Revisjonsnotat høsten 2015

Transkript

1 Revisjonsnotat høsten Innledning Difi har ansvaret for å vedlikeholde en liste over anbefalte og obligatoriske IT-standarder for kommunikasjon med og i forvaltningen. En viktig del av forvaltningsprosessen er en årlig vurdering av behovet for å revidere listens anbefalinger og krav. Dette notatet er revisjonsgjennomgangen for høsten Gjennomgangen tar for seg alle bruksområdene i referansekatalog for IT-standarder og vurderer behovet for revisjon for hvert enkelt av dem. 1.1 Bakgrunn Referansekatalog for IT-standarder i offentlig sektor er en liste over anbefalte og obligatoriske ITstandarder til bruk i kommunikasjon med og i offentlig sektor. Den inneholder krav til bruk av tekniske, semantiske og organisatoriske IT-standarder. Referansekatalogen samler obligatoriske krav om bruk av IT-standarder fra Forskrift om ITstandarder i offentlig sektor og andre forskrifter som setter tverrsektorielle krav til bruk av ITstandarder. I tillegg inneholder den anbefalinger om bruk av IT-standarder i offentlig sektor. De obligatoriske kravene må offentlige virksomheter benytte med mindre de kommer inn under en unntaksordning. De anbefalte kravene må benyttes med mindre man har en god grunn til å la være. Referansekatalogen er etablert for å sikre god samhandling i offentlig sektor, hindre bindinger til enkelt-leverandører og teknologier, sikre tilgang til offentlig informasjon og tjenester uavhengig av programvare og programvareplattform og for å bidra til god konkurranse i IT-markedet. De obligatoriske kravene er vedtatt i forskrifts form av regjeringen, mens de anbefalte kravene er vedtatt av Difi. Det som blir besluttet har vært gjennom en behandling i Standardiseringsrådet. Det er ofte lurt å se anbefalinger og obligatoriske krav i sammenheng når man skal anskaffe eller utvikle nye løsninger eller anvende IT-løsninger i offentlig sektor. Difi anbefaler derfor å benytte referansekatalogen som kilde. Difi er ansvarlig fagorgan som skal ta frem et tilstrekkelig beslutningsunderlag, forankre underlaget i Standardiseringsrådet og gjennomføre en åpen høring av forslagene til anbefalte og obligatoriske ITstandarder før de eventuelt blir vedtatt. Standardiseringsrådet er et bredt sammensatt råd, bestående av medlemmer fra ulike offentlige virksomheter, som gir råd til Difi om behov for justeringer i forskrift eller referansekatalog. Justeringene kan være forslag om nytt innhold eller justering av eksisterende innhold. Alle utredninger Difi eller andre gjør på standardiseringsområdet behandles i rådet for å sikre faglig kvalitet, forankring av vurderingene, validering av standardenes relevans i forhold til offentlige virksomheters behov og kvalitetssikring av administrative og økonomiske konsekvenser. Et godt fungerende Standardiseringsråd er en forutsetning for at Difi skal kunne ivareta sitt fagansvar på standardiseringsområdet.

2 Forslag om å revidere standarder innen et bruksområde kan komme fra hvem som helst via forslagsskjema på standard.difi.no. I tillegg vurderer Difi årlig behovet for å revidere eksisterende anbefalinger og krav i referansekatalogen. I revisjonsgjennomgangen vurderes følgende: Har det kommet nye versjoner av standardene som bør vurderes? Har det kommet nye standarder på bruksområdene som bør vurderes? Har det kommet ny teknologi på områdene som fører til behov for alternative standarder? Er det endrede behov i offentlige virksomheter som får følger for gjeldende anbefalinger? Mindre endringer av anbefalinger som gir små konsekvenser, kan besluttes som en del av revisjonsgjennomgangen. Mindre endringer av obligatoriske krav, må gjennom en konsekvensanalyse som grunnlag for forskriftsendringen. Analysen vil derimot ikke bli omfangsrik, hvis følgen av endringene er små. Er endringsbehovet mer uoversiktlig, av stor betydning og vil kunne medføre store konsekvenser kreves en egen revisjonsutredning på området, med tilhørende samfunnsøkonomisk analyse for obligatoriske krav. Viktige revisjoner vil alltid gå foran prioriterte områder. Mindre viktige revisjoner vil vurderes opp mot behovet for å utrede nye områder. 2 Behov for revisjon av standarder og bruksområder 2.1 Arkiv-standarder Alle standardene under bruksområdet er lovhjemlet gjennom arkivloven med forskrifter, og ligger under Arkivverkets ansvarsområde. Det er identifisert behov for revisjon på området. Arkivverket har startet en revisjonsgjennomgang, der deler av behovet blir håndtert. Arkivverkets arbeid omfatter bl.a. utarbeidelse av regler som bidrar til enklere og mer effektive prosesser knyttet til kassasjon og bevaring i statlig og kommunal sektor. Progresjonen i revisjonsarbeidet vil i stor grad bli styrt av framdriften i prosjekter som understøtter digitalisering i forvaltningen. Forslagene om synkron avlevering og earkiv, og hvordan og i hvilken grad disse elementene realiseres som egne felleskomponenter, vil her kunne være avgjørende for revisjonsprosessen. Det er behov for revisjon. Ansvaret for revisjonsarbeidet ligger hos Arkivverket og deler av revisjonsbehovet er under behandling. 2.2 Begrepsanalyse og definisjonsarbeid Standarden for begrepsdefinisjon er forholdsvis ny, og erfaringene med den nyutviklede standarden gir grunnlag for videreutvikling. Difi har fått tilbakemelding fra flere av brukerne om forbedringer som bør komme. Dette er et område hvor det internasjonalt skjer mye, og det bør også gjøres en nærmere utsjekk av hva som skjer internasjonalt. Det er behov for å revidere bruksområdet.

3 2.3 Beskrivelse av datasett og datakataloger Standarden DCAT AP NO ble anbefalt standard for beskrivelse av datasett og datakataloger sommeren 2015, i visshet om at EU var i ferd med å revidere den Europeiske profilen, DCAT AP. Den norske profilen, DCAT AP NO, må revideres i lys av de endringer som gjøres i DCAT AP. Difi har deltatt i det europeiske revisjonsarbeidet for å ivareta de spesifikke behov vi har adressert i den norske profilen. Difi har selv tatt i bruk standarden for å høste erfaringer. Revisjon på området må starte etter EU s revisjonsarbeid er avsluttet og ta hensyn til de erfaringene som er gjort i bruken av standarden. Det er behov for å revidere bruksområdet. Arbeidet må avvente EU sin revisjon av DCAT AP. 2.4 Bruk av PKI med og i offentlig sektor Siste versjon av kravspesifikasjon for PKI i offentlig sektor, v 2.0 fra 2010, ble tatt inn i referansekatalogens v 3.0. Det har ikke kommet nye versjoner etter denne. I henhold til forvaltningsregimet for kravspesifikasjonen skulle den nå ha gjennomgått en ny revisjon. Forordning for ny eid i Europa ble vedtatt i juli Den slår fast at det skal fastsettes et europeisk interoperabilitetsrammeverk med tre tillitsnivåer. Fristen for dette rammeverket er september Difi deltar i arbeidet med utforming av rammeverket, og revisjon av det norske rammeverket vil benytte resultatene av det europeiske arbeidet. På bakgrunn av dette avventer Difi revisjon av kravspesifikasjon for PKI i offentlig sektor. Det er behov for å revidere bruksområdet, men dette må avvente fremdriften i EU arbeidet. Prosessen er nå fullført på EU-nivå. Det gjenstår imidlertid arbeid for å implementere EUregelverket i norsk regelverk. Det kan bli aktuelt å revidere/revurdere PKI-kravspesifikasjonen i 2016, men det avhenger av fremdriften på den lokale lovreguleringen av området. 2.5 Ebøker Referansekatalogen peker i dag på EPUB 3. Denne standarden har nå gjennomgått mindre justeringer og foreligger i en EPUB 3.01 versjon. Justeringene inkluderer noen nye elementer og mindre endringer av dagens elementer. Verktøystøtten for å lese EPUB blir stadig bedre og inngår i standardutstyr som mobiltelefoner og nettbrett. På PC må derimot slik programvare lastes ned, men her egner også HTML seg godt. Noen leseverktøy som Kindle støtter ikke EPUB. Verktøy støtten for å lage EPUB format er også stadig bedre, men fortsatt begrenset i standard programvare. Vi regner med at det tar litt tid før nye versjon av standarden kommer ut i den programvaren som er aktiv i bruk, og mener derfor at en revisjon av EPUB 3 kan avvente hvert fall til neste revisjonsvurdering. Det er foreløpig ikke behov for revisjon på dette bruksområdet. 2.6 Standarder for e-handel Det pekes på tre ulike EHF-standarder i dagens liste over anbefalte og obligatoriske IT-standarder i offentlig sektor. Disse standardene baserer seg på CEN workshop agreements (CWA) fra CEN. Det foregår nå et arbeid i CEN med å bearbeide CWA-ene og gjøre dem til offisielle CEN standarder. Difi deltar aktivt i arbeidet med de nye standardene og vil ta dagens standarder opp til revisjon etter

4 hvert som de nye oppdaterte CEN standardene kommer på plass. Per dags dato er det ikke behov for revisjon av standardene. Det foreligger ikke behov for revisjon av EHF standarden i denne omgang. 2.7 Grunnleggende datakommunikasjon Kravene til grunnleggende datakommunikasjon var de eneste som ble videreført når NOSIP ble avviklet. Det er fremhevet i Standardiseringsrådet at kravene i NOSIP var mangelfulle, og at de med fordel kunne vært gjenstand for en gjennomgang. I tillegg ble det diskutert at FTP ikke kan benyttes uten ytterligere sikkerhetstiltak og at man burde være forsiktig med å peke på den som standard alene. Siden den gang har nå http/2 blitt utviklet og er snart klar for å ta over etter http/1.1. http/2 ble vedtatt i mai 2015 og er støttet i følgende nettlesere: Chrome, Opera, Firefox, Internet Explorer 11, Safari, Amazon Silk og Edge. Det vil allikevel ta noen år før denne standarden er støttet ute hos alle brukere. Dual stack IPv4 og IPv6 har blitt fremmet som en obligatorisk standard, og på sikkerhetssiden vil vi etter hvert prioritere opp en sikker versjon av FTP. Når det gjelder TCP og UDP så har de gjennomgått mindre justeringer, men det har kommet en rekke utvidelser i årenes løp som er viktig å vurdere. Bruksområdet er modent for vurdering, men det vil foreløpig ikke bli prioritert, fordi andre nye områder anses som viktigere, med unntak av den planlagte vurderingen av sikre FTP varianter. 2.8 Innbyggerskjema på offentlige nettsider Referansekatalogen peker på Elmer 2.1 for både innbygger og næringslivsskjema. I ettertid har Brønnøysundregistrene utviklet Elmer 3. Denne versjonen er foreslått likestilt med Elmer 2.1 i en overgangsperiode, med tanke å gjøre Elmer 3.0 til fast standard over tid. Det er ikke behov for revisjon av innbyggerskjema på offentlige. 2.9 Næringslivsskjema på offentlige nettsider Tilsvarende innbyggerskjema. Det er ikke behov for revisjon Internkontroll/ styringssystem for informasjonssikkerhet Referansekatalogen peker på kravet i eforvaltningsforskriften om å ha et styringssystem for informasjonssikkerhet ihht. beste praksis. I tillegg peker den ut standarden ISO/ IEC 27001:2013 som beste praksis på området. Standarden ble revidert i 2013 og Standardiseringsrådet anbefalte Difi å innføre den nye versjonen nesten umiddelbart. Siden da har det ikke kommet ny versjon av standarden. Det har heller ikke kommet andre standarder som er mer aktuelle å peke på eller andre behov som endrer dagens anbefaling. Det er allikevel kommet frem behov for revisjon på området i forhold til hvordan anbefalingen er utformet og på grunn av nye forlag til prioriteringer.

5 Standard Norge har døpt om standardene for styringssystem til standarder for ledelsessystem. Standardiseringssekretariatet anbefaler derfor å døpe om området til å hete internkontroll/ styringssystem/ ledelsessystem for informasjonssikkerhet Anbefalingen i referansekatalogen sier blant annet følgende: «Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013.» Vi har fått tilbakemelding om at strukturen i vedlegg A ikke fungerer så godt som antatt. Difi ønsker derfor å se nærmere på om det fortsatt er nyttig å henvise til vedlegget av andre årsaker eller om det er hensiktsmessig å ikke vise til vedlegget i det hele tatt. Det anbefales at Difi får klarsignal til å gjøre denne justeringen uten nærmere behandling i Standardiseringsrådet. Den endelige teksten vil utformes som en del av det arbeidet Difi nå gjør med veiledning på området. Difi har fått et forslag om å gjøre ISO/ IEC til en anbefalt standard. ISO/ IEC viser til hvordan risikostyring skal gjøres på overordnet nivå og ISO/ IEC går litt videre i konkretiseringen av dette. Det å peke på ISO/ IEC vil derfor i stor grad være en justering av denne anbefalingen og ikke et nytt område. ISO/ IEC har i 2013 versjonen gått bort i fra å peke på ISO/ IEC alene, men henviser til at den eller andre tilsvarende metoder som fungerer kan benyttes. Sekretariatet mener derfor at den kan være en god ide og ikke nødvendigvis låse seg fast til ISO/ IEC alene. Standardiseringssekretariatet vurderer det også slik at ISO/ IEC egner seg best for de som skal lage en oppskrift for hvordan man skal gjennomføre risikovurderinger. Vi mener at offentlig sektor har behov for en oppskrift og ikke en veileder for de som skal lage oppskrifter. Standardiseringssekretariatet mener referansekatalogen derfor bør peke på en oppskrift for å opprette et styringssystem og gjennomføre risikovurderinger. I 2011/ 2012 når Standardiseringsrådet diskuterte standarder for styring av informasjonssikkerhet, ble det også diskutert standarder for risikovurdering. Den gangen ble det anbefalt at vi skulle legge til grunn en av Difi sine veiledere knyttet til rammeverket for autentisering og uavviselighet. Standardiseringsrådet ønsket at Difi skulle komme tilbake når de hadde bearbeidet veilederen og gjort den mer generell. Difi har nå laget en ny veileder, som baserer seg på ISO/ IEC For risikohåndteringsbiten baserer man seg spesielt på ISO og ISO/ IEC Samtidig som man overordnet baserer seg på disse standardene ligner metoden for risikovurdering på tidligere metoder fra Datatilsynet og Difi. Den nye metoden er noe mer videreutviklet og mer konkret. Difi har en veilederfunksjon på området og jobber tett ut mot offentlige virksomheter. Standardiseringssekretariatet anbefaler at denne veiledere anbefales av Standardiseringsrådet uten en versjonshåndtering. Dette fordi Difi stadig oppdaterer veiledningsmateriellet i dialog med offentlige virksomheter. Det er behov for revisjon på området. Det anbefales at Standardiseringsrådet beslutter følgende: - Navnet på området harmoniseres med de endringer Standard Norge har vedtatt

6 - Henvisningen til strukturen i vedlegg A vurderes av Difi og justeres uten nærmere behandling - Det anbefales å basere seg på Difi sin veileder for etablering av styringssystem for informasjonssikkerhet og gjennomføring av risikovurderinger 2.11 Publisering av multimediainnhold Multimediainnhold er delt opp i fire underkategorier og vi har vurdert hver kategori for seg Skalerbar grafikk Det finnes alternativer til SVG, men vi anser fortsatt denne standarden for å være best egnet for virkelig skalerbar grafikk. Utfordringen til standarden er blant annet begrenset støtte i Internett Explorer 8, noe som holder tilbake bruken av standarden på Internett. Ellers ser vi at standarden også er en del av andre standarder slik som EPUB. Det er vanskelig å vite om SVG er en standard som vil ta av og bli stor eller ikke. Men den gradvis økende støtten i nettlesere tyder på dette. Dagens anbefaling med parallell-publisering er delvis upraktisk for praktisk bruk. Ofte er grafikken man ønsker å legge ut med SVG logoer og lignende, som er uinteressant å parallell-publisere. Det bør kanskje vurderes å sidestille standardene. Med unntak av det ser vi ikke noe behov for revisjon på området. Det er ikke behov for revisjon på området. Vi anbefaler at dagens anbefaling justeres til å sidestille standardene ved publisering som ikke egner seg for parallell-publisering Bildeformater Det har ikke kommet noen nye standarder på området, som utfordrer de standardene det pekes på i dag. JPEG 2000 har vært diskutert tidligere. Denne standarden har foreløpig ikke tatt av, delvis fordi standarden ikke er helt åpen. JPEG er heller ikke lisensfri lengre og har svakheter som dårlig komprimering og liten fargedybde. Den har heller ikke fargesystemet CMYK. Standarden er derimot meget godt innarbeidet og vanskelig å utfordre. Microsoft har forsøkt seg på en lisensfri JPEG XR, som har blitt implementert hos dem uten suksess. Google forsøker seg nå med WebP, men de også har vanskeligheter med å utfordre JPEG. WebP skal senke bildestørrelsen på nett med 40% og bidra til betraktelig raskere surfing. Det anses derimot for noe tidlig å anbefale WebP. Tabellen under viser støtten av WebP i ulike browsere og den er foreløpig for lav til å kunne likestilles med JPEG. Det er ikke behov for revisjon på området.

7 Figur 1 Oversikt over nettleser-støtte for WebP, hentet fra caniuse.com Standarder for Lyd Det er ikke dukket opp noen nye versjoner av standarder eller noen nye standarder som utfordrer dagens anbefaling på lyd-området. Det er ikke behov for revisjon på området Standarder for video Våren 2013 ble det gjennomført en større revisjon av multimediaformater. Det var den gang nye video formater under utvikling, H265 og VP9, for publisering av multimediainnhold. De var derimot for umodne. Nå har det gått to år og standardene er ferdige og i bruk. Første versjon av H.265 ble ferdig rett etter vår revisjon våren 2013, og har senere kommet i andre del-versjon med en rekke utvidelser. VP9 har tatt over etter VP8 og tilbyr veldig god kvalitet blant annet på mobiltelefoner med visse begrensninger. I høringen fikk Difi tilbakemelding om at man burde ta opp igjen vurderingen av formatene H.265 og VP9. Dette blir særs viktig når HTML5 blir ferdigstilt, da disse formatene er støttet av videotaggen i HTML5. I vår revisjonsvurdering i 2014 ble støtten for disse standardene i løsninger for innholdsproduksjon og visning fortsatt vurdert som for liten til at det burde gjennomføres noen revisjon. Etter vår vurdering bør offentlige nettsider være tilgjengelig på nettlesere i hvert fall tilbake til Da snakker vi om versjoner som Internet Explorer 8, Chrome 2 3, Safari 4, Opera 10, SeaMonkey 2, Camino 2, Firefox 3.5 og surf. VP-9 er allerede implementert i Chrome, Androide fra Kitkat 4 og Microsoft sin Edge browser på Windows 10 skal visstnok få støtte for VP9. Youtube har også støtte for VP9. Når det gjelder H.265 er den foreløpig støttet i en del spesialprogramvare. Microsoft har også meldt at H.265 skal støttes i Windows 10. Det er ingen generell nettleserstøtte for H.265. Vi mener at begge disse har for dårlig støtte i nettlesere til at det er nødvendig å gå videre med utredninger på området, og det er støtten i sluttbrukerløsninger som er viktigst i denne sammenheng.

8 Når det gjelder Theora ser vi at standarden har begrenset bruk og forventer egentlig at VP9 vil ta over på sikt. Per dato har derimot Ogg Theora like god støtte i nettlesere, som WebM VP8/VP9. Se tabellen under: Browser MP4 WebM Ogg Internet Explorer YES NO NO Chrome YES YES YES Firefox YES YES YES Safari YES NO NO Opera YES (from Opera YES YES 25) Ser vi på produksjonsutstyr har vi vært i kontakt med NRK og med en leverandør i markedet, som kan fortelle at det fortsatt er et stykke igjen før disse standardene blir utbredt i profesjonelt produksjonsutstyr for store volum. H.265 og VP9 er betraktelig mer effektive enn dagens videoformat og vil bli viktige for HD-video på PC-er, brett og telefoner i årene som kommer. Foreløpig kan det se ut til at VP9 har mest støtte i nettlesere, mens H.265 har mest støtte i spesialprogramvare. Gjennom søk på mer eller mindre seriøse kilder på Internett, får man inntrykk av at H.264 bør være fokus for produksjon og publisering av video per dato. På video-området er det foreløpig ikke behov for å revidere standardene. Må avvente større utbredelse i markedet. Publisering av nettleserbaserte tjenester Dette området har akkurat vært på høring, for å bli vedtatt som en obligatorisk standard. Det er ikke behov for å revidere standarder på dette området. Per dato er det foreslått å benytte HTML 5, men det er fortsatt behov for å kreve testing mot eldre nettlesere for å sikre støtte bakover i tid. HTML 5 mangler støtte i en del eldre nettlesere som fortsatt benyttes i en viss utstrekning.

9 Når det gjelder CSS har vi pekt på versjon 2.1 eller 3. Det er fortsatt behov for å be om betydelig testing mot eldre nettlesere ved bruk av versjon 3. Versjon 2.0 står fortsatt under utfasing, og vi ser ingen grunn til å kreve omlegging av eksisterende løsninger som benytter CSS 2.0. Det er ikke behov for revisjon av området 2.12 Publisering av tekstdokumenter og utveksling av tekstdokumenter som e-postvedlegg. Når det gjelder bruk av HTML og CSS gjelder de samme vurderingene som på publisering av nettleserbaserte tjenester. Når det gjelder bruk av PDF ved utveksling av ferdigstilte dokumenter hvor man ikke må ta vare på formatteringen har det vært vurdert å peke på HTML versjonen som er definert i RFC 2557 (mhtml) eller EPUB. Foreløpig mener vi derimot at PDF bør fortsette som format på området. Det er utfordringer med verktøystøtten for begge de andre formatene. Det er ikke behov for revisjon på området Sikker elektronisk kommunikasjon i helsesektoren Standarden ble tatt inn i Referansekatalogen med tanke på at den kom til å bli en tversektoriell standard over tid. Dette har ikke skjedd. Det foreslås derfor at bruksområdet fjernes fra Referansekatalogen. Kravet om bruk av standarden i helsesektoren er ivaretatt i den sektorspesifikke referansekatalogen. Difi vil lenke til sektorspesifikke referansekataloger i den nye Standardiseringsportalen som snart kommer ut. I den grad kravet skal forbli i katalogen må det oppdateres og rettes til dagens gjeldende versjon. Per dags dato pekes det på en gammel versjon av standarden. Det er behov for revisjon på området. Bruksområdet fjernes fra den tverrsektorielle katalogen, og ivaretas i den sektorspesifikke katalogen for helse Sikre kommunikasjonskanaler På dette området har det skjedd endringer standarden ISO/IEC :2006 for planlegging og valg av protokoll for sikring av kommunikasjonskanaler, er blitt revidert og erstattet med ISO/IEC :2013. Når det gjelder de andre standardene ser de ut til å være stabile og fortsatt relevante på sine områder. Det er behov for revisjon på dette bruksområdet Standardavtaler i offentlig sektor Statens standardavtaler har akkurat vært gjennom et omfattende revisjonsløp og de nye versjonene er lagt inn i Referansekatalogen.

10 Det er ikke behov for revisjon på dette bruksområdet Tegnsett ved utveksling av informasjon og internt i fagsystemer Det har ikke kommet noen nye versjoner eller standarder på området, det har heller ikke kommet ny teknologi eller nye behov som tilsier at kravene på området må revideres. Når dagens krav ble vedtatt i regjeringen, ble det det signalisert at avgrensningen i antall tegn som skulle støttes i utveksling av informasjon var midlertidig. Difi er i ferd med å gjennomføre en utredning som omhandler representasjon av navn og håndtering av tegn. De utredningene som gjennomføres i den sammenheng vil dekke dette behovet. Det er ikke behov for revisjon utover de utredningene som er planlagt i forbindelse med representasjon av navn og håndtering av tegn Tilgjengelighet på nettsider Det har ikke kommet noen nye versjon av WCAG eller andre standarder på bruksområdet som utfordrer WCAG. Det har heller ikke kommet ny teknologi eller nye behov som tilsier at kravene på området må revideres. Det har derimot kommet noen andre utfyllende standarder man kan peke på. Disse er håndtert i prioriteringsnotatet. Det er ikke behov for revisjon på dette bruksområdet Videokonferanser Det har ikke kommet noen nye versjoner eller standarder på området, det har heller ikke kommet ny teknologi eller nye behov som tilsier at kravene på området må revideres. Det er ikke behov for revisjon på dette bruksområdet. 3 Konklusjon revisjonsbehov Difi har gjort en vurdering av de krav som ligger i dagens referansekatalog og funnet behov for følgende revisjoner: 1. Standarder for arkivering: Dette er en oppgave Arkivverket har tatt tak i og er i ferd med å revidere deler av det revisjonsbehovet som er identifisert. 2. Standarder innen PKI-området: Dette må derimot avvente implementering av det nye EU regelverket i norsk lov. 3. Bruksområdet grunnleggende datakommunikasjon: Nye områder. Det er behov for en full gjennomgang, men de kravene som ligger der er allikevel ikke feil og vi prioriterer derfor nye områder fremfor en slik gjennomgang nå. 4. Internkontroll/styring av informasjonssikkerhet. Det anbefales at Standardiseringsrådet beslutter følgende: Navnet på området harmoniseres med de endringer Standard Norge har vedtatt

11 Henvisningen til strukturen i vedlegg A vurderes av Difi og justeres uten nærmere behandling Det anbefales å basere seg på Difi sin veileder for etablering av styringssystem for informasjonssikkerhet og gjennomføring av risikovurderinger 5. Skalerbargrafikk: Det foreslås å likestille kravet til SVG og PNG for skalerbargrafikk, der parallell-publisering er upraktisk. 6. Det foreslås å kutte bruksområdet sikker kommunikasjon i helsesektoren. 7. Sikre kommunikasjonskanaler det foreslås egen utredning på hva endringene består i, før en ny versjon vedtas. Det er det behov for å revidere området, fordi ISO/IEC :2006 for planlegging og valg av protokoll for sikring av kommunikasjonskanaler, er blitt revidert og erstattet med ISO/IEC :2013.