Referat fra møtet i Standardiseringsrådet november 2013

Transkript

1 Referat fra møtet i Standardiseringsrådet november 2013 Tid: 1. nov. 2013, kl Sted: Difi, Grev Wedels plass 9, Oslo Møteleder: Olaf Østensen, Statens kartverk Referent: Kristian Bergem (Difi) Tilstede: Olaf Østensen, Statens kartverk (leder av Standardiseringsrådet) Arne Thorstensen, SKD Knut Lindelien, Standard Norge Trygve Falch, SSB Bent Vangli, Riksarkivet Terje Borge Olsen, Norstella Morten Brekk, Brreg Thomas Tveit Rosenlund, Hdir Parastoo Mohagheghi, NAV Per Kjetil Grotnes, Oslo kommune Ulf Harry Evensen, Fredrikstad kommune Rune Kjørlaug, Difi Bjørn Holstad, Difi Kristian Bergem, Difi Nina Catharina Vig, Difi Ninel Golubeva Vladimirovna, Difi Jorid Bache Heggelund, Difi Ragnhild Haga, Difi Eric Wang Wikstrøm, Difi Øivind Langeland, Difi (Sak 2) Rolf Kenneth Rolfsen, Devoteam Consulting (Sak 3 og 4) Henrik Paus, Difi (Sak 3 og 4) Lillian Røstad, Difi (Sak 5 og 6) Olav Kristiansen, Difi (Sak 5 og 6) Forfall: Line Richardsen, KS Steinar Carlsen, Bergen kommune Agenda 1. Godkjenning agenda (beslutningssak) 2. Meldingsutveksling internt i forvaltningen (diskusjonssak) 3. Erfaringer ved bruk av Togaf (diskusjonssak) 4. Arkitekturbeskrivelse for sikker digital posttjeneste (diskusjonssak) 5. Revisjon av dagens referansekatalog (beslutningssak) 6. Prioritering 2014 (beslutningssak) 7. Status for arbeidet med standardisering i Difi (orienteringssak) 8. Eventuelt 1

2 1 Godkjenning av agenda (Beslutningssak) Agenda ble godkjent uten endringer. 2 Meldingsutveksling internt i forvaltningen (diskusjonssak) Øivind Langeland presenterte foreløpige resultater i prosjektet knyttet til meldingsutveksling internt i forvaltningen. Lysarkene er lagt ved møtereferatet. I forbindelse med at Øivind presenterte de fire konseptene ble han spurt om hvordan dette forholdt seg til informasjonssikkerhet. Hvor omfangsrik oppgaven egentlig er? Er det behov for virksomhetssertifikater eller trenger man også ansatt sertifikater eller personlige sertifikater avhengig av hva man ønsker å gå for? Dette er en utfordring som gjelder egentlig alle konseptene. Viktig at man ikke ser på utvekslingsformen alene, men at man også vurderer sikkerheten i den sammenheng. Øivind kunne bekrefte at den problemstillingen er tatt opp i utredningen, men at de i denne omgang ser på konseptuelt nivå og ikke på teknisk realisering. Det ble da spilt inn at det er viktig at selv om man utreder på et høyt nivå, så bør man hele tiden ha en tanke med i hvilken grad ting er realiserbart. Det ble stilt spørsmål om det kun var snakk om transport eller om man også ville komme inn på strukturen på data som ble oversendt. I utgangspunktet har man i denne sammenheng avgrenset seg til ustrukturerte data. Men også i de sammenhenger kan det være aktuelt å se på om noen metadata bør være med, f.eks. knyttet til Noark. Det ble da kommentert at det ikke er så dumt å forenkle ned til rene kommunikasjonsstandarder, da strukturinformasjon (integrasjonsinformasjon) ofte blir applikasjonsavhengig. Men det ble igjen møtt med et innspill om at selv om store deler av slik informasjon er applikasjonsavhengig kan det være generiske prinsipper som det allikevel er nyttig å følge. Noen mente at det er avgjørende å se på forretningslogikken, fordi hva som går i transporten setter krav til transportkvaliteten og eventuelle krav til metadata. Samtidig mener mange at deres forretningsbehov er helt unike og derfor må gjøre noe helt unikt for seg selv. Det er derfor viktig å finne et minste felles multiplum, som skal implementeres i form av transporttjenestene, også får ytterligere krav håndteres på meldningsnivå. Når konseptet med sentral løsning ble presentert, kom det innspill om at man trenger felles standarder også ved bruk av fellesløsninger. Det kom innspill om at standarder kan være så mangt og i dag har man for eksempel satt tilknytningskrav til noen felleskomponenter som automatisk blir en form for forvaltningsstandard. Det kan allikevel være viktig å få definert felles standarder på grensesnitt, slik at man i mindre grad blir leverandøravhengig på felleskomponentsiden. Det kan også være viktig å få felles grensesnitt standarder, slik at dette blir likt for flere tjenester. F.eks. i sammenheng med sikker digital postkasse kunne det vært 2

3 nyttig å se grensesnitt mot næringslivsløsninger og innbyggerløsninger i sammenheng, da 20% av kommunenes tjenester er likartet for begge brukergrupper. Det ble også tatt opp at man må se på vurderinger og eventuelle standarder for risiko og sårbarhet. Hva kravene til robusthet i fellesløsninger skal være i forhold til for eksempel feilsituasjoner. Når det gjaldt Saas konseptet ble det kommentert at man må beskrive hva man legger i begrepet. Slik det er beskrevet i midlertidig rapport greier man ikke å forstå hva som ligger i det. Difi har gjennomført en rekke intervjuer av virksomheter for å få frem de nødvendige behovene ute i virksomhetene. I tillegg har man presentert dette i referansegruppen man har benyttet for ID-porten og Sikker digital postkasse, og fått tilbakemeldinger gjennom denne. I disse dager gjennomføres det høring på rapportutkastet gjennom referansegruppen med frist til mandag 4. nov Det er ikke avgjort om rapporten vil bli sendt på offentlig høring. Det kom innspill om at det er viktig at Difi går videre med mer enn bare et konsept i den etterfølgende konsekvensvurderingen, i den grad flere konsepter viser seg realistiske. Difi kunne meddele at dette er planen. Årsaken til at dette nå presenteres i Standardiseringsrådet er fordi Difi i større grad ønsker å se standardene i en helhetlig sammenheng, der man tar høyde for hele arkitekturen i offentlig sektor. I tillegg vil det mest sannsynlig komme opp behov for standarder i sammenheng med operasjonaliseringen av valgt konsept på et senere tidspunkt, og da er det fint at rådet allerede har et forhold til det som har vært diskutert tidligere. Difi tar med seg innspillene i det videre arbeidet på området. 3 Erfaringer ved bruk av Togaf (diskusjonssak) Se under neste kapittel. 4 Arkitekturbeskrivelse for sikker digital posttjeneste (diskusjonssak) Rolf Kenneth Rolfsen presenterte erfaringene Difi har gjort ved bruk av Togaf i arkitekturarbeidet med sikker digital postkasse. I tillegg fortalte han om hvordan arkitekturbeskrivelsen ble til. Agenda punkt 3 og 4 ble presentert samlet da de henger veldig tett sammen. Rolf Kenneth presenterte Togaf og archimate, forklarte hvilke tilpasninger som er gjort i dette spesifikke tilfelle, hvilke erfaringer vi har gjort oss i arbeidet og hvordan arkitekturen for sikker digital postkasse kom til. Målet med å teste ut et rammeverk som Togaf er å knytte forretning og IKT bedre sammen. Det finnes bedre rammeverk for modellering av forretning alene, så det er viktig å være fleksible på dette området. Arcimate ser ut til å bli notasjonsspråket for Togaf, og er nå tatt 3

4 over av Open Group. Rammeverket stiller seg derimot åpen også for andre notasjoner, som for eksempel BPMN. UML er et sterkere språk teknisk sett. Det ble spurt om det var behov for å lage et felles norsk språk, på samme måte som man i dette prosjektet har laget et sett med felles norske begrep. Rolf Kenneth mente det burde være nok å benytte archimate som et felles språk, og deretter egne tilpasninger per virksomhet. Visio kan fungere for mindre prosjekter, men når prosjektene vokser skalerer ikke dette og man har behov for noe bedre modelleringsverktøy. Det er ikke definert noe modelleringsverktøy i Togaf, men det finnes aktuelle verktøy som for eksempel Enterprise Architect, som har vært mye brukt i Norge (f.eks. i Geointegrasjonsprosjektet). Det å få på plass et felles språk vil bidra til bedre samhandling mellom virksomheter. Spørsmålet om et felles språk krever en egen profil av Togaf kom opp. Det kommer an på i hvilken grad man ønsker å begrense praksisen. En uniform praksis krever en profil (f.eks. en norsk Togaf profil). Selv uten et eget språk vil generell kompetanse rundt felles arkitekturrammverk bidra til bedre samhandling, og kanskje er det nok til å sørge for ønsket effekt. Felles kompetanseutvikling er et behov, som ikke har kommet tydelig nok frem i foilene, og som bør vektlegges i videre vurderinger på området. Enkelte av de som har lest arkitekturbeskrivelsen for sikker elektronisk postkasse, synes notasjonen er utfordrende å lese. Det er et nytt språk i forhold til hva en er vant til og det blir derfor tungt å tilegne seg stoffet. Archimate har også sine begrensninger på noen områder og dette bør man ta inn i vurderingen av eventuelle krav til felles notasjon. Erfaringene i prosjektet viste at Togaf og Archimate i kombinasjon gav lesbare modeller, som forretningssiden greide å forholde seg til og etter hvert adopterte selv. Opplevde større utfordringer når for eksempel BPMN modeller ble presentert, det ble oppfattet for komplekst og tungt sammenlignet med Archimate modellene. Prosjektet gikk derimot mange runder for å forstå hvordan man skulle uttrykte konseptet. Det ble viktig å benytte interessentanalysen med ulike behov og perspektiv som kjernen. Rammeverket gav nyttig input på hvordan dette skulle brukes til å formidle komplekse sammenhenger for ulike beslutningstakere. Det kom frem at mange har et forhold til Togaf, men rammeverket er veldig åpent og da kommer spørsmålet om hva som er godt nok for samhandling med andre. Kanskje trenger vi en profil. Viktig når Difi oppsummerer erfaringene med rammeverket, at ikke bare styrkene fremheves. Svakhetene må også komme frem. Hva velger man bort ved å gå for et rammeverk som dette. Helsesektoren har omfavnet Togaf i stor grad, men de ulike regionale helseforetakene har veldig ulik tilnærming. Helse Sørøst har satset på kompetanse, Helse Vest har innført et 4

5 rammeverk, mens Helse Midt har testet ut i ulike prosjekter. Her kan det innhentes erfaringer med ulike tilnærminger. Det ble avklart at Difi har fått i oppdrag å anskaffe sikker digital postkasse for forvaltningen. Postkasse leverandørene kan benytte ID-porten for pålogging til post fra forvaltningen. Skal all post kunne leses ved bruk av ID-porten er det avhengig av at leverandørene har tillitt til ID-porten basert påloggingen også for annen post, og at de selv er villig til å gjøre den fødereringen. I den grad offentlig og annen e-post ikke blandes, vil man kunne risikere å måtte logge seg på flere ganger med samme løsning. Det ble stilt spørsmålstegn i hvilken grad kontaktinformasjonen burde være åpne data. Årsaken til at det er virksomhetene som benytter kontaktinformasjonen og ikke bare meldingsformidleren er blant annet fordi man skal ha mulighet for å kunne benytte ende til ende kryptering i fremtiden. Det kan også være ønskelig å benytte kontaktinformasjonen for andre formål enn sending av meldinger til sikker digital postkasse. Det ble stilt spørsmål om hvordan man håndterte sporbarhet mellom modeller og versjonshåndtering i prosjektet. Dette ble håndtert delvis gjennom versjonshåndtering i Confluence og delvis gjennom navnekonvensjonen man etablerte i prosjektet. Det er utfordrende å innføre en arkitekturdisiplin. Det å få arbeidsmåten til å fungere fra forretningslaget og helt ned i IT-implementeringen og forvaltningen, krever backing og forståelse i ledelsen og ned gjennom hele organisasjonen. Det er et langt lerret å bleke å få til noe slikt. Det krever oppbygging av kompetanse i hele organisasjonen. Det er også en utfordring å forvalte arkitektur, slik at neste prosjekt baserer seg på det som allerede er etablert i stedet for å begynne på nytt, slik man i praksis ofte har gjort det tidligere. Noen i hver organisasjon bør ha myndighet og oppfølgingsansvar for at dette skjer. Det finnes mye god verktøystøtte på prosjektnivå. Det er mer utfordrende å få på plass modeller for det store bilde, hva som skal være felles på tvers av prosjekter, og bli enig om hvilket nivå det bør legges på. Difi har tidligere blitt anmodet av Standardiseringsrådet å kjøre et forprosjekt for å vurdere om det var et poeng å utrede om hele eller deler av rammeverk for virksomhetsarkitektur er egnet som forvaltningsstandarder. Difi var i ferd med å starte et slikt forprosjekt, da prosjektet med arkitektur for sikker digital postkasse startet. Da valgte vi å legge ressursene i å teste ut et aktuelt rammeverk i det operative prosjektet. Difi har høstet mange erfaringer og de er viktige for videre utredninger. Men det å benytte rammeverket for det operative prosjektet gir ikke svarene et slikt planlagt forprosjekt ville gitt. Skal vi gå videre på dette området er vi uansett nødt til å gjennomføre forprosjektet. Men Difi har nå skaffet seg et bedre grunnlag for å gå inn i slike vurderinger og diskusjoner, nå som vi har fått større erfaring på området selv. 5 Revisjon av dagens referansekatalog (beslutningssak) Kristian Bergem presenterte hva som vurderes i de årlige revisjonsvurderingene av referansekatalogen og presenterte de konklusjoner man har kommet til i årets gjennomgang. 5

6 En oppsummering a de kommentarene som har kommet inn ble presentert på relevante områder. Foilene presentert i møtet er vedlagt møtereferatet. Presentasjonen ble gjennomført på et overordnet nivå og alle hadde ikke hatt like god tid til å gå gjennom underlaget til møtet. Det ble derfor ytret et ønske om å få tydeligere frem hva som har trigget revisjonsbehovet på de ulike områdene. Difi vil ta med det til fremtidige runder. Difi vil også sikre at alle i Standardiseringsrådet blir informert når underlaget til rådsmøtene blir lagt ut på Standardiseringsportalen 6 uker før møtet. Det ble en diskusjon rundt IPv6, her hadde det kommet inn en rekke kommentarer på Standardiseringsportalen. De fleste utstyrsleverandører har hatt støtte for IPv6 en god tid. ISPleverandørene har kjørt piloter på enkelte kundegrupper i lang tid og er modne for å lansere tjenester. Her står vi overfor et høna og egget problem, fordi etterspørselen er lav. Offentlige virksomheter ser ikke ut til å lansere tjenester på IPv6, men om det er behovet for et obligatorisk krav som må til, eller om det er generell informasjon er mer usikkert. Alle var enig om at en videre utredning på IPv6 er knyttet til prioritering og ikke til revisjon, da dagens krav står greit på egne ben, men det kan være ønskelig med en ytterligere utredning som får frem argumentasjon som gjør at kravet eventuelt styrkes. Det kom frem i gjennomgangen at arbeidet med Elmer 3 har kommet til et punkt der den ble sendt på høring 31. oktober 2013, med høringsfrist 1. februar Flere av rådsmedlemmene er på høringslisten. Når ny versjon er endelig og vedtatt, får vi starte en revisjonsgjennomgang i forhold til om dagens krav bør oppjusteres. I tilfeller der standardene er offentlig utviklet vil normalt sett standardene utvikles iht. offentlig sektors behov, og en konsekvensutredning vil normalt sett være positiv. Men i den grad videreutviklingsprosjektet selv ikke har gjennomført en slik vurdering, må den gjennomføres før en eventuelt revidert forskrift peker på standarden som obligatorisk. Når det gjelder Statens standardavtaler peker vi ikke på en spesiell versjon, men på settet som helhet. Her burde vi bli tydeligere på hva som ligger og hva vi peker på, og få tydeligere frem hva som har kommet siden forrige vurdering. Det ble informert om at Difi ikke bare har identifisert et revisjonsbehov for ISO/IEC 27001:2005 og ISO/IEC 27002:2005, men at Difi også har gjennomført en revisjonsvurdering og vil foreslå en oppdatering i referansekatalogen versjon 4.1, som skal ut på høring i uke 46. Det ble informert om hvilke hoved-endringer som kommer i de nye versjonene av standardene og hvordan disse også påvirker vårt planlagte krav til bruk av ISO Her viser vi til revisjonsvurderingen på Standardiseringsportalen og den lenker også videre til en nærmere forklaring på hva som er nytt i den nye standarden. Rådet synes vurderingen hørtes god ut og støtter den endringen som foreslås. Mer detaljerte tilbakemeldinger vil de eventuelt sende i sine respektive høringssvar i den åpne høringen. Difi fikk tilbakemelding om at det er viktig at vi er konsekvente med navnebruken og ikke dropper IEC i mange sammenhenger, men benytter ISO/ IEC 27001:2005 osv. der det er det korrekte navnet. Difi vil forbedre seg på dette. 6

7 Det ble en lengre diskusjon knyttet til revisjonsbehovet rundt felles tegnsett. Her har vi sagt at det ytterligere behovet er utvidelser av dagens krav og dermed må vurderes under prioritering. Diskusjonen gikk rundt et behov for å øke tegnsettet offentlige virksomheter skal støtte og eventuelt å øke kravet til ikke bare å gjelde nye systemer men alle systemer. Diskusjonen gikk også rundt behov for å kunne representere tegn offentlig sektor ikke benytter i dag på en felles måte. Det kom tydelig frem i diskusjonen at det er mange problemstillinger knyttet til tegnsett, som for eksempel multiple identiteter og ulik praksis på ulike områder. Flere deltakere var svært engasjert og det kom tydelig frem at dette er et område, hvor det er behov for å jobbe videre. Konklusjon: Standardiseringsrådet støttet konklusjonen om hvilke områder som krever revisjon og hvilke områder som ikke krever det. Rådet er enig i de områder, der Difi mener at vurderingen er en prioriteringsvurdering og ikke en revisjonsvurdering. 6 Prioritering 2014 (beslutningssak) Kristian Bergem presenterte hvilke vurderinger som legges til grunn for den årlige prioriteringen og de anbefalinger som er gitt for prioritering i Omprioriteringer gjennom året kan komme, hvis noe viktig kommer opp. Slik vi har gjort med standardene for styringssystem for informasjonssikkerhet i år. Først ble det diskutert i hvilken grad ulike oppgaver bør prioriteres seg i mellom. Hvordan arbeidet med revisjon bør prioriteres fremfor markedsføring og nye standarder og hvordan de to sistnevnte bør prioriteres seg i mellom. Standardiseringsrådet er enig i at revisjon for å holde referansekatalogen oppdatert bør prioriteres før alt annet. De er også enig i prinsippene om at i de tilfeller dagens anbefaling ikke er problematisk i seg selv, men at revisjonsønske er en utvidelse av dagens krav eller en styrking av dagens krav, så hører det hjemme i en prioriteringsdiskusjon. Når det kom til diskusjonen mellom markedsføring av eksisterende krav opp i mot utredning av nye områder, var det ønskelig å få en noe økt fokus på markedsføring av eksisterende krav. Det ble også spilt inn at her bør rådsmedlemmene også være flinkere til å markedsføre Referansekatalogens anbefalinger og det arbeidet Standardiseringsrådet gjør gjennom sine foredrag, sin deltakelse i ulike fora og gjennom sitt daglige virke i virksomheten. Det ble også tatt opp at Difi burde prioritere høyere arbeidet med å forutse organisatoriske, semantiske og teknologiske trender, og ta høyde for politiske målsetninger og planer, slik at de områdene som blir foreslått prioritert i større grad legger grunnlaget for fremtiden. Det er klart at med dagens ressurssituasjon kan det være vanskelig, men i den grad standardiseringsarbeidet får sin rette fokus er det viktig at slik fokus kommer på plass. Her er det også viktig at rådsmedlemmene spiller inn det de erfarer i sine roller, og gir Difi råd på området. 7

8 Rådsmedlemmene skulle gjerne se at Difi satte mer ressurser på Standardiseringsarbeidet, men de er enig i overføringen av arbeidet med utredninger og markedsføring til de kompetansesenter som etableres på ulike områder i Difi og i andre offentlige virksomheter. Men det er fortsatt et stort behov for å ha kompetanse på metode og det er mange områder som fortsatt ikke har slike kompetansesentre. Det bør vurderes å sette opp et møte med den nye direktøren og leder av Standardiseringsrådet for å diskutere standardiseringsarbeidet. Standardiseringsrådet skal gi råd på retning. Ser man at Difi får så mange andre oppgaver i tildelingsbrevet at standardiseringsarbeidet ikke får handlingsrom, må dette eventuelt spilles inn til departementet fra Standardiseringsrådets side. Selv om rådet nå har blitt et rådgivende organ til Difi, må rådet kunne gi slike innspill direkte til FAD, der nivået av satsingen på standardisering styres av handlingsrommet gitt av overordnet departement. Det har vært diskutert å gå gjennom en evaluering av standardiseringsarbeidet i Difi i flere år. Det er nå besluttet at det skal være en gjennomgang av alle Difi sine arbeidsoppgaver, hvorav standardisering er en av dem. Det vil derfor mest sannsynlig bli en gjennomgang av arbeidet i 2014 og da også en vurdering om en eventuell justering av Standardiseringsrådets mandat iht. en mer helhetlig tilnærming, slik Difi har presentert noen tanker om allerede. Bjørn Holstad ønsker en slik gjennomgang, det har FAD også ytret ønske om og kommer det inn i tildelingsbrevet blir det gjort. Erfaringen gjennom møte i rådet, tilsier at vi i fremtiden behandler hvert anvendelsesområde med eksterne fagområderepresentanter hver for seg, slik at de kun trenger å være med på vurderingene knyttet til eget område. I tillegg er det viktig at rådet prioriterer opp de områder de mener er viktig uavhengig av hvilke ressurser som er tilgjengelig på fagområdet. Så får heller innsatsen justeres der etter. Det ble en diskusjon rundt området URI-standard for informasjonsforvaltning. Dette er en utvidelse i forhold til de standarder vi allerede peker på. En utvidelse som har vært ønsket prioritert, men som på grunn av kapasitetsproblemer har blitt nedprioritert i Difi. Her ønsker etatene å komme på banen. Difi vil derfor kalle inn til en arbeidsgruppe på området, så får vi se hva etatene kan komme opp med av ressurser for å gjennomføre utredningen, med støtte fra Difi på metode. URI-standarden prioriteres derfor høyt og overføres fra den prioriterte listen for andre miljøer til den prioriterte listen til Standardiseringssekretariatet. Det er viktig med felles terminologi i offentlig sektor. Det er derfor på informasjonsområdet behov for å få på plass en begrepskatalog med prefererte begrep i offentlig sektor. Det gjøres noe på dette internasjonalt innen helseområdet, som vi kanskje kan lære av. Torbjørn Nystadnes er en sentral person i dette arbeidet. Dette er også et arbeid som tidligere har vært prioritert i Difi. Arbeidet prioriteres høyt også videre. På området publisering av åpne data er det ingen tvil om at det haster å få på plass standarder. Her jobber etatene med å lage interne retningslinjer. Det ville vært bedre bruk av offentlige ressurser, hvis vi i større grad kunne få på plass felles retningslinjer. Her har Difi blitt med i et internasjonalt arbeid for å få på plass standarder på området. Rådet ønsker i tillegg et 8

9 forprosjekt i Norge, slik at vi kan identifisere behov, som eventuelt kan spilles inn mot det arbeidet som gjøres internasjonalt. På informasjonssikkerhetsområdet er det viktig å prioritere opp arbeid med risikovurderinger. Revisjonen av ISO/IEC og ISO/IEC tilsier at vi bør avvente med å peke på rammeverk for risikovurdering. I evalueringen knyttet til risikovurderinger var det derimot ønsket å peke på en veileder for mer operativ risikovurderingsmetode. Dette ønsket rådet å utsette i avvente av at Difi fikk oppdatert sin veileder og eventuelt skapt et samarbeid med NSM og Datatilsynet på området. Rådet mener at dette området nå bør prioriteres høyt. I tillegg ønsker Standardiseringsrådet at arbeidet med standarder for signering prioriteres opp. Standarder er viktig for flere etater, for eksempel på tinglysningsområdet og på NAV området. I tillegg er det viktig å prioritere opp standard for signering og kryptering i forhold til meldingsutveksling. Nå jobbes det med sikker elektronisk postkasse, men standardene var ikke på plass før Difi gikk ut med en anskaffelse. Det jobbes også med en utredning av meldingsutveksling internt i forvaltningen, som ble presentert tidligere i dag, der det ble slått fast at informasjonssikkerhet er et viktig hensyn. Det er viktig at standarder for dette kommer på plass i forhold til en mer helhetlig vurdering og ikke ender opp som en hastevurdering utført i sammenheng med en anskaffelse av en ny felleskomponent. Standarder for elektronisk signering og sikker meldingsutveksling overføres derfor til prioritert liste. Skjema er viktig, men her er det også viktig å tenke tversektorielle dialoger, der flere etater samarbeider om å levere felles tjenester mot innbyggere og næringsliv. Viktig å se leveransekjedene i sammenheng. Viktig at det vi tar opp på skjemaområdet ikke utfordrer Elmer, men utfyller de kravene Elmer kommer med. Hvordan vi kan få strukturert informasjon inn på en standardisert måte må være en viktig del. Også det med hvordan ting presenteres ut, standarder bak blant annet pre-utfylling. Må se avgrensningen på området i sammenheng med arbeidet knyttet til integrasjon. Vi kommer veldig fort over på hvordan integrere med fagsystemer, når vi begynner å diskutere pre-utfylling og strukturerte data inn. KS har god erfaring med å involvere fagsystem leverandører. Det har man både i forhold til EPJ leverandører og i forhold til Riksarkivet og bruk av Noark 5. Samarbeidet med leverandørene var også suksessfullt i arbeidet med geointegrasjon. Det kan vise seg mer utfordrende når vi snakket på tvers av fagområder, men tett dialog med leverandørmarkedet er absolutt en anbefalt vei å gå. Standardiseringsrådet anbefaler derfor Difi å gjøre dette i forbindelse med forprosjekt for integrasjonsstandarder. Det kan være veldig ulike behov på ulike forretningsområder, men det er helt sikkert en del overordnede føringer som burde være forholdsvis like knyttet til integrasjon. 9

10 Viktig med terminologi her også. Vi snakker om fagsystemer, men hva er egentlig det i denne sammenhengen. Viktig at vi får klarlagt hva vi egentlig snakker om. Standarder for integrasjon og skjema bør prioriteres høyt. Det ble også en diskusjon rundt et felles sett med fonter. Det er i utgangspunktet et område som er nedprioritert. Flere tok derimot til orde for å prioritere dette opp. Det anses som en liten jobb og må være forenklende både i forhold til å fjerne hindringer mellom ulike kontorstøtteprogram, fjerne utfordringer i samhandling, forenkle OCR lesing og sikre universell utforming. En slik utredning antas også å være forholdsvis liten. Men selv om noen snakket området opp, var det allikevel ikke stort trykk for å prioritere dette høyere enn en del av de andre tingene som allerede står prioritert og en utredning om felles fonter ble derfor ikke vedtatt høyere prioritert. Den blir stående øverst på listen over nedprioriterte kandidater. Konklusjon: Standardiseringsrådet støtter hovedlinjene i fremlagt prioriteringsnotat: Standardiseringsrådet ønsker følgende justeringer: - Standardiseringsrådet ønsker å ta den øverst prioriterte oppgaven hos andre miljøer og flytte over til Rådet og la medlemmene selv utføre utredningen. - Standardiseringsrådet ønsker å løfte standarder for signering og meldingskryptering opp på prioritert liste for andre miljøer. - Ehandel elektronisk pakkseddel flyttes over på prioritert liste. - IPv6 settes nederst på prioriteringslisten for Standardiseringssekretariatet. - Det føres opp et ønske om forprosjekt rundt behov for standarder knyttet til publisering av åpne data 7 Status for arbeidet med standardisering i Difi (orienteringssak) Kristian Bergem informerte om arbeidet som utføres i Seksjon for arkitektur i standardiseringssekretariatet. I tillegg ble det informert om hvilke endringer som kommer inn i referansekatalogens versjon 4.1, som skal på høring i uke 46, på bakgrunn av de råd Difi har fått av Standardiseringsrådet. Se vedlagte foiler. 8 Eventuelt Det ble vedtatt følgende møtetidspunkt for Standardiseringsrådet i 2013: 5. februar 21. mai 10. september november 10