Standardiseringsrådsmøte #4 i November 2015

Transkript

1 Standardiseringsrådsmøte #4 i November 2015

2 Agenda 10:00-10:10 Godkjenning agenda (beslutningssak) 10:10 11:00 Revisjon av referansekatalogen høsten 2015 (beslutningssak) 11:00 11:45 Standard Norge sin rolle i utvikling av standarder i forvaltningen (diskusjonssak) 11:45 12:30 Lunsj (fordøyelsessak) 12:30 13:45 Prioriteringer 2016 (beslutningssak) 13:45 14:00 Kaffepause 14:00 15:00 Integrasjonsarkitektur i Oslo kommune (informasjonssak) 15:00 15:20 Status for standardiseringsarbeidet i Difi (informasjonssak) 15:20 15:30 Eventuelt

3 Revisjon av referansekatalogen høsten 2015 Kristian Bergem 12. November 2015

4 Revisjon av referansekatalogen høsten 2015 Difi gjennomfører en årlig vurdering av behovet for å revidere anbefalte og obligatoriske krav på de ulike bruksområdene. Da vurderes følgende: Har det kommet nye versjoner av standardene Har det kommet nye standarder på området Har det kommet ny teknologi med andre typer standarder Har offentlig sektors behov på området endret seg Mindre endringer foreslås direkte, større nødvendige endringer foreslås med høyest prioritet, mindre nødvendige endringer og tillegg ses i sammenheng med prioritering

5 Arkivstandarder Behov for revisjon Håndteres av arkivverket, deler allerede håndtert og noe underveis

6 Beskrivelse av datasett og datakataloger Behov for revisjon Avvente revisjon av EU sin DCAT-profil Ta hensyn til erfaringer med bruk av standarden

7 Bruk av PKI med og i offentlig sektor Det er behov for å revidere bruksområdet, Har måttet avvente fremdriften i EU arbeidet, som nå er fullført. Implementering av forordningen i norsk regelverk gjenstår Det kan bli aktuelt å revidere/revurdere PKIkravspesifikasjonen i 2016, men det avhenger av fremdriften på den lokale lovreguleringen av området.

8 E-bøker Det er ikke behov for revisjon på området Kan bli aktuelt å utvide bruken av standarden når den får økt verktøystøtte

9 E-handel Ikke behov for revisjon på området De jobber aktivt i CEN sammenheng med å gjøre ehandelsstandardene om fra CWA-er til CEN standarder Jobbes mye på pre-award siden

10 Grunnleggende datakommunikasjon Behov for en gjennomgang Dual stack IPv4 og IPv6 under behandling I fjor anså rådet dette som nedprioritert, og vi har vel ansett at det er uendrett En sikker versjon av FTP kommer opp på sikkerhetssiden

11 Skjema på offentlige nettsider Må sidestille Elmer 3.0 med Elmer 2.1 KMD har valgt å utsette forskriften pga. justeringer Sendes opp i mnds skifte Får mange spørsmål om hvilken versjon som skal benyttes på nye ting, vi forklarer status og anbefaler å gå for Elmer 3.0.

12 Internkontroll/ styringssystem for informasjonssikkerhet Behov for mindre revisjon med forslag om følgende justering: Legge inn ledelsessystem etter endring fra Standard Norge har fått mye kritikk av prosessen eller mangel på sådan Henvisningen til strukturen i vedlegg A vurderes av Difi og justeres uten nærmere behandling Det anbefales å basere seg på Difi sin veileder for etablering av styringssystem for informasjonssikkerhet og gjennomføring av risikovurderinger

13 Sistnevnte er en større justering Vi foreslår at der en etat er satt til å være kompetansesenter og ha en rådgivende funksjon for resten av forvaltningen på et område, kan vi peke på en veileder uten å peke på en spesifikk versjon. I den grad man er uenig i måten en slik veileder er forvaltet kan man heller ta saken opp i rådet for vurdering om veilederen bør trekkes tilbake inntil noe er gjort med forvaltningsregime.

14 Publisering av multimediainnhold Skalerbar grafikk Det foreslås å likestille kravet til SVG og PNG for skalerbargrafikk, der parallell-publisering er upraktisk. Bildeformater Ikke behov for revisjon Lydformater Ikke behov for revisjon Videoformater Ikke behov for revisjon, men snart foreløpig for lav utbredelse i nettlesere

15 Publisering av nettleserbaserte tjenester Ikke behov for revisjon Er under behandling CSS første del som krever justering Noen har foreslått at vi skal si noe på javascript

16 Publisering av tekstdokumenter og utveksling av tekstdokumenter som e-postvedlegg Ikke behov for revisjon Samme utfordring knyttet til CSS Samme forslag knyttet til Javascript

17 Sikker elektronisk kommunikasjon i helsesektoren Har aldri blitt en tverrgående standard Synkroniseringsutfordringer Foreslås fjernet Vil få lenke til sektorspesifikke kataloger i ny standardiseringsportal

18 Sikre kommunikasjonskanaler På dette området har det skjedd endringer standarden ISO/IEC :2006 for planlegging og valg av protokoll for sikring av kommunikasjonskanaler, er blitt revidert og erstattet med ISO/IEC :2013. Behov for revisjon

19 SSA-ene La inn de nye versjonene i sommer Ikke behov for revisjon på området

20 Tegnsett Ikke behov for revisjon Men behov for å avklare midlertidig avgrensning, avhengig av det løpet som er lagt og vil bli en del av det.

21 Tilgjengelighet på nettsider Ikke behov for revisjon på området

22 Videokonferanser Ikke behov for revisjon på området

23 Oppsummering Standarder for arkivering: Dette er en oppgave Arkivverket har tatt tak i og er i ferd med å revidere deler av det revisjonsbehovet som er identifisert. Standarder innen PKI-området: Dette må derimot avvente implementering av det nye EU regelverket i norsk lov. Bruksområdet grunnleggende datakommunikasjon: Nye områder. Det er behov for en full gjennomgang, men de kravene som ligger der er allikevel ikke feil og vi prioriterer derfor nye områder fremfor en slik gjennomgang nå. Internkontroll/styring av informasjonssikkerhet. Det anbefales at Standardiseringsrådet beslutter følgende: Navnet på området harmoniseres med de endringer Standard Norge har vedtatt Henvisningen til strukturen i vedlegg A vurderes av Difi og justeres uten nærmere behandling Det anbefales å basere seg på Difi sin veileder for etablering av styringssystem for informasjonssikkerhet og gjennomføring av risikovurderinger Skalerbargrafikk: Det foreslås å likestille kravet til SVG og PNG for skalerbargrafikk, der parallell-publisering er upraktisk. Det foreslås å kutte bruksområdet sikker kommunikasjon i helsesektoren. Sikre kommunikasjonskanaler det foreslås egen utredning på hva endringene består i, før en ny versjon vedtas. Det er det behov for å revidere området, fordi ISO/IEC :2006 for planlegging og valg av protokoll for sikring av kommunikasjonskanaler, er blitt revidert og erstattet med ISO/IEC :2013.

24 Standard Norge sin rolle i utvikling av standarder i forvaltningen Kristian Bergem 12. November 2015

25 Utvikling av standarder i forvaltningen Her er vår hovedoppgave å peke på eksisterende standarder. Noen ganger har offentlig sektor behov som ikke løses og det velges å utvikle standarder Hvor skal slik standardisering skje vi gjør vurderinger hver gang Dette ble aktualisert i utkast til Standard Norge strategi, som sa at alle offentlige standarder skulle flyttes til Standard Norge innen 4 år + mange ulike diskusjoner

26 Min rolle Jeg må ofte forsvare Standard Norge sine handlinger i offentlig sektor og kjenner derfor godt til de fleste motforestillinger Jeg ser at vi har en praksis der det velges å lage mye selv Vi har et næringsdepartement som gir penger til et fungerende Standard Norge Må ta en diskusjon rundt dagens praksis og eventuelt behov for å justere den

27 Skrev et diskusjonsgrunnlag Ikke et veloverveid beslutningsnotat, men skissering av noen problemstillinger som grunnlag til diskusjon Fått 10 tilbakemeldinger etter god markedsføring fra Standard Norge Det takker vi for! Har også fått et innspill fra Norstella, som dessverre ikke kunne være her i dag.

28 Problemstillinger Vil en økt bruk av Standard Norge gi økt kvalitet i deres tjenester Vil økt bruk av Standard Norge gi økt kvalitet i dagens standardutviklingsprosesser i forvaltningen Trenger vi kontroll i de prosesser vi har Hva tenker vi om Standard Norge sin forretningsmodell Hvordan kan vi involvere Standard Norge bedre i våre prosesser Hvordan kan vi bedre våre prosesser

29 Tilbakemeldinger Vedlagt følger 10 innspill fra ulike aktører til diskusjonsunderlaget. Følgende har gitt innspill: UiO ved Geir Magnus Walderhaug Kartverket ved Morten Borrebæk Legeforeningen ved Jon Helle Microsoft ved Shahzad Rana Helsedirektoratet ved Inga Nordberg Karde ved Erlend Øverby Abelia ved Tore Frellumstad Helsedirektoratet ved Per Kr Andersen Nasjonalt ID-senter ved Cathrine Elisabeth Fari og Knut Ivarson Øvregård Norges Blindeforbund ved Sverre Fuglerud og Kari Anne Flaa

30 Internasjonalt Internasjonalt viktig Standard Norge viktig rolle Uhildet organ konsensus uenighet Lettere å få gjennom krav men bare i første instans Offentlig mangler brukerinvolvering og felles begrep Utvikling nær tjeneste/ brukergrensesnitt utvikling Grenseflaten regelverk, rundskriv og standarder I eksisterende styringssystem Bruk, veiledning og videreutvikling henger sammen På ett eller annet tidspunkt kommer en økonomisk vurdering inn spørsmålet er når Forretningsmodell, pris per std, flere strømmer, prosjektstyrt

31 Konkret forslag fra Helsedir Offentlig fortsetter som før og utvikler egne standarder Standard Norge fortsetter å organisere Norsk representasjon inn i internasjonal standardisering i ISO og CEN. I økende grad sørger de for å videreformidle kompetanse om utviklingen i internasjonale standardiseringsmiljøer på områder vi er interessert i. I økende grad vurdere potensiale for standardisering på tvers av sektorer Fortsette å organisere og bidra til effektivisering av høringer av internasjonale standarder som er relevante for helse- og omsorgstjenesten og deres leverandører Spille inn forslag til nye standardiseringsprosjekter til CEN eller ISO. Dette kan både være prosjekter hvor utgangspunktet kan være et eksisterende nasjonalt arbeide, og prosjekter som myndighetene eller helse- og omsorgstjenesten mener bør gjennomføres i internasjonal regi Påta seg oppdragsfinansiert, nasjonalt standardiseringsarbeid Koordinere norsk innsats i internasjonalt standardiseringsarbeid, stimulerer til sterkere deltakelse fra industrien i dette arbeidet Se linjer på tvers i offentlig sektor og gi innspill i forhold til hvordan internasjonalt arbeid kan benyttes på tvers

32 Norstella - Ikke sterke meninger Men viktig å holde øye med hva som skjer internasjonalt Standard Norge har etablert system, favner både privat og offentlig sektor Forretningsmodellen har vært til hinder i flere sammenhenger

33 Diskusjon

34 Prioritering 2016 Kristian Bergem 12. November 2015

35 Prioritering 2016 Vi har svært begrensede ressurser til Standardisering, men forsøker å spille på miljø rundt oss. Har ikke vurdert alle forslag slik vi pleier, men har gjort en mer overordnet vurdering ut i fra politiske målsettinger, andre initiativ (særlig Skate) og strategiske vurderinger.

36 Hvilke miljø er med å vurdere Standardiseringssekretariatet Informasjonsbehandling Informasjonssikkerhet Universell utforming E-handel

37 Standardiseringssekretariatet Pågående utredninger Forprosjekt integrasjonsstandarder (Tidligere forslag som standarder for virksomhetsoversikt, prosessmodellering, norsk profil for web services og utvekslingsavtale inngår her) Utredning standard struktur person (konseptuell- og implementasjonsmodell)

38 Standardiseringssekretariatet Prioriterte utredninger Standard prosess for utredning av forvaltningsstandarder i offentlig sektor (oppdatert arbeidsmetodikk) Et strategisk veikart for standardisering Samfunnsøkonomisk konsekvensanalyse - StartTLS for kryptering mellom e-post servere Samfunnsøkonomisk analyse Elmer 3.0 Utredning standard struktur adresse (konseptuell- og implementasjonsmodell) Nasjonalt interoperabilitetsrammeverk, NIF Standard for samhandling i offentlig sektor (overordnede prinsipper som beskriver hvordan vi ønsker at samhandling skal skje) Prosjektledelse (Både Prosjektveiviseren + NS-ISO 21500:2012 Veiledning i prosjektledelse er foreslått)

39 Standardiseringssekretariatet Kandidater for opprykk Utredning av standard grensesnitt for meldingsutveksling i offentlig sektor (utvekslingsprotokoll, konvolutt, sikkerhet og grensesnitt mot fagsystem, ikke forretningsdokument) Øverst prioritert område fra forprosjekt om integrasjonsstandarder Standard datoformat i offentlig sektor

40 Standardiseringssekretariatet Ikke prioriterte forslag Standarder for 3D dokumenter Andre prioriterte områder for forprosjekt om integrasjonsstandarder Veileder for utvikling av elektroniske tjenester, inklusive arbeid med brukergrensesnitt Standard utvalg av tegn til bruk i forvaltningen (forprosjektrapport håndtering av tegn og representasjon av navn) Standard for videokonferanseutstyr på PC-er. Standarder for representasjon av tegn offentlige virksomheter ikke trenger å støtte (forprosjektrapport håndtering av tegn og representasjon av navn) Standard for input av tegn i nettleserbaserte tjenester (forprosjektrapport håndtering av tegn og representasjon av navn) Overordnede prinsipper for håndtering av tegn og representasjon av navn i offentlig sektor (forprosjektrapport håndtering av tegn og representasjon av navn) Standard sett av fonter til bruk i offentlig forvaltning (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten) Standard for sortering av tegn i forvaltningen (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten) Standard for samsøk (f.eks. treff på både Håkon og Haakon)i forvaltningen (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten)

41 Standardiseringssekretariatet Standard for definisjon, struktur og format på enhetsnavn (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten) Standarder for håndtering av tverrgående prosesser i nettleserbaserte tjenester forprosjektrapport standarder for nettleserbaserte tjenester foreslått nedprioritert, ikke modent) Standarder for validering av input data i nettleserbaserte tjenester forprosjektrapport standarder for nettleserbaserte tjenester foreslått nedprioritert) Standarder for eksport/ import av nettleserbaserte tjenester, for automatisk gjenskaping på ulike plattformer (forprosjektrapport standarder for nettleserbaserte tjenester foreslått nedprioritert) Standarder for App-baserte tjenester Veileder for testing av nettleserbaserte tjenester (hvordan sjekke at man er iht. standarden og eventuelt hvilke nettlesere bør det testes mot) Digitalt standardformat for formidling av verdikjede akkumulert miljøfotavtrykk for varer og tjenester. I første omgang med fokus på CO2 ekvivalenter. Veileder for e-post oppsett Standarder for krav til dokumentasjon i offentlig sektor (Ikke bare for kulturhistoriske og forskningsmessige hensyn, men for å dokumentere det som gjøres) Standarder for teksting av video. (overført til Standardiseringssekretariatet) Elektroniske bøker for blinde/ lydbøker (Daisy) (Overført til Standardiseringssekretariatet) Autentisering i forhold til eksternt innsyn i saksbehandling, autorisering av hva det skal gis innsyn i Vurdere OASIS standarden CMIS Avspiller multimedia

42 Standardiseringssekretariatet Avviste forslag Ny jobb ID for alle offentlig ansatte (En del av eid prosjektet håndteres i den sammenheng)

43 Informasjonsforvaltning Pågående utredninger Standard for bruk av URI-er til blant annet tilgjengeliggjøring av definisjoner (gjennomføres i et samarbeid mellom Brreg og sekretariatet) Prioriterte forslag: Revisjon av Standard for beskrivelse av datasett og datakataloger (I lys av EU s revisjon av DCAT EU og piloteringserfaring her hjemmefra) Revisjon av Standard for begrepsbeskrivelser i offentlig sektor Kandidater for opprykk: Standard for utvekslingsformat begrepsbeskrivelse

44 Informasjonsforvaltning Nedprioriterte forslag: Standard for prefererte felles forvaltningsbegrep for utveksling i offentlig sektor (konseptuelle modeller og implementasjonsmodeller) Standard for prefererte felles arbeidsbegrep for samhandling i offentlig sektor Standard for å beskrive IKT-tjenester Avviste forslag Foranalyse for publisering/tilgjengeliggjøring av åpne data. Beskrivelse av termer og begreper (ISO 860 Terminology work: Harmonization of concepts and terms).

45 Informasjonssikkerhet Pågående arbeid Samfunnsøkonomisk analyse for å vurdere om StartTLS for transportsikring av e-post bør gjøres obligatorisk. Veileder for internkontroll/ styring av informasjonssikkerhet denne anbefalingen er oppdatert til gjeldende versjoner av standardene ISO27001:2013 og ISO27001:2013. Tidligere versjoner var fra Prioriterte forslag: Veileder for sikring av nettverk (å ivareta sikkerhet) ved overgang til dual stack IPv4 og IPv6 med forbehold for utfallet av pågående høringsrunde. Dersom dette endres fra anbefalt til obligatorisk, mener vi det bør utredes behov for veiledning på sikkerhetsproblematikk knyttet til dual stack IPv4/IPv6. Kandidater for opprykk: Sikker versjon av FTP vi ser at det kan være ønskelig å oppdatere gjeldende anbefaling, men det må vurderes i forhold til ressurser og andre prioriteringer for 2016.

46 Informasjonssikkerhet Nedprioriterte forslag: Meldingskryptering. Utredning av standarder knyttet til løsninger for meldingskryptering. Utredning anbefales å ta utgangspunkt i rapport: Løsningskonsept for meldingskryptering - Difinotat 2011:2 samt forprosjektrapport Standardisering av krypto i offentlig sektor. (Må ses i sammenheng med utredning knyttet til felles meldingsstandard i offentlig sektor.) Standarder for valg av signerings- og krypteringsalgoritmer, som skal sikre at ulike sikkerhets-løsninger har støtte for felles algoritmer og nøkkellengder. Veileder for oppsett av utstyr iht. valg av signerings- og krypteringsalgoritmer, som skal gjøre det enkelt å sette opp/ konfigurere nye sikkerhetsløsninger. Standard for borgerkort må sees i sammenheng med pågående prosjekt for å vurdere eid på nasjonal ID-kort, fokus på anvendelse av kortet Identitetshåndtering trenger forprosjekt eller spesifisering

47 Informasjonssikkerhet Avviste forslag PDF-signering. Fokus på standarder som kan gi støtte for langtidsvalidering. PAdES standardene er spesielt aktuelle XML-signering og kryptering. Hovedvekt på XAdES standarder og på standarder med støtte for langtidsvalidering for signering, samt standarder for kryptering av skjema/skjemafelter på web. Fokus også på løsninger for system-system kommunikasjon og signering (spesielt ebxml og helsevesenets løsninger) Sikkerhet i nettleserbaserte tjenester forprosjektrapport standarder for nettleserbaserte tjenester Standard for borgerkort må sees i sammenheng med pågående prosjekt for å vurdere eid på nasjonal ID-kort, fokus på selve kortet Standarder for når offentlige virksomheter skal benytte kanalkryptering og når de skal benytte meldingskryptering

48 Universell utforming Pågående arbeid Revisjon av automatstandardene og en eventuell inkludering av NS Fysisk utforming og brukerdialog for automater Prioriterte forslag: NS-EN :2015 Tilgjengelighetskrav som er relevante for offentlig anskaffelse av IKT-produkter og -tjenester i Europa Kandidater for opprykk: NS Fysisk utforming og brukerdialog for automater NS Hvordan merke elektroniske dokumenter Nedprioriterte forslag: ATAG standard for universell utforming i publiseringsverktøy NS Prosessen for brukermedvirkning Avviste forslag Standarder for teksting av video. (overført til Standardiseringssekretariatet) Elektroniske bøker for blinde/ lydbøker (Daisy) (Overført til Standardiseringssekretariatet)

49 E-handel Nedprioriterte forslag: einkasso Her vil vi kanskje ta initiativ til justering av regelverk

50 Jon Arve Risan Årsplanen og referansekatalogen 1. Jeg savner innspill fra kompetanseområde arkitektur. Her hadde det vært greit om rammeverket «eira» (european interoperability reference architecture) kom opp på sakskartet som et kompletterende alternativ til TOGAF. 2. Personas og brukerreiser har slått godt an i offentlig sektor den siste tiden spesielt i tilknytning til tjenestedesign (dialoger). Det er mange som tjener kroner på dette. Da kalles det som regel UX eller Usability. Hvis man beskrev brukerreisene noenlunde likt ville vi få synergi. Hvis man i tillegg skjelte til BPMN og prosessbeskrivelser hadde man en bridge eller en connection til eksisterende innhold 3. Nå når offentlige innkjøp skal samles under Difi-hatten øker dette behovet for en katalog. NorStella er beredt til å kurse i en slik tjeneste med utgangspunkt i vårt tradisjonelle ståsted 4. Jeg er usikker på ELMER. Jeg tror han er for statisk. Dagens skjemaløsninger er/bør være dialogbasert. Det handler fort om å få kunden innenfor brannmuren. Da kan vi gi både bedre og sikrere tjenester. En mail har vist seg meget hensiktsmessig i en slik sammenheng. 5. jpeg vurderer nå DRM. Dette betyr at det kan oppstå økt fokus rundt formatet i nær fremtid. Jeg nevner det bare.

51 Integrasjonsarkitektur Oslo kommune Per-Kjetil Grotnes 12. November 2015

52 Status standardiseringsarbeidet i Difi Kristian Bergem 12. November 2015

53 Hva skjer Høringsoppsummering forskriftsendring Ny delversjon med StartTLS Integrasjonsstandarder Ny i Norge Dødsårsak Tippemidler URI Person Ny portal Litt markedsføring og oppdatering av veiledere Multistakeholder plattform og europeisk katalog

54 Høringsoppsummering 47 høringsuttalelser, 9 uten kommentar mye departement som henviser til underliggende etater. Generelt stor støtte til arbeidet 18 generelt positive 19 gav positiv tilbakemelding på alle tre områder 12 gav positiv tilbakemelding på alle områder de kommenterte 5 gav positiv tilbakemelding på 2 av 3 områder de kommenterte Et forslag om grunnleggende endring ikke forskriftsfeste, kun anbefalte krav og best praksis. Kunnskapsdeling.

55 Høringsoppsummering Generelt krav, 21 positive og 3 negative Rapport delen 5 positive og 7 negative Må justere definisjonen noe, men ikke ferdig enda Dual stack IPv4 og IPv6, 30 positive, ingen negative. 5 stykker ønsket lengre overgangsordning, 2 kortere overgangsordning HTML 5 for nettleserbaserte tjenester, 20 positive og 3 negative, noen misforstår litt og blander med publisering. Noen er uenig med leverandørene.

56