Prioriteringsnotat 2016

Transkript

1 Prioriteringsnotat Oppsummering Difi er ansvarlig for å forvalte et sett med anbefalte og obligatoriske IT-standarder i offentlig sektor. Det skal sikre alle brukere tilgang til offentlig informasjon og tjenester, og samhandling mellom de offentlige virksomhetene. Dette notatet foreslår bruksområder Difi skal vurdere om bør få anbefalte eller obligatoriske ITstandarder i Notatet blir lagt ut for kommentarer før Standardiseringsrådet skal behandle det. Det bør utredes standarder på bruksområder som bidrar til flere og bedre elektroniske tjenester fra offentlig sektor, og som bidrar til at digitaliseringsprosessen fungerer godt. Difi har fått tydelige signal, både gjennom standardiseringsrådet og behovskartleggingen gjennomført i Skate-regi, om at de viktigste bruksområdene å standardisere for å oppnå dette er: Integrasjon, informasjonsforvaltning og informasjonssikkerhet. Difi foreslår her hvilke bruksområder som best utredes for å underbygge behovet på disse områdene. Utredningene skjer i ulike kompetansemiljø i Difi. Standardiseringssekretariatet utreder standarder på områder uten spesifikke kompetansesenter, mens de spesifikke kompetansesentrene som er etablert, utreder standarder på egne fagområder. Prioriteringen er gjort av hvert kompetansesenter. Standardiseringssekretariatet foreslår å prioritere følgende i 2016: Forprosjekt integrasjonsstandarder (Tidligere forslag som standarder for virksomhetsoversikt, prosessmodellering, norsk profil for web services og utvekslingsavtale inngår her) Utredning standard struktur person (konseptuellmodell og implementasjonsmodell) Standard prosess for utredning av forvaltningsstandarder i offentlig sektor (oppdatert arbeidsmetodikk) Et strategisk veikart for standardisering Samfunnsøkonomisk konsekvensanalyse - StartTLS for kryptering mellom e-post servere Samfunnsøkonomisk analyse Elmer 3.0 Utredning standard struktur adresse (konseptuellmodell og implementasjonsmodell) Nasjonalt interoperabilitetsrammeverk, NIF Standard for samhandling i offentlig sektor (overordnede prinsipper som beskriver hvordan vi ønsker at samhandling skal skje) Prosjektledelse (Både Prosjektveiviseren + NS-ISO 21500:2012 Veiledning i prosjektledelse er foreslått) Difi sitt kompetansemiljø for informasjonsforvaltningen foreslår å prioritere følgende i 2016: Standard for bruk av URI-er for å gjøre tilgjengelig beskrivelser av begreper og tjenester, samt selve dataene og tjenestene (Difi støtter Brreg som sekretariat for utredningen)

2 Revisjon av Standard for beskrivelse av datasett og datakataloger (I lys av EU s revisjon av DCAT EU og piloteringserfaring her hjemmefra) Revisjon av Standard for begrepsbeskrivelser i offentlig sektor Difi sitt kompetansemiljø for informasjonssikkerhet foreslår å prioritere følgende i 2016: Samfunnsøkonomisk analyse av Start-TLS som forvaltningsstandard i offentlig sektor. Veileder for internkontroll/ styring av informasjonssikkerhet denne anbefalingen er oppdatert til gjeldende versjoner av standardene ISO27001:2013 og ISO27001:2013. Veileder for sikring av nettverk ved overgang til dual stack IPv4 og IPv6 med forbehold for utfallet av pågående høringsrunde. Dersom dette endres fra anbefalt til obligatorisk, mener vi det bør utredes behov for veiledning på sikkerhetsproblematikk knyttet til dual stack IPv4/IPv6. Difi sitt tilsyn for universell utforming foreslår å prioritere følgende i 2016: Revisjon av automatstandardene og en eventuell inkludering av NS Fysisk utforming og brukerdialog for automater NS-EN :2015 Tilgjengelighetskrav som er relevante for offentlig anskaffelse av IKTprodukter og -tjenester i Europa I 2015 har Difi sitt kompetansemiljø for e-handel vil delta i CEN sitt standardiseringsarbeid på området og ta opp eventuelle standarder når disse blir ferdigstilt i denne prosessen. 2 Innledning Prioriteringsnotatet 2016 er et beslutningsunderlag for hvilke områder Difi sitt standardiseringsarbeid bør fokusere på i Notatet legges ut for kommentarer i forkant av Standardiseringsrådets møte #4 i Standardiseringsrådet vil gi råd til Difi om hva de mener bør prioriteres i 2016, på bakgrunn av dette notatet og de kommentarer som kommer inn. Difi vil deretter beslutte sin prioritering på bakgrunn av de råd Standardiseringsrådet gir. Dette notatet utgjør derfor kun et forslag til prioritering. Den endelige prioriteringen vil besluttes av Difi på et senere tidspunkt i lys av Standardiseringsrådets anbefaling. 2.1 Bakgrunn I Stortingsmelding nr. 17 ( ) Eit informasjonssamfunn for alle, var det et tiltak om å etablere en liste over anbefalte og obligatoriske forvaltningsstandarder i offentlig forvaltning (referansekatalog). Forslaget fikk bred politisk støtte. Arbeidet ble startet opp i FAD i 2006 og ble senere overført til Difi, da direktoratet ble etablert. Arbeidsfordelingen er slik at alle utredninger og høringer av anbefalte og obligatoriske forvaltningsstandarder gjennomføres av Difi. De anbefalte forvaltningsstandardene besluttes i Difi, mens obligatoriske forvaltningsstandarder fremmes av KMD i forskriftsform for beslutning i regjeringen. Tiltaket har blitt trukket frem for ytterligere satsing i Digitaliseringsprogrammet og Digital Agenda Norge.

3 Formålet med tiltaket er å sikre at innbyggere og næringsliv for tilgang til offentlig informasjon og tjenester uavhengig av funksjonsnivå og hvilken programvare og programvareplattform de benytter. I tillegg skal tiltaket legge grunnlaget for helhetlige tjenester på tvers av offentlige virksomheter og sikre at innbyggere og næringsliv bare må innrapportere informasjon en gang til offentlig sektor. Det skal være mulig fordi standarder skal tilrettelegge for samhandling mellom virksomhetene. Standardene skal i tillegg sikre en effektiv tjenesteproduksjon og hindre bindinger til spesifikke leverandører og teknologier. Et felles sett av standarder skal også gi god konkurranse i IT-markedet. Velfungerende elektronisk samhandling krever elektroniske løsninger som forstår hverandre og kan utveksle data. Det er et viktig prinsipp at alle samhandlingsparter skal kunne velge elektroniske løsninger fra ulike leverandører, basert på egne ønsker og behov. En forutsetning for å kunne samhandle i et nettverk satt sammen av ulike løsninger og systemer, er at alle følger et felles sett av standarder. Dette gjelder både organisatoriske standarder som skal sikre at forretningsprosesser fungerer på tvers av virksomhetene, semantiske standarder som skal sikre en felles oppfatning av de data som utveksles og tekniske standarder som skal sikre at dataene kan utveksles og dekodes av den andre part. Det ble gjort et strategisk valg om at listen over anbefalte og obligatoriske IT-standarder skulle bygges opp gradvis. Starte med ett bruksområde og utvides etter hvert som det ble behov for det og det var tilgjengelige ressurser til arbeidet. Standarder som gjøres anbefalte eller obligatoriske blir det på ett spesifikt bruksområde, fordi én standard kan være anbefalt på et område og obligatorisk på et annet. Det å peke på standarder hindrer midlertidig innovasjon på det området som standardiseres, men fremmer innovasjon på løsninger som baserer seg på standarden. Innovasjonen som baserer seg på standarden vil igjen skape krav til videreutvikling av standarden og over tid føre til innovasjon også på det området. Det er viktig å peke på standarder som i størst mulig grad tilrettelegger for arkitekturprinsippene i offentlig sektor. En standard skal gi stabilitet, samtidig som den i størst mulig grad tilrettelegger for endring over tid. 2.2 Prosessen for å prioritere forslag Difi har definert en prioriteringsprosess der alle har mulighet til å spille inn forslag til bruksområder som bør utredes for å få på plass nødvendige forvaltningsstandarder som vil sikre en bedre samhandling på området. Når slike forslag kommer inn, gjøres en vurdering av om dette er så viktig at det må prioriteres opp umiddelbart eller om det kan vente på neste årlige prioriteringsprosess. I den årlige prioriteringsprosessen, ser man nærmere på alle forslag som har kommet opp gjennom årenes løp og gjør en prioritering av hvilke bruksområder man mener bør prioritere å utrede det neste året. Områder som er nødvendig for å tilfredsstille politiske føringer vil prioriteres høyt. Prioritering gjøres på et overordnet nivå ut i fra følgende 4 kriterier: - Antatt effekt av å fastsette standarder på et område for brukere av offentlig informasjon og tjenester - Antatt effekt av å fastsette standarder på et område for offentlige virksomheter

4 - Standardenes modenheten på bruksområdet - Antatt størrelse på utredningsjobben (for å kunne sette sammen et knippe av oppgaver tilpasset tilgjengelige ressurser) Foreløpig har standarder som sikrer innbyggere og næringsliv tilgang til offentlig informasjon og tjenester uavhengig av funksjonsnivå og uavhengig av hvilken programvare og programvareplattform de benytter vært høyt prioritert. Nå vil standarder som sikrer integrasjon mellom selvbetjeningsløsninger og bakenforliggende fagsystem prioriteres (vertikal integrasjon), samt standarder som sikrer helhetlige brukertjenester på tvers av sektorer og utveksling av informasjon mellom offentlige virksomheter (horisontal integrasjon). Det har de siste årene blitt større fokus på en helhetlig arkitektur i offentlig sektor. Standarder som underbygger en slik arkitektur vil også prioriteres. Dette dokumentet skisserer hvilke utredninger som er under arbeid, hvilke forslag som har kommet inn og i hvilken grad forslagene foreslås prioritert neste år. Dokumentet diskuterer også balansen mellom markedsføring av eksisterende krav opp mot revisjon av eksisterende krav og utredning av nye krav. Tidligere har Difi gjennomført åpne workshops for å få innspill på hvilke bruksområder som er viktigst å prioritere. De første årene fikk vi inn mange nye innspill. Etter hvert så vi at tilbakemeldingene begynte å stabilisere seg, selv om det på grunn av innovasjon dukket opp enkelte nye. På bakgrunn av dette og svært begrensede ressurser til standardiseringsarbeidet, er det de to siste årene ikke gjennomført en slike workshops. Dagens forslag har kommet inn gjennom enkeltstående forslag, gjennom forprosjekter, gjennom utredninger, arbeidet med nye felleskomponenter og dialogen vi har med IT-markedet. Prioriteringsprosessen omhandler både nye og gamle bruksområder. Referansekatalogen må holdes oppdatert til enhver tid for å være relevant, og revisjon av eksisterende anvendelsesområder er derfor nødvendig. En revisjon nødvendig for å opprettholde korrekte krav prioriteres arbeidet svært høyt. Er revisjonen av mer åpen art, som for eksempel et ønske om å styrke en anbefaling til et obligatorisk krav eller å utvide bruksområde til å inkludere mer, vil revisjonsforslaget bli vurdert på lik linje med nye bruksområder. 3 Prioritering mellom utvikling, revisjon og markedsføring De ressursene Difi har på standardiseringsområdet blir benyttet til: - Forvaltning av eksisterende standarder, revisjon, metodeverk og drift av rådet - Markedsføring av eksisterende standarder, veiledning og henvendelser - Utredning av nye områder - Videreformidling av offentlig sektors behov for standarder til nasjonalt og internasjonalt standardiseringsarbeid og eventuell koordinering av offentlig innsats. - Egne utbredelsesprosjekter

5 Per dato benyttes omtrent 70% av innsatsen på utrednings av nye områder. 20% av innsatsen på markedsføring, veiledning og henvendelser (noe mer i perioder der vi har utviklet veiledere) og 10% benyttes på revisjon (dette varierer veldig avhengig av behov). I 2015 har markedsføringsinnsatsen vært beskjeden, på grunn av svært begrensede ressurser på standardiseringsområdet. Hovedinnsatsen har vært benyttet på ny standardiseringsportal. Tilbakemeldinger vi har fått tyder på at det er viktig å forenkle budskapet om Standardisering og gjøre det enkelt å ta standardene i bruk ved anskaffelser, i prosjekter og daglig virke. Det viktigste grepet i så måte er å bedre Standardiseringsportalen og informasjonen som ligger der. Dialogen vi hadde med leverandører og spørreundersøkelsen vi hadde i slutten av 2014 knyttet til bruk av forvaltningsstandardene i offentlig sektor viser derimot et sterkt behov for økt informasjon om forvaltningsstandardene. Det anbefales på bakgrunn av dette å øke fokuset på markedsføring neste år gjennom noen generelle artikler i generelle medier og noen mer spesifikke i fagpressen, samt en forbedret Standardiseringsportal som gjør det enklere å finne frem i forvaltningsstandardene. Ressurser tilgjengelig for utredning av nye områder er derimot svært begrenset og behovet er stort. Det anbefales en fordeling av sekretariatets ressurser på markedsføring, revisjon og nye utredninger på henholdsvis 30, 10 og 60 % av tilgjengelig ressurser. I tillegg anbefales det å revidere arbeidsmetodikken og gjøre den til en forvaltningsstandard, for i større grad å tilrettelegge for at andre miljø kan utrede nye bruksområder på sekretariatets vegne og spille utredningene inn til vurdering i Standardiseringsrådet gjennom sekretariatet. 4 Prioritering 2016 Prioriteringen er delt opp i ulike kapitler, fordi noen utredninger drives frem av Standardiseringssekretariatet, mens andre tas frem av Difi sine ulike kompetanseområder eller av andre virksomheter. I dette kapittelet går vi gjennom vært område og synliggjør de prioriteringer som foreslås. De ulike fagområdene hvor det gjøres egne vurderinger er følgende: - Standardiseringssekretariatet - Informasjonsbehandling - Informasjonssikkerhet - Universell utforming - E-handel De forslagene som har kommet inn er delt inni følgende kategorier gjennom prioriteringsprosessen - Pågående utredninger (for å synliggjøre dagens aktivitet) - Prioriterte forslag - Kandidater til opprykk (hvis ressurssituasjonen tillater det) - Ikke prioriterte forslag (for fremtidig prioritering) - Avviste saker

6 4.1 Standardiseringssekretariatet Standardiseringssekretariatet har mottatt en rekke enkeltstående forslag opp gjennom årene, og i tillegg har det kommet en rekke forslag gjennom forprosjekter og andre utredninger som har vært kjørt i regi av Standardiseringssekretariatet. Det har kommet mange flere forslag enn vi har kapasitet til å håndtere, og i stedet for å evaluere alle forslag har vi lagt energien i å plukke ut de vi strategisk mener må prioriteres høyest. Indirekte mener vi at det også vil være områder som har stor effekt for brukere av offentlige tjenester og offentlige virksomheter selv. Standardiseringsrådet plukket tidlig ut tre prioriterte hovedområder, informasjonsbehandling, informasjonssikkerhet og integrasjon. Dette har blitt bekreftet gjennom de prioriteringsworkshopene vi kjørte for noen år siden, gjennom de utredningene vi har gjort underveis og gjennom behovskartleggingen gjennomført i Skate sammenheng. I tillegg har områder som universell utforming, skytjenester og big data hvert oppe som aktuelle viktige kandidater. I veikartarbeidet vi gjennomførte i Standardiseringsrådet i 2009 stakk følgende stikkord seg ut: Arkitektur, samhandling og gjenbruk. I tillegg har vi oppfattet et sterkt behov for et overordnet nasjonalt interoperabilitetsrammeverk og et målbilde for samhandling i offentlig sektor. Gjennom internasjonalt standardiseringsarbeid kan vi se hvilke utviklingsområder som blir prioritert fremover. Både gjennom ISO og IEC sitt arbeid i JTC-1 og gjennom det europeiske standardiseringsarbeidet ser vi at IoT (tingenes Internett), Big data og skytjenester er områder under oppbygging. Dette er kommende områder som vi må følge med på, men områder der utviklingen av internasjonale standarder er underveis og Difi må vente med sine anbefalinger til leverandørindustrien har blitt enig om noen felles internasjonale og nasjonale standarder. På disse områdene er vår oppgave hovedsakelig å forstå offentlig sektors behov og spille dem inn til de ulike standardiseringsarbeidene. I arbeidet med å fastsette forvaltningsstandarder har det foreløpig vært fokus på grensesnittet mot innbyggere og næringsliv. Det å sikre at brukere av offentlig sektor får presentert informasjon og tjenester på et format som fungerer på det brukerutstyret de har. Nå har vi fått det viktigste på plass og vi kan gå videre å fokusere på standarder som trengs for å integrere selvbetjeningsløsninger mot bakenforliggende fagsystem og standarder som trengs for å kunne levere helhetlige tjenester, få sammenhengende verdikjeder og understøtte once only-prinsippet. Dette krever gode sikkerhetsløsninger, koordinerte begrep og tekniske løsninger som sikrer enkel og god integrasjon. To av de viktigste områdene som er prioritert er informasjonssikkerhet og informasjonsforvaltning. Siden disse har egne kompetansemiljøer som står for utredningene, er det av stor betydning at Standardiseringssekretariatet prioriterer å understøtte dem når det kommer til prosess og arbeidsmetodikk. Det har de siste fire årene vært en gradvis nedbygging av Standardiseringssekretariatet, som krever at ikke bare sekretariatet men også andre miljøet kan gjennomføre utredninger. Dette har vi dårlig erfaring med og for å motvirke dette er det behov for å revidere og bedre arbeidsmetodikken, slik at de som ikke jobber med slike utredninger daglig, lettere skal kunne gjennomføre dem. Arbeidsmetodikken må således i større grad gjøres om til en veileder enn å bare være et policy dokument. I tillegg er det behov for å lage maler, som utredere kan ta utgangspunkt i.

7 Det viktige arbeidet med integrasjonsstandarder er startet og må få full fokus fremover. I tillegg er standardstruktur på person og adresse viktige element for å underbygge samhandlingen i offentlig sektor. I 2006 ble det lagd et utkast til nasjonalt interoperabilitetsrammeverk, men det ble aldri publisert. Vi har derimot fått på plass et sett med arkitekturprinsipper og referansekatalogen. Det er allikevel viktig å få skrevet ned og publisert en kort og konsist rammeverk for interoperabilitet i offentlig sektor. I tillegg er det avgjørende å få på plass et målbilde for hvordan samhandling i offentlig sektor skal skje. Avhengig av ressurssituasjonen er det identifisert kandidater for opprykk. Det er behov for å få på plass et standard grensesnitt for meldingsutveksling i offentlig sektor. I dag florerer ulike arkitekturer og ulik bruk av standarder. Her bør det komme på plass et felles sett av standarder og en felles arkitektur. Arkitekturen bør muliggjøre en sømløs endring av standarder over tid. I tillegg er det viktig å ta tak og prioritere de øverst prioriterte områdene som kommer ut av forprosjekt for integrasjonsstandarder i offentlig sektor Pågående utredninger Forprosjekt integrasjonsstandarder (Tidligere forslag som standarder for virksomhetsoversikt, prosessmodellering, norsk profil for web services og utvekslingsavtale inngår her) Utredning standard struktur person (konseptuell- og implementasjonsmodell) Prioriterte forslag Standard prosess for utredning av forvaltningsstandarder i offentlig sektor (oppdatert arbeidsmetodikk) Et strategisk veikart for standardisering Samfunnsøkonomisk konsekvensanalyse- StartTLS for kryptering mellom e-post servere Samfunnsøkonomisk analyse Elmer 3.0 Utredning standard struktur adresse (konseptuell- og implementasjonsmodell) Nasjonalt interoperabilitetsrammeverk, NIF Standard for samhandling i offentlig sektor (overordnede prinsipper som beskriver hvordan vi ønsker at samhandling skal skje) Prosjektledelse (Både Prosjektveiviseren + NS-ISO 21500:2012 Veiledning i prosjektledelse er foreslått) Kandidater for opprykk Utredning av standard grensesnitt for meldingsutveksling i offentlig sektor (utvekslingsprotokoll, konvolutt, sikkerhet og grensesnitt mot fagsystem, ikke forretningsdokument) Øverst prioritert område fra forprosjekt om integrasjonsstandarder Standard datoformat i offentlig sektor Nedprioriterte forslag Standarder for 3D dokumenter Andre prioriterte områder for forprosjekt om integrasjonsstandarder Veileder for utvikling av elektroniske tjenester, inklusive arbeid med brukergrensesnitt

8 Standard utvalg av tegn til bruk i forvaltningen (forprosjektrapport håndtering av tegn og representasjon av navn) Standard for videokonferanseutstyr på PC-er. Standarder for representasjon av tegn offentlige virksomheter ikke trenger å støtte (forprosjektrapport håndtering av tegn og representasjon av navn) Standard for input av tegn i nettleserbaserte tjenester (forprosjektrapport håndtering av tegn og representasjon av navn) Overordnede prinsipper for håndtering av tegn og representasjon av navn i offentlig sektor (forprosjektrapport håndtering av tegn og representasjon av navn) Standard sett av fonter til bruk i offentlig forvaltning (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten) Standard for sortering av tegn i forvaltningen (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten) Standard for samsøk (f.eks. treff på både Håkon og Haakon)i forvaltningen (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten) Standard for definisjon, struktur og format på enhetsnavn (forprosjektrapport håndtering av tegn og representasjon av navn foreløpig nedprioritert i rapporten) Standarder for håndtering av tverrgående prosesser i nettleserbaserte tjenester forprosjektrapport standarder for nettleserbaserte tjenester foreslått nedprioritert, ikke modent) Standarder for validering av input data i nettleserbaserte tjenester forprosjektrapport standarder for nettleserbaserte tjenester foreslått nedprioritert) Standarder for eksport/ import av nettleserbaserte tjenester, for automatisk gjenskaping på ulike plattformer (forprosjektrapport standarder for nettleserbaserte tjenester foreslått nedprioritert) Standarder for App-baserte tjenester Veileder for testing av nettleserbaserte tjenester (hvordan sjekke at man er iht. standarden og eventuelt hvilke nettlesere bør det testes mot) Digitalt standardformat for formidling av verdikjede akkumulert miljøfotavtrykk for varer og tjenester. I første omgang med fokus på CO2 ekvivalenter. Veileder for e-post oppsett Standarder for krav til dokumentasjon i offentlig sektor (Ikke bare for kulturhistoriske og forskningsmessige hensyn, men for å dokumentere det som gjøres) Standarder for teksting av video. (overført til Standardiseringssekretariatet) Elektroniske bøker for blinde/ lydbøker (Daisy) (Overført til Standardiseringssekretariatet) Autentisering i forhold til eksternt innsyn i saksbehandling, autorisering av hva det skal gis innsyn i Vurdere OASIS standarden CMIS Avspiller multimedia Avviste forslag Ny jobb ID for alle offentlig ansatte (En del av eid prosjektet håndteres i den sammenheng)

9 4.2 Informasjonsforvaltning Informasjonsforvaltning er et område som har fått økt oppmerksomhet politisk og som har blitt prioritert høyt i Skate (Styring og koordinering av tjenester i e-forvaltning). Innen informasjonsforvaltning har Difi et eget fagmiljø. Dette miljøet gjennomfører utredninger og vurderinger på området og driver noe veiledning og informasjonsarbeid Vi har fått på plass en standard for begrepsbeskrivelser og jobber med en standard for URI-er, da mangler bare et standard utvekslingsformat. Dette området er derfor satt til en opprykkskandidat, som kan håndteres etter revisjonsarbeidet og ferdigstillingen av URI-er. De andre forslagene er viktige områder men må vente til det er tilgjengelige ressurser. Når det gjelder foranalysen for publisering/ tilgjengeliggjøring av åpne data, så var det et forslag som kom i standardiseringsrådsmøte i september Det var behov for å få en gjennomgang av hvilke typer standarder som er nødvendig for å publisere åpne data. Nå har vi fått på plass noen og har identifisert to til som må landes. Dette forslaget vil bli satt til avvist med mindre noen fortsatt ser mangler på området. Referansekatalogen peker på bruk av Termlosen for terminologiarbeid, og i tillegg har vi definert en standard for hvordan begrepsbeskrivelser skal utformes. Er det da fortsatt et behov for å peke på ISO 860 eller kan forslaget avvises? Pågående utredninger Standard for bruk av URI-er til blant annet tilgjengeliggjøring av definisjoner (gjennomføres i et samarbeid mellom Brreg og sekretariatet) Prioriterte forslag: Revisjon av Standard for beskrivelse av datasett og datakataloger (I lys av EU s revisjon av DCAT EU og piloteringserfaring her hjemmefra) Revisjon av Standard for begrepsbeskrivelser i offentlig sektor Kandidater for opprykk: Standard for utvekslingsformat begrepsbeskrivelse Nedprioriterte forslag: Standard for prefererte felles forvaltningsbegrep for utveksling i offentlig sektor (konseptuelle modeller og implementasjonsmodeller) Standard for prefererte felles arbeidsbegrep for samhandling i offentlig sektor Standard for å beskrive IKT-tjenester Avviste forslag Foranalyse for publisering/tilgjengeliggjøring av åpne data. Beskrivelse av termer og begreper (ISO 860 Terminology work: Harmonization of concepts and terms).

10 4.3 Informasjonssikkerhet Difi har et kompetansemiljø for informasjonssikkerhet, som skal bidra med veiledning mot andre etater for å øke informasjonssikkerheten i offentlig sektor. Det er dette miljøet i Difi som prioriterer og gjennomfører vurderinger av behov for anbefalte og obligatoriske IT-standarder på informasjonssikkerhetsområdet. Standardiseringssekretariatet har fått inn en rekke forslag til standardisering på informasjonssikkerhetsområdet. Flere av forslagene har kommet fra flere hold, både som enkeltforslag og gjennom forprosjektrapporter. Difi anser det som særs viktig å følge opp arbeidet med veiledning knyttet til etablering av styringssystem for informasjonssikkerhet og risikovurdering. Dette er pågående og har høy prioritet. Dette var i sin tid det viktigste område i forprosjektrapporten på informasjonssikkerhetsområdet, som ble fremlagt for rådet i Deretter ser vi at vedtaket om å gjøre dual stack IPv4 og IPv6 til en forvaltningsstandard, gir et behov for å prioritere opp veiledning innen sikkerhet på dette området. Dette området er derfor prioritert neste år. Det vil løse deler av det behovet for et innføringsprosjekt som ble tydeliggjort i den samfunnsøkonomiske analysen, som ble skrevet på området i våres. Allerede i 2010 på Standardiseringsrådets møte på Sola stranda ble det poengtert behovet for å få vedtatt en standard for sikker FTP. Dette området er satt som opprykkskandidat. Behovet for å få på plass felles standarder for meldingskryptering er viktig, og en god del jobb ble gjort på dette området i forbindelse med digital postkasseprosjektet. I denne sammenheng har det vært identifisert et behov for å få en felles måte å løse ikke bare sikkerheten, men hele meldingsutvekslingen. Her trenger vi innspill på om det er behov for standarder for sikker meldingsutveksling utover dette! Dette er foreløpig ikke prioritert, og vil avvente hva som skjer med felles meldingsutveksling. I arbeidet med VPN standarder kom det frem et behov for å sette felles krav til algoritmer og nøkkellengder, slik at utstyret vi kjøper på ulikt hold har støtte for tilstrekkelig sikkerhet og samhandlende sikkerhet. Det kom også frem i arbeidet med StartTLS. I tillegg har det kommet frem behov for en praktisk veileder som hjelper driftspersonalet å sette opp utstyr med rett algoritme og nøkkellengde. Disse to områdene er viktige, men foreløpig ikke prioritert. Det er vedtatt at Norge skal få et nasjonalt ID-kort, og det jobbes med implementering av dette. Skal det nasjonale ID-kortet få en eid, er det behov for standarder som regulerer grensesnitt mot dette kortet. Selve arbeidet med sikkerheten i kortet anser vi ivaretatt gjennom prosjektet. Den delen er derfor avvist i Standardiseringsrådssammenheng, selv om det er viktig at felleskomponenten baserer seg på åpne standarder. Når det gjelder grensesnitt mot utstyr og programvare for at den nasjonale eid-en skal kunne tas i bruk, ser vi behov for en bred involvering og er opptatt av at det nasjonale eid prosjektet er i dialog med Standardiseringsrådet. Denne delen av forslaget er viktig, men må avvente at prosjektet kommer dit i prosessen. Det er kommet inn et forslag på identitetshåndtering. Dette er et viktig område, men et bredt område. Her ønsker vi en diskusjon i rådet, for å se om det er behov for et forprosjekt på området eller om det er klarhet i spesifikke ting innen identitetshåndtering som bør prioriteres. Foreløpig er dette område nedprioritert i denne omgang.

11 Arbeidet med ulike former for signering er håndtert i forbindelse med ID-porten. Vi utfordrer rådet på om tilbudet gjennom ID-porten dekker det standardiseringsbehovet de har følt på området, eller om de har ytterligere behov. Sikkerhet i nettleserbaserte tjenester kom inn i forbindelse med forprosjektet på området. Vi anser at dette er håndtert gjennom det tilbudet ID-porten gir i dag, inklusive den planlagte signeringsfunksjonaliteten, samt kravene som er satt til styringssystem for informasjonssikkerhet og veilederen for risikovurdering. Det anses at behovet er håndtert i dagens eksisterende og planlagte fellesløsninger og standarder og at vi derfor kan avvise forslaget. Det siste forslaget som går på når offentlige virksomheter skal benytte kanalkryptering og meldingskryptering, så anser vi forslaget til å ligge på et nivå der vi ikke ønsker å styre virksomhetene per dato. Vi avfeier derimot ikke at deler av dette kan komme i en mer overordnet arkitektur på et senere tidspunkt. Forslaget avvises Pågående arbeid Samfunnsøkonomisk analyse for å vurdere om StartTLS for transportsikring av e-post bør gjøres obligatorisk. Veileder for internkontroll/ styring av informasjonssikkerhet denne anbefalingen er oppdatert til gjeldende versjoner av standardene ISO27001:2013 og ISO27001:2013. Tidligere versjoner var fra Prioriterte forslag: Veileder for sikring av nettverk (å ivareta sikkerhet) ved overgang til dual stack IPv4 og IPv6 med forbehold for utfallet av pågående høringsrunde. Dersom dette endres fra anbefalt til obligatorisk, mener vi det bør utredes behov for veiledning på sikkerhetsproblematikk knyttet til dual stack IPv4/IPv Kandidater for opprykk: Sikker versjon av FTP vi ser at det kan være ønskelig å oppdatere gjeldende anbefaling, men det må vurderes i forhold til ressurser og andre prioriteringer for Nedprioriterte forslag: Meldingskryptering. Utredning av standarder knyttet til løsninger for meldingskryptering. Utredning anbefales å ta utgangspunkt i rapport: Løsningskonsept for meldingskryptering - Difinotat 2011:2 samt forprosjektrapport Standardisering av krypto i offentlig sektor. (Må ses i sammenheng med utredning knyttet til felles meldingsstandard i offentlig sektor.) Standarder for valg av signerings- og krypteringsalgoritmer, som skal sikre at ulike sikkerhetsløsninger har støtte for felles algoritmer og nøkkellengder. Veileder for oppsett av utstyr iht. valg av signerings- og krypteringsalgoritmer, som skal gjøre det enkelt å sette opp/ konfigurere nye sikkerhetsløsninger. Standard for borgerkort må sees i sammenheng med pågående prosjekt for å vurdere eid på nasjonal ID-kort, fokus på anvendelse av kortet Identitetshåndtering trenger forprosjekt eller spesifisering

12 4.3.5 Avviste forslag PDF-signering. Fokus på standarder som kan gi støtte for langtidsvalidering. PAdES standardene er spesielt aktuelle XML-signering og kryptering. Hovedvekt på XAdES standarder og på standarder med støtte for langtidsvalidering for signering, samt standarder for kryptering av skjema/skjemafelter på web. Fokus også på løsninger for system-system kommunikasjon og signering (spesielt ebxml og helsevesenets løsninger) Sikkerhet i nettleserbaserte tjenester forprosjektrapport standarder for nettleserbaserte tjenester Standard for borgerkort må sees i sammenheng med pågående prosjekt for å vurdere eid på nasjonal ID-kort, fokus på selve kortet Standarder for når offentlige virksomheter skal benytte kanalkryptering og når de skal benytte meldingskryptering 4.4 Universell utforming Difi har etablert et tilsyn for universell utforming. Dette er dette miljøet som utreder krav for universell utforming i Difi. På automatområdet gjennomfører tilsynet et arbeid for å gjennomgå standardsettet i uu-forskriften. Human Factors Solutions AS (HFS) har fått oppdraget og skal levere sluttrapport i uke 49. Målet er i første omgang å få erstattet standarder som er utgått og også prøve å få til en forenkling, gjerne ved at færre standarder stiller de samme kravene som i dagens standardsett. NS Fysisk utforming og brukerdialog for automater skal inngå som en del av denne evalueringen (det er ikke gitt at denne standarden vil bli en del av forskriften, men den skal bli vurdert). Automatstandardene er foreløpig ikke tatt inn i referansekatalogen men bør vel vurderes som IT-standarder og inkluderes. Dette er derfor tatt inn her i prioriteringsnotatet og ikke i revisjonsnotatet. Det har ikke kommet en ny versjon av standarden for nettløsninger (WCAG 2.0), men W3C har jobbet videre med bruken av standarden: Hvordan WCAG 2.0 og andre standarder fra W3C kan brukes i mobile flater: WCAG-arbeidsgruppen i W3C har fått et nytt mandat til å utarbeide utvidelser til WCAG 2.0. Disse utvidelsene vil være separate dokumenter man kan velge å følge, og endrer ikke status for WCAG 2.0-hoveddokumentet. Tilsynet følger med på denne utviklingen, men har ikke tatt stilling til hvordan vi skal forholde oss til eventuelle endringer og nye dokumenter. Authoring Tools Accessibility Guidelines (ATAG) 2.0 ble vedtatt som ferdig standard/anbefaling fra W3C den 24. september 2015, Utredningen som ble gjennomført i regi av standardiseringsrådet anbefalte å gå videre med denne tidligere fordi den vil ha effekt på universell utforming av sidene som blir laget. Tilsynet avventer videre vurdering av ATAG. Tilsynet har heller ikke gjort en nærmere vurdering av WAI-ARIA. I dag er WCAG 2.0-kravene tilstrekkelig og bruk av WAI-ARIA er en av flere mulige måter å oppfylle kravene.

13 Det har kommet en ny standard for krav til tilgjengelighet i offentlige anskaffelser (NS-EN :2015 Tilgjengelighetskrav som er relevante for offentlig anskaffelse av IKT-produkter og - tjenester i Europa, 2). Tilsynet har ikke vurdert standarden enda. KMD har et arbeid for å se på en eventuell utvidelse av uu-forskriftens virkeområde utdanningssektoren. Dette kan medføre nye behov, og må vurderes i etterkant av KMD sitt arbeid. Når det gjelder standardene på områdene Daisy og teksting av video, anser tilsynet dette som utenfor uu-forskriften og tilsynets virkeområde i dag. Disse forslagene er derfor flyttet opp til under Standardiseringssekretariatet. For NS Hvordan merke elektroniske dokumenter og NS Prosessen for brukermedvirkning har tilsynet ikke gjort en vurdering om standardene bør inn forskriftene, men er åpne for at standardene blir anbefalt i referansekatalogen. Uu-forskriften inneholder fortsatt formuleringer som gjør at obligatoriske krav i Forskrift om IT-standarder i forvaltningen vil kunne overstyre kravene i uu-forskriften for offentlig sektor Pågående arbeid Revisjon av automatstandardene og en eventuell inkludering av NS Fysisk utforming og brukerdialog for automater Prioriterte forslag: NS-EN :2015 Tilgjengelighetskrav som er relevante for offentlig anskaffelse av IKTprodukter og -tjenester i Europa Kandidater for opprykk: NS Fysisk utforming og brukerdialog for automater NS Hvordan merke elektroniske dokumenter Nedprioriterte forslag: ATAG standard for universell utforming i publiseringsverktøy NS Prosessen for brukermedvirkning Avviste forslag Standarder for teksting av video. (overført til Standardiseringssekretariatet) Elektroniske bøker for blinde/ lydbøker (Daisy) (Overført til Standardiseringssekretariatet) 4.5 E-handel I Difi har vi en egen seksjon som jobber med veiledning og utbredelse av den elektroniske handelsprosessen. Det er de som utreder og vurderer behovet for standarder på området. De utreder for tiden ingen nye områder, men deltar aktivt inn i utviklingsarbeidet i CEN med standarder for den elektroniske handelsprosessen. Den neste standarden som kan bli aktuell å peke på er trolig produktkatalog i forkant av en rammeavtaleinngåelse. Men det startes ingen utredning av dette i løpet av Pakkseddel er også et området som kan bli aktuelt i nær fremtid.

14 Når det gjelder einkasso, så bør det avvente det internasjonale arbeidet Nedprioriterte forslag: einkasso