Referat fra det 24. møtet i Standardiseringsrådet

Transkript

1 Referat fra det 24. møtet i Standardiseringsrådet Tid: 16. mars 2011, kl Sted: Grev Wedelsplass 9 Møteleder: Olaf Østensen, Statens kartverk Referent: Standardiseringssekretariatet (Difi) Tilstede: Olaf Østensen, Statens kartverk (leder av Standardiseringsrådet) Morten Brekk, Brønnøysundregistrene Arne Thorstensen, SKD Thomas Rosenlund, KITH Trygve Falch, SSB Knut Lindelien, Standard Norge Line Richardsen, KS (frem til lunsj) Bent Vangli, Riksarkivet Arild Haraldsen, NorStella Ulf Harry Evensen, Smaalensveven Erlend Klakegg Bergheim (Difi) Kristian Bergem, Difi (sekretariatet) Marit Grønntun, Difi (sekretariatet) Endre Grøtnes, Difi (sekretariatet) Raja Mehran, Difi (sekretariatet) Helge Bang Difi (sekretariatet) Forfall: Martin Hauge, Møre- og Romsdal fylkeskommune Johan Skutle, Justisdepartementet Steinar Carlsen, Bergen kommune Per Kjetil Grotnes, Oslo kommune Terje Andre Olsen, NAV Håkon Styri, Post- og teletilsynet Agenda 1. Godkjenning agenda (beslutningssak) 2. Standarder for styring av informasjonssikkerhet (beslutningssak) 3. Arbeidsmetodikk - anbefalte vs obligatoriske standarder (beslutningssak) 4. Nosip standardene, anbefalte eller obligatoriske? (beslutningssak) 5. Prioritering 2011 (beslutningssak) 6. Status arbeidet i Difi (informasjonssak) 7. HOD-rapporten (Standardisering i helsesektoren) (Informasjonssak) 8. Eventuelt 3D-dokumenter (Riksarkivaren) 1 Godkjenning av Agenda Agendaen ble godkjent med en endring. Riksarkivaren ønsket å informere om mulig arbeid rundt 3D-dokumenter. Dette punktet ble lagt inn under eventuelt.

2 2 Standarder for styring av informasjonssikkerhet Mehran Raja gav en introduksjon til hva utredningen viser og hva arbeidsgruppen har foreslått som anbefaling fra rådet på bakgrunn av utredningen. Se vedlagt fil til møtet. Fremlegget førte til en lang diskusjon. Under forsøkes det å gi et utdrag av de viktigste temaene som kom opp i diskusjonen. Det var flere spesifikke punkter som ble tatt opp under diskusjonen, det var følgende: - Er anbefalingsnivået rett på ulike områder - Bør områdene slås sammen eller holdes hver for seg - Bør en konsekvensvurdering lages nå med et eventuelt obligatoriske krav i etterkant eller bør vi vente en tid til vi har høstet ytterligere erfaring med bruken av standardene. Det ble satt spørsmålstegn om poenget med å peke på standardene, hvis ikke det ble synliggjort hvilke lovkrav det å følge standarden løser for virksomheten og hvilke lovkrav den ikke løser. Det ble tatt opp og fremhevet at kravet til eksterne driftsleverandører om å følge standardene selvsagt ikke går direkte til de private aktørene. Forskrift om IT-standarder i offentlig sektor gjelder bare offentlige virksomheter. Kravet går til offentlige virksomheter som må sette krav om dette i sine utlysningstekster og regulere det gjennom sine driftsavtaler. Undersøkelser i Japan viser at i enkelte tilfeller kan det være opptil 30 underleverandører knyttet til en løsning. Kravet om å sette krav til at underleverandører skal følge standardene og i noen tilfeller også være sertifisert iht. ISO 27001, vil få følger gjennom hele denne rekken av underleverandører. Det ble påpekt at ISO og er under revisjon, men at ISO ligger bak og at det derfor kan bli midlertidig forskjeller mellom disse standardene i serien. ISO og 2 har høringsfrist om en måneds tid for 4. workingdraft. Det er med andre ord en stund frem til endelig ny versjon. Noe av det som rettes opp er bruken av terminologi som søkes samkjørt med andre standarder for styring av ulike kvalitetsaspekter i en virksomhet. Utfordringer med ulike versjoner vil vi alltid ha på standardiseringssiden, men det er viktig å være oppmerksom på dem og håndtere dem iht. revisjonsprosedyrene våre. Viktig at vi har en entydig referanse til de standardene som er anbefalte og obligatoriske så det ikke er noen tvil om hva som gjelder. Det kom et spørsmål i forhold til det faktum at standarden koster litt ved kjøp fra Standard Norge, og at det i noen virksomheter vil være flere som har behov for å se på standarden. Det ble fremhevet at prisen tross alt ikke er mer enn en konsulenttime, og at man ved behov for at flere skal kunne lese standarden i virksomheten kan inngå avtale med Standard online om elektronisk tilgang til standarden, med leserettigheter for flere. Viser til Standard online sin prisliste for dette. Det er foreløpig ingen planer om å frikjøpe standarden for alle offentlige virksomheter. Kartverket følger allerede i dag, og synes også forslaget om sertifisering kan være interessant. Her skulle de gjerne ha hørt erfaringer fra andre virksomheter. Brønnøysundregistrene, BR, fulgte i sin tid BS7799, men ser at det er viktig med intern forankring for at man skal opprettholde regime og kunne gå over til Bruk av eksterne

3 konsulenter til å gjøre en jobb må man være forsiktig med, da er det viktig med samtidig å lære opp interne ressurser som får formelt ansvar om å følge opp i etterkant. KS støtter anbefalingen, men stiller seg kritisk til sertifiseringsbiten. Vanskelig å se hvilke konsekvenser dette får i interkommunale samarbeid der noen drifter systemer på vegne av andre kommuner. BR fremhevet at det er ganske store kostnader å bli compliant med standarden, og at det kan være en fordel å ha standarden anbefalt en periode først, for deretter å kunne høste erfaringer med kostnadsnivået, før et obligatorisk pålegg kommer. De fleste rundt bordet sa seg aktivt enig i å gjøre standarden anbefalt i en periode først, for deretter å gjennomføre en konsekvensvurdering for å vurdere eventuelle obligatoriske krav. Det var enighet om å etablere en egen arbeidsgruppe på området og høste erfaringer som blir oppsummert i et notat til juni-møtet British Standards Institute, BSI, har laget en veileder for å egenevaluere seg iht Det er en prosess som kun tar 2-3 timer og skal kunne være håndterbar for de fleste virksomheter. Standard Norge skal lete opp denne veilederen og spille den inn til Difi for mulig gjenbruk. Dette kan være en god måte å håndtere kravet for små virksomheter, som kan synes at standard kravet er omfattende i forhold til deres virksomhet. Viktig å huske at ikke krever at alle krav følges, men at det er kun de relevante kravene som skal følges av virksomheten. På direkte spørsmål om det er naturlig å ha et styringssystem for sikkerhet i virksomheten svarte BR ja til dette. Men styringssystemet vil selvsagt benyttes aktivt til å iverksette ulike tiltak på ulike systemer avhengig av en verdisetting og sårbarhetsvurdering av ulike system. Det er vanskelig å skulle sertifisere hvert enkelt del-system opp i mot og vurdere alle tiltak. Dette er et helhetlig styringssystem, også må hvert enkelt system verdisettes og sårbarhetsvurderes, før nødvendige tiltak iht. standarden vurderes. Man går derfor ikke gjennom slavisk for alle del-systemer. Arkivverket spilte inn at det allerede ligger en rekke lovkrav som krever tiltak på sikkerhetssiden. Viktig å forstå at det ikke er ytterligere krav som nødvendigvis er behovet her, men hjelp til hvordan man skal oppfylle lovkravene. Informasjons- og veiledningsarbeid blir derfor en veldig viktig del av det med å gjøre standarden anbefalt. Det ble fremhevet at det var viktig å få noen til å forsøke å sertifisere seg i erfaringsinnhentingsperioden. Her burde det være mulig å finne noen aktuelle interessenter som vil gjøre dette på egen basis. I tillegg kan det vurderes om det bør finansieres en slik sertifisering i noen små virksomheter som i utgangspunktet ikke har ressurser selv, for å få erfaring også i dette segmentet, men i utgangspunktet burde det være mulig å finne virksomheter som er villig til å gjennomføre dette i egen regi. (FAD finansierte for mange år siden noen virksomheter som sertifiserte seg iht. BS 7799, kanskje er det mulig å hente inn noen erfaringer herfra.)

4 Det ble en diskusjon om man eventuelt skulle heve kravet om bruk av og 2 til obligatorisk kun for styringsdialogen med underliggende etater. Dette har jo blitt påpekt spesielt av Riksrevisjonen som en svakhet hos mange. Det var ikke ønske om det i første omgang. Men det ble foreslått at FAD eventuelt kunne vurdere å legge et slikt krav inn i rundskrivet sitt til høsten, i avvente av at Standardene ble generelt obligatoriske og lagt inn i forskriften. Det er en liten unøyaktighet i utredningen som bør justeres. Det er viktig å huske at de som skal sertifiseres også kan gjøre det hos andre leverandører enn de som er akkreditert hos Norsk akkreditering. Det finnes firmaer som er representert i Norge som er akkreditert i utlandet, og utenlandsk baserte firma som ønsker å ta slike oppdrag i Norge. Det bør gjøres en vurdering rundt oppfølging og eventuelt sertifisering av lovforvalter og hvilke problemstillinger som kan komme opp i den sammenheng. Det ble vurdert at siden vi nå går for en midlertidig anbefaling, er det best å forsøke å gå for en modell i nærheten av alternativ 2 i forhold til beskrivelse av anvendelsesområdet. Nå vil anbefalingen være like for alle deler av anvendelsesområdet og da er det greit å gjøre det kort og konsist, samtidig som det er konkret og forståelig. 2.1 Konklusjon Rådet ønsker at og gjøres anbefalte på alle anvendelsesområder fra og med neste del-versjon av referansekatalogen, og at anvendelsesområdet beskrives uten mange oppdelinger i delområder. Rådet ønsker at det gjennomføres et erfaringsinnhøstingsprosjekt frem mot juni-møtet 2012, der Difi følger opp en del virksomheter, som innfører standardene i egen regi. På bakgrunn av erfaringene vurderes det på møte i juni neste år, om man da skal gjennomføre en konsekvensvurdering med formål å gjøre standardene obligatoriske. Rådet ser at det kan ha en fin effekt å gjøre og obligatoriske i forhold til styringsdialogen med underliggende etat, og anbefaler FAD å vurdere om de skal midlertidig kreve en slik rapportering i sitt rundskriv som kommer til høsten, i avvente av et eventuelt generelt krav til ISO og i forskriften på et senere tidspunkt. 3 Arbeidsmetodikk - anbefalte vs. obligatoriske standarder Kristian Bergem gav en kort introduksjon til diskusjonen. Tema har vært oppe til diskusjon flere ganger i rådet før, men det har aldri blitt konkludert. Hovedspørsmålene som var oppe til diskusjon var hvor restriktive vi ønsker å være i forhold til å gjøre standarder obligatorisk, da dette påfører en ekstra mengde vedlikeholdskostnader. I tillegg ble det diskutert i hvilken grad man skal degradere obligatoriske standarder som har blitt adoptert av offentlige virksomheter. Det ble understreket at det er viktig å være kritisk til hva som skal gjøres obligatorisk, og at det er kun de standardene som absolutt bør være obligatoriske som bør få en slik status. Andre

5 standarder bør settes til anbefalt. I utgangspunktet kunne man tenke seg at alle standarder burde være obligatoriske for å oppnå god samhandling, men det er viktig å finne en god balanse på dette, slik at vi ikke pådrar oss mer vedlikehold enn nødvendig. Da vil vi til slutt ikke kunne peke på nye standarder, fordi alle ressursene går med til vedlikeholdsjobben. Erfaringer fra helsesektoren tilsier at standarder som blir gjort obligatoriske er det inntil de blir faset ut og en ny standard overtar. Det var enighet om at flere anbefalte standarder er bra, men at det også må gå an å gjøre standarder obligatoriske ved behov. Anbefalte standarder vil blant annet styrke små offentlige virksomheters evne til å sette riktig krav i utlysninger, og er således også et viktig virkemiddel. Om standarder skal degraderes må det være en individuell vurdering fra gang til gang. Dette er veldig situasjonsavhengig. Men i utgangspunktet var rådet skeptiske til degradering av standarder. Det er en grunn til at de er satt obligatorisk og da virker det litt merkelig å degradere standarden fordi alle har tatt den i bruk. Det kommer jo stadig nye tjenester og nye løsninger og det er jo like viktig at disse følger standarden. (Regelverket som sier at vi skal kjøre på høyre siden av veien tas ikke bort fordi alle overholder den, den må jo være der hele tiden.) Det naturlige er å ha en standard satt til obligatorisk frem til den blir utfaset, hvis man først har tatt skrittet og gjort den obligatorisk. Vanskelig å se gode grunner til at en degradering til anbefalt skal kunne gjennomføres. Det er derimot ikke nødvendig å gjøre en standard som allerede i dag blir benyttet av alle obligatorisk, den bør gjøres obligatorisk når det kommer en ny versjon av standarden eller en ny konkurrerende standard, slik at vi da får offentlig sektor til å gå i samme retning. 3.1 Konklusjon Det er enighet om å være forsiktige med å gjøre standarder obligatorisk og kun gjøre de standardene som absolutt bør være det obligatoriske. Standarder bør i utgangspunktet ikke degraderes fra obligatorisk til anbefalt, da dette vil virke unaturlig, det er kun i helt spesielle tilfeller at slik nedgradering kan skje. Vanlig praksis må være at en standard går fra å være obligatorisk til å fases ut. 4 Nosip standardene, anbefalte eller obligatoriske? Det ble satt spørsmålstegn om etatene synes det er viktig at vi viderefører de obligatoriske kravene fra NOSIP som obligatoriske standarder. Foreløpig har vi kun utredet om standardene fortsatt er gyldige og hvilken status de hadde i Nosip. Nosip hadde derimot et litt annet mandat enn dagens standardiseringsarbeid og kravene må derfor gjøres kun for statlig sektor, og det gjelder kun krav om å støtte standardene, ikke at det er obligatorisk å benytte dem. Rådet mente at standardene godt kunne settes obligatoriske som diskutert ved forrige møte, men at standardene i utgangspunktet er selvfølgeligheter som ikke trenger å gjøres obligatoriske før det blir et behov ved innføring av nye standarder på områdene.

6 På grunn av litt ulikt nedslagsfelt og litt ulik vinkling på kravene, i tillegg til at de offentlige virksomhetene i rådet ikke føler noe sterkt behov for å innføre standardene som obligatoriske velges det å foreslå NOSIP standardene som anbefalte forvaltningsstandarder. 4.1 Konklusjon De fem NOSIP standardene som fortsatt er gyldige standarder, foreslås som anbefalte standarder i referansekatalogen. 5 Prioritering 2011 Marit Grønntun presenterte utkastet til prioriteringer for 2011, hvilke standarder/ anvendelsesområder som er foreslått og hvordan de er prioritert. I henhold til punktet over utgår videre utredning på standardene fra Nosip, da det er overflødig når standardene gjøres anbefalte i stedet for obligatoriske. Det ble spurt om det var noe som noen av medlemmene savnet på listen, for eksempel HTML 5 eller flere standarder rundt de grunnleggende områdene rundt NOSIP, e-post, ftp, eller lignende? Det kom kun inn et forslag fra Standard Norge knyttet til EUCIP - European Certification of Informatics Professionals. Dette forslaget har Difi mottatt, men det kom inn etter at prioriteringsskrivet var ferdig. Det gjøres arbeid med å jobbe videre med å beskrive dette forslaget, men det anses ikke som så viktig at det prioriteres opp før neste års prioriteringsskriv. Dette med bakgrunn i at arbeidet med denne standarden ble presentert i Standardiseringsrådet for to år siden og at rådet da var skeptiske til å gå videre med den. Når denne standarden ble nevnt, kom det også frem at sentrale myndigheter i utdanningssektoren har uttalt et ønske om å etablere en nasjonal vitnemålsdatabase, for å unngå problemene med falske vitnemål. Det er viktig å vurdere om en standard for CV eventuelt skal kunne lenke til en slik database. Det ble stilt spørsmål ved om CV standarden ville bidra til bedre samhandling i offentlig sektor og hvorfor den var på listen. Da minnet vi om at det er flere formål for standardiseringsarbeidet enn bare samhandling. Det ble også stilt spørsmål om hvem som helst skal få lov til å foreslå standarder, fordi det kommer jo inn noen forslag som vi kanskje ikke burde bruke av våre begrensede ressurser på å vurdere. Dette er derimot et vanskelig prinsipp å gå bort i fra. Men vi burde kanskje kreve mer av forslagsgiver i forhold til å fylle ut ytterligere informasjon om forslaget i forhold til mulige gevinster, hvem som benytter standarden, hvor moden den er og hvordan den benyttes. Da får vi bedre beslutningsgrunnlag uten å måtte legge mange timer i det selv. Foreløpig har det derimot vært begrenset hvor mange slike forslag vi får. Øker antallet forslag betraktelig og det tar for mye tid å sile ut det av betydning får vi revurdere det på et senere tidspunkt. Det må også vurderes i forhold til om vi skal vurdere fagområde spesifikke standarder i rådet. Foreløpig er det kun gjort hvis man mener standarden er anvendbar utover fagområdet. For eksempel ebxml rammeverket for helsesektoren, som også benyttes i Best prosjektet. Det var enighet om at det ikke er behov for å gjøre GXML til en forvaltningsstandard, siden offentlig sektor ikke publiserer informasjon som bør sensureres.

7 Det var enighet om at jobb-minid ikke er en standard, men en justering av dagens MinID produkt og at forslaget avvises hos oss og sendes som innspill til eid-programmet i Difi. Forslaget knyttet til avsenders datafangst i elektroniske skjema var det også enighet om å avvise. Forslaget sendes inn som revisjonsforslag til Elmer-standarden. På denne måten unngår vi konkurrerende og overlappene standarder, men får en standard som håndterer slike problemstillinger. Det ble spurt om hva vi mente med å gjøre edag begrepene til en standard. Det er foreslått å lage en standard med autorative begrep i offentlig sektor, begrep som du må benytte eller begrunne hvorfor du faglig sett ikke kan benytte det, definere et nytt og si hvordan det forholder seg til det eksisterende begrepet. Tanken med edag begrepene er at dette er begrep som benyttes forholdsvis bredt i offentlig sektor og som man har sett et behov for å samordne på tvers. Det ble foreslått å avvente med å utrede denne standarden til Nasjonal strategi for metadata er klar. Det ble en diskusjon rundt geointegrasjon, Noark 4 WS, Noark 5 WS, CMIS og Best standarden. De er relatert til hverandre og det har kommet mange innspill på at disse burde sees i sammenheng. I prioriteringsskrivet er det derimot foreslått å prioritere Best-standarden som man har lagt mye krefter i, og avvente med Geointegrasjon og CMIS som begge er veldig umodne standarder. Det ble enighet om å prioritere opp Noark WS delen av Geointegrasjon, men avvente med resten av Geointegrasjon og CMIS på grunn av at de er lite modne. En mente at det ikke nødvendigvis var noe stort problem å utsette Best og Noark WS til neste år, fordi man da hadde fått prøvd ut om Noark 5 WS fungerte i stedet for Noark 4 WS, men KS viste til prosjekter hvor Noark 5 WS allerede er testet ut og hvor det fungerte tilfredsstillende. Det ble en stor diskusjon rundt HTML 5. Er det et problem at vi i dag peker på HTML 4.01 også kommer HTML 5 og mange tar den i bruk. Hvordan skal en slik overgang håndteres. Viktig å få klarhet i forover og bakover kompatibilitet i forhold til å avklare om det er greit å innføre HTML 5 med en gang. Det ble spilt inn at HTML 5 er strukturert litt annerledes, og at de tenker å ta bort versjonsnummereringen og la den utvikle seg mer naturlig. Vi har derimot behov for å ha en form for versjonshåndtering å vise til, vi kan ikke gjøre et bevegelig mål til en obligatorisk standard, da vet vi ikke konsekvensen av fremtidige justeringer som kan komme. Det ble foreslått å sette ned en gruppe som ser nærmere på HTML 5 og at man setter seg mer inn i hvordan standarden er tenkt utviklet videre og hvilke følger det får for arbeidet vårt. Hvis standarden blir mer modulær må vi vurdere om vi skal tydeliggjøre hvilke subset av standarden som skal være obligatoriske (profil). HTML 5 er planlagt ferdig i 2014, men flere etater er interessert i HTML 5 funksjonalitet og er fristet til å ta den i bruk raskt. Det kan også være interessant med HTML 5 i forhold til kvalitet på nett, for å få bedre offentlige nettsider krav i kvalitet på nett og krav i referansekatalogen bør samkjøres best mulig. Det finnes hvert fall 9 rammeverk for arkitektur, som Togaf er et eksempel på, og det er ingen som skiller seg klart ut som en klar kandidat til å bli forvaltningsstandard. Det er også en utfordring at disse rammeverkene er store og tunge å evaluere opp i mot hverandre (togaf for eksempel er på 900 sider). Nasjonal IKT med alle HF-ene benytter Togaf, SSB ser på Togaf og Kartverket benytter det. Det er mange som synes slike rammeverk er nyttige og etatene mener at det vil forenkle samhandlingen om man benytter samme rammeverk. Det ble stilt spørsmål om hvordan dette vil utfordre leverandørbransjen/ konsulentbransjen som ofte baserer seg på ulike eller egne rammeverk, vil ikke dette gi mye støy. Andre mente at dette

8 nettopp er grunnen til at det er behov for å standardisere, og vi kan ikke være redde for å utfordre markedsmaktene litt. Det er jo gjerne når markedet prøver å styre oss i ulike retninger at vi har behov for standarder for å klare å samkjøre oss, og ja da blir det støy, men den må vi kanskje være villig til å ta hvis arbeidet vårt skal få nødvendig effekt. Det ble slått fast at Togaf absolutt er interessant, men det var ingen som motsatte seg å utsette det på bakgrunn av tilgjengelig ressurser og den prioritering som da må gjøres. Det var derimot enighet om å lage en arbeidsgruppe med deltakere fra de virksomhetene som benytter slike rammeverk i dag. Gruppen kan gå inn på hvorfor det er nyttig å ha samme rammeverk, og på hvilket nivå man trenger noe felles. Bedre å se på hvordan vi kan få til samhandling mellom rammeverk og vurdere eventuelt hva som må være felles enn å kakke hverandre i holdet med de ulike rammeverkene våre. Forslaget knyttet til Overbygningsportal for samhandling er umoden og få benytter den. Standardiseringsrådet er ikke overbevist om at dette er noe de skal ta ansvar for å sikre utbredelse av, og vil ikke være pådriver for å innføre standarden på egen basis. Det er ingen grunn til å avvise forslaget, men man må avvente og se om standarden blir tatt i bruk og oppfattes som nyttig over tid. Det ble en diskusjon rundt språkkoder, som blant annet er viktig i forhold til opplesing av tekst og feilretting. Det er mulig å benytte både to og tre koders språk om hverandre. Men det er problemstillinger som gjør at dette ikke alltid fungerer godt i praksis. Dette er aktuelt i forhold til web og vi har allerede sagt noe om dette når vi peker på HTML og http. Men det er også viktig i forhold til for eksempel stedsnavnsregisteret. Rådet anser denne utredningen som enkel og ønsker å prioritere den opp. Når det gjelder videokonferanseformater, som allerede er anbefalt for hub-er, er en anbefaling for PC-er en kandidat til å løftes opp og prioriteres. Når det gjelder tilstedeværelse (presence) og direktemeldinger, ble det argumentert med at sistnevnte var enklere å standardisere. Her finnes standarder som XMPP og Simple, og flere programmer støtter begge, men det kan være utfordringer avhengig av program. Rådet var enig i å sette dette på vent midlertidig, selv om slik funksjonalitet er veldig nyttig blant annet i forhold til samhandlingsreformen. Post- og teletilsynet, NPT, har startet en prosess forhold til IPv6, og Difi vil følge med i det arbeidet. NPT regulerer de private tjenesteyterne og hva de støtter og leverer, vi kan derimot sette krav til hva offentlige virksomheter skal velge når de kjøper inn utstyr, og det er viktig å hindre feilinvesteringer i en overgangsfase som vi er inne i nå. Det var enighet om å prioritere IPv6 utredning. Når det gjelder Los var det enighet om å prioritere denne. Men vi må vurdere hvilken versjon. Los kom i ny versjon i fjor, mens vi har pekt på 2009 versjonen i prioriteringsskrivet. Når det gjelder linking av informasjon mellom etaters publiseringsløsninger burde man også se på Atom eller LOD. Kanskje er dette noe vi må se på i fremtiden, men vi prioriterer det ikke opp nå. Det var enighet om å prioritere måling av effektivitet i datasentre. Det ble satt spørsmålstegn om man burde avvente en forbedret standard på området, siden det har vært stilt spørsmålstegn rundt hvor gode dagens standarder er. Større bruk av dagens standard vil derimot øke presset på å forbedre den, og det er som regel bedre å få målt noe, enn å få målt

9 alt helt perfekt. Det må derimot vurderes om standarden er så dårlig at eventuelle målinger kan bli misvisende. I etterkant av møtet vil det bli sendt ut et regneark til medlemmene, der de kan gi poeng til de områdene som er prioritert, slik at vi kan få en tentativ rangering av disse, slik at Difi kan prioritere også innenfor listen av prioriterte områder, hvis midlene blir begrenset av at noen utredninger tar lengre tid enn beregnet og vi ikke greier å gjennomføre alle prioriterte utredninger. 5.1 Konklusjon: Dagens anbefaling om prioritering av standarder blir støttet med følgende justeringer: HTML 5 blir prioritert opp. Det etableres en arbeidsgruppe som lager en rapport om forover og bakover kompatibilitet, hvordan planene for videreutvikling og versjonshåndtering av HTML standarden vil bli fremover, hvordan en eventuell anbefaling kan innrettes i lys av det og når vi eventuelt bør oppdatere dagens anbefaling. Togaf prioriteres opp. Det etableres en arbeidsgruppe av etater som benytter arkitekturrammeverk. De skal levere en rapport som synliggjør hva som er viktig i slike rammeverk for å få til samhandling og om det finnes egne standarder for dette eller egne krav til slike rammeverk som kan settes. Standard for språkkoder prioriteres opp. Standard for videokonferanser fra PC-er er kandidat til å løftes, hvis det er ekstra ressurser tilgjengelig. Noark WS standarden løftes frem og vurderes i sammenheng med Best standarden. 6 Status arbeidet i Difi Kristian Bergem gav en statusrapport for arbeidet i Difi på standardiseringsområdet. 7 HOD-rapporten (Standardisering i helsesektoren) Helge Bang gav en presentasjon av rapporten Difi har skrevet på oppdrag for HOD om standardisering i helsesektoren. Helge la spesielt vekt på de tingene som er generelt og kan ha betydning for vårt arbeid. KITH uttalte at de ikke var fornøyd med rapporten og syntes den var for lettbent på enkelte punkter. De syntes også den hadde skapt mye støy i etterkant og at de har måttet bruke mye tid på å argumentere i forhold til den. Difi forklarte at de fikk svært begrenset tid til å gjennomføre rapporten og at man derfor måtte begrense informasjonsgrunnlaget noe, men at man likevel synes at det skaper et godt diskusjonsgrunnlag og at man får frem mange grunnleggende viktige problemstillinger. Rapporten legger frem en del erfaringer fra ulike områder, men det er opp til HOD å se disse erfaringene i forhold til de planer de har for helseog omsorgssektoren og beslutte organisering av standardiseringsarbeidet ut i fra det. Det er ingen overraskelse at KITH har måttet bruke tid på HOD sin vurdering av hvordan de ønsker å organisere standardiseringsarbeidet i helsesektoren. KITH har i dag ansvaret for mye av standardiseringsarbeidet i helsesektoren og driver samtidig utstrakt konsulentbistand i

10 sektoren. De har ulike roller og flere finansieringskilder, noe som enkelte har vært kritiske til og som derfor har vært omdiskutert, derav blir dette en krevende prosess for KITH som aktør. Det kom innspill fra Standard Norge at på helseområdet kan det være interessant å se til England som ønsker å gjennomføre en kjempereform på området. 8 Eventuelt 3D-dokumenter (Riksarkivaren) Riksarkivaren ser at det kommer opp stadig nye utfordringer i forhold til 3D-dokumenter i ulike sammenhenger. Det gjelder kartinformasjon, bygg-tegninger, etc. De ønsker å sette i gang et arbeid for å vurdere i hvilken grad man kan finne egnede standarder man kan benytte for 3D-dokumenter på tvers av sektorer. Det var enighet om at Riksarkivaren kunne ta kontakt med Difi, som i så fall kunne etablere en arbeidsgruppe også på dette området og invitere til dette i sammenheng med de tre (HTML5 + sikkerhet + arkitekturrammeverk) andre arbeidsgruppene vi har blitt enig om å etablere i løpet av dagen.