætningen skal gennemføres, samt hvornår og med hvilken prioritet de enkelte aktiviteter gennemføres. Strategien skal skriftliggøres. Etablere et sikkerhedsstyringssystem Sikkerhedsstyringssystemet er det centrale i sikkerhedsimplementeringen. Det indebærer blandt andet, at ansvarsplacering, tildeling af privilegier, anskaffelser og samarbejde med andre organisationer sker efter it-sikkerhedspolitikkens overordnede retningslinier. Systemet skal være dokumenteret skriftligt. Udarbejde en skriftlig beredskabsplan Beredskabsplanlægningens formål er at mindske konsekvenserne ved brud, ulykker eller fejl på it-systemerne. Beredskabsplanlægningen koordineres med sikringsforanstaltningerne, så der opnås en balance, der er i overensstemmelse med den risiko, som ledelsen har valgt at acceptere. Sikkerhedsstandard for selvbetjeningsydelser I forbindelse med udvikling af selvbetjeningsydelser (log-on tjenester, elektroniske blanketter etc.) anvendes OCES-standarden på ministerområdet. Eksisterende selvbetjeningsydelser på ministerområdet, der anvender anden form for sikkerhed, eksempelvis pinkode løsninger, skal over en 3-årig periode så vidt muligt erstattes af OCES-standarden. - 29 -