ANBEFALING TIL GOD IT-SKIKK (NR. 1) IT-DOKUMENTASJON

Like dokumenter
Retningslinjer for akseptansetest

Retningslinjer for akseptansetest

Overordnet IT beredskapsplan

Egenevalueringsskjema

Evalueringsskjema. Foretakets nettbankvirksomhet. Foretakets navn : Dato: Underskrift : Dato: Versjon: 1.0

3.1 Prosedyremal. Omfang

Foretakets navn : Dato: Underskrift :

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

Revisjon av informasjonssikkerhet

1. Innføring av system

KONKURRANSEGRUNNLAG. Bilag 1 Kravspesifikasjon

Internkontroll og informasjonssikkerhet lover og standarder

Beskrivelse av informasjonssystemet

NTNU Retningslinje for operativ sikkerhet

autentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU

Statens standardavtaler Avtaler og veiledninger om IT-anskaffelser

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Bilag 6 Vedlegg 3 Definisjoner

Revisjon av IT-sikkerhetshåndboka

Internkontroll i praksis (styringssystem/isms)

3B - SSA-D Bilag 1 Kundens kravspesifikasjon. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon

Egenevalueringsskjema

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

SSA-V Bilag 1. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon

Krav til utkontraktering av drift 1 1. Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

2B - SSA-V Bilag 1 Kundens kravspesifikasjon. Vedlikeholdsavtalen (SSA-V) Bilag 1: Kundens kravspesifikasjon

HØRINGSUTKAST. Minimumskriterier for tilknytning til helsenettet

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Evaluering av It-systemer i et forvaltningsperspektiv. Drift, vedlikehold og videreutvikling av IT-systemet

Orden i eget hus, dokumentasjonsplikter og dokumentasjonsstrategi er vi allerede på vei? Kjetil Korslien, Hege Tafjord Difi 15.

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Kravspesifikasjon for

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Personvern - sjekkliste for databehandleravtale

25B. Bruk av informasjons- og kommunikasjonsteknologi (IKT)

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Norsox. Dokumentets to deler

Hva er et styringssystem?

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Intern arbeidsfordeling i helse vest IKT. ITIL beste praksis i IKT forvaltning John Kåre Knudsen, gruppeleder kliniske systemer

Public 360 Online Datasikkerhet

Nettverk for virksomhetsstyring. Møte 6. juni 2014

Stilling/navn Seksjonsleder sikkerhet/geir Hovind Fagansvarlig strategisk sikkerhet/christian Jacobsen

Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Grunnleggende datakommunikasjon sikker datakommunikasjon fra offentlige nettsteder

Avtale for kjøp av Elektronisk vedlikeholdssystem for drift renovasjon

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Sikkert nok - Informasjonssikkerhet som strategi

Løsning for utgående EHFfaktura

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Internkontroll i praksis Informasjonssikkerhet: Måling, evaluering og revisjon. Workshop Måling av informasjonssikkerhet

VEDLEGG A UTKAST TIL LEVERANSEBESKRIVELSE

2.13 Sikkerhet ved anskaffelse

Sikkerhetskrav for systemer

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

IT Service Management - ITIL v3. Av Are Sivertsen Sjefskonsulent Atea AS are.sivertsen@atea.no

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Utarbeidelse av kravspesifikasjon for anskaffelse av NOARK system

Seksjon for informasjonssikkerhet

Økonomistyring i virksomheten

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Kommunens Internkontroll

Saksframlegg Referanse

Technical Integration Architecture Teknisk integrasjonsarkitektur

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

Bilag 1 til vedlikeholdsavtalen samt driftsavtalen KRAVSPESIFIKASJON. Administrativt system for skole og SFO

SSA-D Bilag 1. Driftsavtalen (SSA-D) Bilag 1: Kundens kravspesifikasjon

Sikkerhetskrav for systemer

Styring og intern kontroll.

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Databehandleravtaler

IT Service Management

Bilag 6 Vedlegg 9 - Oversikt over dokumentasjon, planer og rapporter

Sikkerhetskrav for systemer

3. Beskrivelse. Oppgave Arbeidsbeskrivelse Ansvar Fremskaffe og utarbeide dokumentasjon

INTERN. DSBs arkitekturprinsipper

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Ansvar og organisering

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

Avito Bridging the gap

Bergen kommunes strategi for informasjonssikkerhet

Risikoanalyse i arkivarbeidet Ta sjansen?

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Standarder for risikostyring av informasjonssikkerhet

Riksrevisjonens erfaringer fra sikkerhetsrevisjoner

Kundens tekniske plattform

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Normens krav og anbefalinger fra kravspek til innføringsprosjekt. 31. oktober 2018

SSA V, Den store vedlikeholdsavtalen

Programområde for IKT-servicefag - Læreplan i felles programfag Vg2

Elektroniske tjenester og ITIL

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Transkript:

ANBEFALING TIL GOD IT-SKIKK (NR. 1) IT-DOKUMENTASJON 1. MARS 2011

DENNE ANBEFALING ER UTGITT AV Information Systems Audit and Control Association NORWAY CHAPTER NORWAY CHAPTER 3.UTGAVE ERSTATTER 2. UTGAVE 1. JUNI 1995 DENNE UTGAVEN BEHANDLER IT-DOKUMENTASJON GENERELT OG HAR ET EKSEMPEL MED DE DOKUMENTENE SOM TRENGS FOR Å ETABLERE GOD SYSTEM-, BRUKER- OG DRIFTSDOKUMENTASJON FOR ET IT-SYSTEM. 2. UTGAVE ERSTATTER UTGAVE 6. JANUAR 1992 OSLO, 1. JUNI 1995 2 ANBEFALING TIL GOD IT-SKIKK (NR 1)

INNHOLD 1 OM DOKUMENTET 4 1.1 Formål 4 1.2 Målgruppen for dokumentet 4 2 GENERELLE KRAV 4 2.1 IT-dokumentasjon og forvaltning 4 2.2 Ansvar for dokumentasjon 5 2.3 Aktuell lovgivning 5 2.4 Aktuelle standarder 6 3 VEILEDNING I SYSTEM-, BRUKER- OG DRIFTSDOKUMENTASJON 6 3.1 Innledning 6 3.2 Systemdokumentasjon 7 3.3 Brukerdokumentasjon 9 3.4 Driftsdokumentasjon 10 IT-dokumentasjon 3

1 Om dokumentet 1.1 Formål Formålet med denne anbefalingen er å bidra til å konkretisere krav til IT-dokumentasjon og forvaltning som norske virksomheter bør oppfylle for å imøtekomme kravene i det rettslige begrepet betryggende kontroll samt de krav som stilles til IT-dokumentasjon i lover, forskrifter, allment aksepterte standarder og beste praksis. Generelle krav til IT-dokumentasjon og forvaltning, med blant annet referanse til lov- og regelkrav og standarder beskrives i kapittel 2. I kapittel 3 følger så en oversikt over hvilke elementer som bør inngå i henholdsvis system-, bruker- og driftsdokumentasjon. God IT-dokumentasjon og tilhørende forvaltning med klart definerte oppgaver, ansvar og internkontroll er en forutsetning for å sikre forsvarlig utvikling, bruk, drift og vedlikehold av virksomhetens informasjonssystemer. 1.2 Målgruppen for dokumentet Beslutningstakere med styringsansvar Personer som beslutter investeringene, som definerer krav til virksomheten og de forretningsenhetene som bruker og/eller har eierskap til IT-systemene. Aktører med utføreransvar IT-linjeledere, prosjektledere, prosessledere, utviklere eller driftspersonell som får i oppgave å lage beskrivelser av hvordan et IT-system er bygd opp og hvordan det skal driftes og brukes. Kontrollfunksjon Personer med ansvar for internkontroll og revisjon som krever at IT-dokumentasjon skal finnes. 2 Generelle krav 2.1 IT-dokumentasjon og forvaltning IT-dokumentasjonen skal dekke alle sider av virksomhetens IT-systemer og IT-infrastruktur. Dette gjelder både IT som håndteres i eget hus, og IT som er tjenesteutsatt. Kravene til innhold og omfang vil derimot variere avhengig av om det er en utkontraktert eller egenprodusert tjeneste, et anskaffet eller egenutviklet IT-system eller en blanding av dette. IT-dokumentasjon må dekke krav som er fastsatt i lover og regler som gjelder for den enkelte virksomhet. God dokumentasjon karakteriseres med følgende trekk: dekker målgruppenes behov for veiledning på ulike områder er lett å finne fram i er lesbar og forståelig er korrekt og oppdatert er tilgjengelig på flere medier IT-dokumentasjonen er ofte mangelfull i mange virksomheter. Dette skyldes vanligvis tidspress i utviklingen, mangelfulle krav ved anskaffelse og innføring eller at det ganske enkelt ikke er avsatt nok ressurser til dokumentasjonsoppgavene. Ikke tilstrekkelig dokumentasjon kan føre til feil, økt behov for opplæring og økt personavhengighet. I tillegg vil manglende eller mangelfull dokumentasjon øke vedlikeholdskostnadene og gjøre det vanskeligere å oppgradere og integrere IT-systemene. Ved anskaffelse av nye IT-systemer eller -tjenester er det kjøper som er ansvarlig for å stille krav i kjøps- og vedlikeholdsavtalene til tilstrekkelig system-, bruker og driftsdokumentasjon og til vedlikehold av denne. Utformingen og språket i dokumentasjonen bør være tilpasset målgruppen og dokumenttypen. Kravene til kvaliteten vil variere avhengig av formålet med dokumentet og konsekvensene av feil eller mangler i dokumentet. Leverandørens dokumentasjon kan benyttes som en del av den samlede dokumentasjonen der det er hensiktsmessig. 4 ANBEFALING TIL GOD IT-SKIKK (NR 1)

Endringshåndtering Det er viktig at IT-dokumentasjonen forvaltes på lik linje med virksomhetens øvrige dokumentasjon, eksempelvis dokumentasjon av produkter og tjenester til markedet. Dette innebærer produksjon, revisjon, publisering og videreutvikling av dokumentasjonen. Forvaltning av dokumentasjonen bør integreres i endringshåndteringsprosessen og underlegges de samme regler for oppdatering og versjonsstyring som IT-systemer og IT-infrastruktur. Endringer i dokumentasjonen skal være sporbare. Hvis virksomheten har tatt i bruk egne hjelpemidler og verktøy for vedlikehold av dokumentasjon av produkter, tjenester og prosesser, bør disse også anvendes for IT-dokumentasjonen. Foretaket bør definere og bemanne en rolle som har ansvar for å følge opp at det er samsvar mellom dokumentasjonen og systemene den beskriver. Tilgjengelighet IT-dokumentasjon kan publiseres og gjøres tilgjengelig i virksomheten på flere måter. Elektroniske oppslagssystemer i tilknytning til det enkelte IT-system, for eksempel gjennom bruk av Intranettet, kan være hensiktsmessig. Det bør også være mulig å generere utskrifter når det er behov for det, men bruk av papir bør begrenses. Tilgjengelighet til IT-dokumentasjon bør sikres på lik linje med annen elektronisk informasjon, for eksempel ved hjelp av en oppdatert papirkopi som er sikret mot brann og annen skade og som er lett tilgjengelig i en avbruddssituasjon. Det er viktig at IT-dokumentasjon inngår som element i virksomhetens IT-driftskontinuitets- og katastrofeplan. Virksomheten bør vurdere om tilgangen til kildekoden skal være sikret i kjøpsavtalen. Tilgang til kildekoden kan være viktig i en situasjon der leverandøren avvikler sin virksomhet. Deleted:. 2.2 Ansvar for dokumentasjon Den operative daglige ledelsen har utføreransvaret for å etablere og ivareta et tilfredsstillende nivå på ITdokumentasjonen. I mange virksomheter vil det være IT-sjef, systemeiere og systemansvarlige som deler på ansvaret, men også IT-sikkerhetssjef og IT-driftsleder vil ha ansvar for dokumentasjon innenfor sine områder. Virksomhetens ledelse har ansvaret for at det foreligger retningslinjer for dokumentasjon av IT-systemer og forvaltning av denne. Dette omfatter også oppfyllelse av regulatoriske krav til IT-dokumentasjon. Dersom hele eller deler av IT-virksomheten er utkontraktert, må ledelsen i virksomheten sikre seg tilstrekkelig ITdokumentasjon gjennom leverandøravtalene og sørge for at dokumentasjonen er i tråd med avtalene. 2.3 Aktuell lovgivning Det er viktig å ha oversikt over aktuell lovgivning som gir føringer for IT-dokumentasjonskravene i virksomheten og for forsvarlig implementering av IT-dokumentasjonsforvaltning. IT-dokumentasjon er omtalt i sentrale lover og forskrifter som omhandler elektronisk informasjonsbehandling. De som forvalter regelverket har ofte utarbeidet veiledninger som også dekker krav til nødvendig dokumentasjon. Tabell 1 presenterer noen eksempler på dette. Regelverk Sikkerhetsloven med forskrifter Beskyttelsesinstruksen Personopplysningsloven med forskrift Helseregisterloven med forskrifter Norm for informasjonssikkerhet i helse-, omsorgs- og sosialsektoren IKT-forskriften (Finanstilsynet) Forskrift om beredskap i kraftforsyningen (Norges Tabell 1. Eksempler på regelverk med krav til IT-dokumentasjon Lenker til lover og veiledninger http://www.lovdata.no/all/nl-19980320-010.html www.nsm.stat.no/regelverk/ http://www.lovdata.no/for/sf/in/xm-19720317-3352.html http://www.lovdata.no/all/hl-20000414-031.html www.datatilsynet.no/templates/temaforside 191.aspx http://www.lovdata.no/all/hl-20010518-024.html http://www.helsedirektoratet.no/vp/multimedia/archive/00296/ Norm_for_informasjo_296439a.pdf http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20030521-0630.html&epslanguage=no www.finanstilsynet.no/no/bank-og-finans/banker/tema/it-tilsyn/ http://www.lovdata.no/for/sf/oe/xe-20021216-1606.html IT-dokumentasjon 5

vassdrags- og energidirektorat) Forvaltningsloven eforvaltningsforskriften Reglement for økonomistyring i staten Bokføringsloven http://www.lovdata.no/all/hl-19670210-000.html http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20040625-0988.html http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20031212-1938.html http://www.regjeringen.no/nb/dep/fad/dok/veiledninger_og_brosjyrer/2007/veiledertil-eforvaltningsforskriften.html?id=476581 http://www.lovdata.no/cgi-wift/wiftldles?doc=/app/gratis/www/docroot/all/nl- 20041119-073.html&emne=bokføring*&& 2.4 Aktuelle standarder Standardene ISO/IEC 20000 Service Management og ITIL omhandler styring og leveranse av IT-tjenester. Disse krever at det foreligger dokumentasjon av policy og planer tjenestenivåavtaler prosesser og prosedyrer transaksjoner Standardene ISO/IEC 27001/27002 omhandler styring av informasjonssikkerhet og stiller krav til dokumentasjon av all anskaffelse og bruk av IT. De brukes blant annet av Riksrevisjonen i Norge ved revisjon av informasjonssikkerhet i statlige virksomheter og er også referert i kommentarene til Personopplysningsforskriften. Standardene krever at styringssystemet for informasjonssikkerhet er dokumentert og at det foreligger dokumentasjon av transaksjoner som viser at styringssystemet er i bruk. Det er også etablert en offentlig sertifiseringsordning basert på ISO/IEC 27001. Både ISO 20000 og ISO 27001 krever at det etableres et dokumentert system for vedlikehold og forvaltning av dokumentasjonen. ISACA sitt rammeverk COBIT 4.1 stiller krav til dokumentasjon i de aller fleste av de 34 prosessene. I modenhetsmodellen til COBIT fremstår dokumentasjon som en viktig modenhetsindikator. Det foreligger også en rekke standarder for systemutvikling som inneholder krav og anbefalinger om dokumentasjon. 3 Veiledning i system-, bruker- og driftsdokumentasjon 3.1 Innledning I dette kapittelet er det beskrevet hvilke elementer som bør inngå i system-, bruker- og driftsdokumentasjon av et ITsystem. Veiledningen gjelder for alle typer IT-systemer uavhengig av systemenes kompleksitet. Detaljeringsgraden kan vurderes og tilpasses for det enkelte system. Intensjonen om betryggende dokumentasjon av systemene forutsettes imidlertid oppfylt. IT-dokumentasjon skal beskrive: hvordan systemet (det vil si både maskinutstyr og programvare) er konfigurert hvilke grensesnitt/integrasjoner systemet har mot andre systemer hvordan IT-systemet skal brukes på riktig måte for å få optimalt utbytte av det hvordan systemet skal driftes og vedlikeholdes IT-dokumentasjon deles vanligvis i tre kategorier: systemdokumentasjon brukerdokumentasjon driftsdokumentasjon System-, bruker- og driftsdokumentasjonen kan ha felles elementer. Anbefalingen er ikke til hinder for at disse samles. Dokumentasjonen må i alle tilfeller organiseres etter virksomhetens behov. En viktig del av dokumentasjonsarbeidet 6 ANBEFALING TIL GOD IT-SKIKK (NR 1)

og felles for alle kategorier, er å forutse hva slags spørsmål og problemer som kan oppstå og dokumentere mulige løsninger. 3.2 Systemdokumentasjon God systemdokumentasjon er en forutsetning for å sikre de verdier som er nedlagt i utviklingen av et IT-system. Videreutvikling og vedlikehold av systemet bygger på denne dokumentasjonen. Systemdokumentasjonen er primært beregnet på systemutviklere, men også til en viss grad på driftspersonell. Systemeiere og systemansvarlige skal kunne finne beskrivelser av kontroller som er innebygd i systemet, i systemdokumentasjonen. IT-systemet skal beskrives tilstrekkelig detaljert til å sikre forsvarlig vedlikehold og videreutvikling. Systemdokumentasjonen skal gjøre det mulig å forstå systemets struktur og virkemåte og beskrive programmerte rutiner og kontroller, herunder databehandling i systemet. Ofte består et IT-system av mange komponenter i en lagdelt arkitektur. Det kan være hensiktsmessig å beslutte en fast katalogstruktur for lagring og enkel gjenfinning av systembeskrivelsen av de ulike komponenttypene IT-systemet består av. Systemdokumentasjonen bør inneholde følgende: 1. Formål, bruksområde og ansvarlige 1.1 Hensikten med IT-systemet. 1.2 Bruksområde for IT-systemet. 1.3 Hvem (funksjon/org. enhet/firma/etc.) som er ansvarlig for ajourhold av systemdokumentasjonen. 1.4 Systemansvarlig. 1.5 Systemeier. 1.6 Ansvarlig for drift og vedlikehold av IT-systemet. 1.7 Hvilke organisasjonsenheter som bruker IT-systemet og eventuelle kontaktpersoner. 1.8 Tilknyttet forretningsprosess og/eller arbeidsprosess 1.9 Ev. utkontrakterte oppgaver og ansvar. 2. Oppstilling over aktuelle eksterne lover, forskrifter og virksomhetens interne policy standarder, regler og retningslinjer som gjelder for det området IT-systemet omfatter 3. Systembeskrivelse 3.1 Systemversjon. 3.2 En beskrivelse av grensesnitt mot andre IT-systemer, manuelle eller maskinelle, som angir type, format og ev. frekvens av import- og eksportdata. 3.3 En beskrivelse av IT-systemets oppbygging med programmer, registre, tabeller, database, inndata og utdata, metadata, samt avhengigheter og dataflyt mellom disse. Dersom det er en database, bør både den fysiske og logiske strukturen beskrives. 3.4 En beskrivelse av IT-systemets funksjoner med angivelse av hensikt/bruksområde, inndata, behandlingsregler, innebygd arbeidsflyt, feilmeldinger og utdata. Beskrivelsen omfatter også oppdatering av registre/tabeller. 3.5 En beskrivelse av datafelt dataformat og betydning. Dette kan være en datamodell med dokumentasjon av objekter, attributter og relasjoner. 3.6 Rapportfunksjonaliteten. 3.7 Programmeringsspråk. 3.8 Systemarkitektur (tynn/tykk klient, Web, etc.). 4. Kontroller i og rundt IT-systemet 4.1 Enkel kritikalitetsvurdering av IT-systemets konfidensialitet, integritet og tilgjengelighet. For kritiske systemer skal foreligge også en mer omfattende risikovurdering. 4.2 Revisjonskrav og andre sikkerhetskrav (regulatoriske og interne). 4.3 En beskrivelse av sikkerhetsmekanismer. IT-dokumentasjon 7

4.4 En beskrivelse av autorisasjonssystemet, roller og tilgangskontroll. 4.5 En beskrivelse av loggfunksjonaliteten. 4.6 En beskrivelse av øvrige preventive, oppdagende og korrektive kontroller, automatiske og manuelle, og samspillet mellom disse. 5. Driftsmessige krav og ressurser. 5.1 IT-krav og forutsetninger for drift, herunder krav til underliggende plattform, systemprogramvare og den konfigurasjon som kreves for drift av IT-systemet. 5.2 Maskinvare. 5.3 Arbeidsstasjoner og skrivere. 5.4 Kommunikasjonsløsninger. 5.5 Minstekrav til ytelse og responstid 6. Systembenyttede standarder 6.1 Verktøyavhengige standarder (en beskrivelse av regler for hvordan verktøyene skal brukes) 6.2 Spesifikasjonsstandarder. (En beskrivelse av regler for hvordan funksjoner, programmer, data og dokumenter skal beskrives.) 6.3 Programmeringsstandarder. (En beskrivelse av regler for hvordan programmeringen skal utføres.) 6.4 Brukergrensesnitt. (En beskrivelse av regler for oppbygging av skjermbilde og meny, hva en kommando utfører, standard betydning av tastene på tastaturet, fellestrekk ved dialogene etc.) 6.5 Navnestandarder. (En beskrivelse av hvordan navn er bygget opp. Dette er standarder som skal sikre at navn er entydige og at alle forekomster bare har ett navn. I tillegg er det regler for generering av navn, som skal sikre at navn er logiske.) 6.6 Andre standarder for IT-systemet (for eksempel Grønn IT ) 6.7 Avvik, begrunnelse for avvik fra gjeldende standard(er). 7. Systemforvaltning (vedlikehold og videreutvikling) 7.1 Rutiner for systemforvaltning med tilhørende dokumenter eller henvisning til generell rutine for systemforvaltning. 7.2 Rutiner for konfigurasjonsstyring av kode. 7.3 Rutiner for melding, registrering og oppfølging av endringsforslag. 7.4 Rutiner for konsekvensvurdering og prioritering av endringsforslag og bestilling av endringer. 7.5 Plan og miljø for testing, testgruppesammensetting, testdata og forventede testresultater. 7.6 Rutine for godkjenning og driftssetting av endringer og oppdatering av system-, bruker- og driftsdokumentasjon. 7.7 Rutine for informering av berørte om implementerte endringer. 7.8 Bibliotekrutiner. 8. Programdokumentasjon 9.1 Det er viktig med flittig bruk av kommentarer i programkoden for å gjøre denne lettere å forstå. Et minimum er å forklare programmets funksjon, variabler, behandlingsregler og avhengighet av/ påvirkning på andre programmer. 9.2 Hvem som har programmert (både opprinnelig og eventuelle endringer), dato og versjon. 9. Kjente feil og mangler 9.1 Oversikt over ofte stilte spørsmål og kjente feil og mangler med beskrivelse av mulige løsninger primært for brukere/brukerstøttefunksjon og driftspersonell. 10. Ordliste 8 ANBEFALING TIL GOD IT-SKIKK (NR 1)

3.3 Brukerdokumentasjon Brukerdokumentasjonen skal sikre korrekt, konsistent og effektiv bruk av IT-systemet, og bidra til å redusere antall hendelser som skyldes feil bruk av systemet. Brukerdokumentasjonen vil være et viktig supplement til opplæring og vil redusere behovet for brukerstøtte. I tillegg til å beskrive hvordan systemet skal brukes, bør brukerdokumentasjonen inneholde en overordnet forklaring av systemet som beskriver behandlingsregler og grensesnitt mot andre systemer. Brukerdokumentasjonen er primært beregnet på brukerne av systemet og brukerstøttefunksjonen som bistår brukerne ved spørsmål, feil og andre hendelser. Dokumentasjonen skal på en oversiktlig og lettfattelig måte beskrive systemet med tilhørende manuelle rutiner slik det arter seg for brukeren. Brukerne skal kunne benytte den som oppslagsbok. Brukerdokumentasjonen bør inneholde følgende: 1. Formål, bruksområde og ansvarlige 1.1 Hvem (funksjon/org. enhet/etc.) som er ansvarlig for ajourhold av dokumentasjonen. 1.2 IT-ansvarlig. 1.3 Systemeier. 1.4 Ansvarlig for drift og vedlikehold av IT-systemet. 1.5 Organisasjonsenheter som skal bruke IT-systemet. 1.6 Hvem som kan kontaktes ved spørsmål om bruk av systemet (brukerstøttefunksjon). 2. Oppstilling over aktuelle lover, forskrifter, regler og retningslinjer for området IT-systemet omfatter 3. Generelt 3.1 Hensikten med IT-systemet. 3.2 En overordnet systembeskrivelse. 3.3 En overordnet beskrivelse av brukergrensesnittet. 3.4 En overordnet beskrivelse av skjermbilde-, meny- og rapportstrukturen. 3.5 Påloggings- og utloggingsprosedyrer. 3.6 Særskilte sikkerhetsbestemmelser for systemet, bl.a. passordsikkerhet. 3.7 Brukergrupper og ulike tilgangsnivåer i systemet. 3.8 Henvisning til annen relevant dokumentasjon. 4. Brukerrettet beskrivelse av IT-systemet 4.1 Bruksområde for IT-systemet. 4.2 Grensesnitt til andre IT-systemer (manuelt eller maskinelt). 4.3 Definisjon av registreringsfelter, oversikt over grunnlagsdokumenter og retningslinjer for klargjøring og registrering av dokumenter 4.4 Instrukser og rutiner for registrering. 4.5 Beskrivelse av menyer og kommandoer. 4.6 Beskrivelse av alle funksjoner og maskinelle behandlingsregler. 4.7 Beskrivelse av alle skjermbilder med tilhørende blanketter og forklaring til de enkelte datafelt. 4.8 Regler for utfylling av de enkelte datafelt. 4.9 Regler for retting av feilregistrerte data. 4.10 Kontroller og avstemmingsrutiner. Dette omfatter også kontroller og avstemmingsrutiner av eventuelle grensesnitt mot andre IT-systemer. 4.11 Andre rutiner i tilknytning til IT-systemet. 4.12 Driftsmessige forhold av betydning for bruker. IT-dokumentasjon 9

5. Oversikt over rapporter 5.1 Oversikt over rapportene med kopi/beskrivelse av disse inkl. anvendelsesmåter. 5.2 Hvordan rapportene genereres/bestilles. 5.3 Hvor ofte rapportene produseres og om de må bestilles eller kommer automatisk. 5.4 Hvor, hvordan og hvor lenge rapportene skal oppbevares. 6. Rutiner for forvaltning (behandling av feil og endringsønsker) 6.1 Hvor og hvordan endringsønsker sendes. 6.2 Hvor og hvordan feil skal meldes. 6.3 Hvordan endringsønsker og feil blir behandlet, ev. en henvisning til virksomhetens etablerte prosesser for håndtering av feil og endringer. 6.4 Prosedyre for melding, registrering, eskalering og oppfølging av avvik. 7. Informasjonssikkerhet Brukerdokumentasjonen bør inneholde en henvisning til virksomhetens internkontrollsystem for informasjonssikkerhet. 8. Ordliste 3.4 Driftsdokumentasjon Korrekt og oppdatert driftsdokumentasjon er avgjørende for å sikre kontinuitet i driften. Driftsdokumentasjonen er primært beregnet på personer som drifter IT-infrastrukturen og IT-systemene. Driftsdokumentasjonen representerer et verktøy som er i daglig bruk og som skal redusere avhengighet av enkeltpersoner. Ofte vil driftsdokumentasjon være formet som arbeidsmanualer og sjekklister. Dersom driften helt eller delvis opereres av en ekstern leverandør, må driftsdokumentasjonen tilpasses ansvarsområde til den enkelte aktør. Overordnet beskrivelse av infrastruktur og IT-løsninger er likevel naturlig å dele mellom alle involverte parter. Ofte defineres driftsoppgavene og kvalitetskrav til disse i en avtale om tjenestenivå (såkalt SLA 1 -avtale). SLA-avtalen kan være mellom foretaket og en ekstern driftsleverandør eller mellom foretakets administrasjon og foretakets egen IT-avdeling. Det kan være nyttig å vurdere om rett til innsyn i driftsdokumentasjonen skal være en del av SLA-avtalen. Det bør være et krav til nye IT-løsninger som skal settes i produksjon, at disse overleveres til driften med tilstrekkelig dokumentasjon til at driftsrutiner kan beskrives i samsvar med den strukturen foretaket har bestemt. Driftsdokumentasjonen bør inneholde : - en overordnet beskrivelse av IT-infrastrukturen og IT-løsningene - driftsrutiner og annen dokumentasjon i tilknytning til IT-infrastrukturen - driftsrutiner i tilknytning til den enkelte IT-løsning Deleted: Service Level Agreement (SLA)-avtale Driftsrutiner tilknyttet IT-infrastruktur Driftsrutiner for IT-infrastrukturen gjelder for alle systemer og kan omfatte: 1. Datarom, tilførsler og fysisk sikring 2. PC-klienter 3. Servere, operativsystemer og virtualisering 4. Lagringsløsning 5. Brukeradministrasjon 6. Brukerstøtte 7. E-post 8. Nettverk internt 9. Datakommunikasjon 10. Multifunksjonsenheter 11. Kontorstøtte 1 Service Level Agreement 10 ANBEFALING TIL GOD IT-SKIKK (NR 1)

12. Sikkerhetskopiering og gjenoppretting 13. System for håndtering av skadevare 14. Database 15. Intranett 16. Mobile løsninger 17. Fjerndrift 18. Kontinuitet og katastrofehåndtering Følgende beskrivelser kan være aktuelt for de fleste av de overnevnte områdene: a. Drifts-personell forutsetninger/nødvendig kompetanse for å utføre oppgavene b. Versjon og tillegg av maskinutstyr eller programvare som er lagt til grunn for rutinen c. Hvem er ansvarlig internt, hvem er stedfortreder? d. Hva foreligger av nettsteder og dokumentasjon fra leverandør e. Hvor er programvare og data lagret? f. Hvordan spore utførelse av driftsoppgavene? g. Hvordan få ut status? h. Hvordan er programvare og data sikret, f.eks. mot tap eller uautorisert tilgang? i. Ev. hvilke ISO 27002-punkter er relevante for driftsdokumentasjonen og hvordan er de oppfylt? j. Driftsoppgaver i. Starte, stoppe, restarte ii. Sjekke status iii. Anbefalte eller pålagte aktiviteter hvilke er disse og hvordan utføre? Eks: Legge inn virtuell maskin iv. Hvordan legge inn og sette i drift ny versjon/revisjon? v. Hvordan distribuere til brukere? vi. Hvordan finne feil? vii. Hvordan rette feil, oppdatere? viii. Hvordan tune? ix. Hvordan melde feil? x. Hvordan logge, varsle og følge opp avvik eller hendelser? xi. Hvordan endre konfigurasjon? Dokumentasjon av interne driftsrutiner henviser til leverandørens dokumentasjon der det er hensiktsmessig. Driftsrutinene suppleres med tegninger og lister av utstyr og programvare, konfigurasjoner og lignende ved behov. Driftsrutiner tilknyttet det enkelte IT-system Dokumentasjonen av det enkelte IT-system er en beskrivelse av systemets oppbygging og driftsmønster for å sikre korrekt drift, driftsmessig vedlikehold og stabilitet. Driftsdokumentasjonen bør inneholde følgende: 1. Formål, bruksområde og ansvarlige 1.1 Hvem (funksjon/org. enhet/etc.) som er ansvarlig for ajourhold av driftsdokumentasjonen. 1.2 IT-ansvarlig. 1.3 Systemeier. 1.4 Ansvarlig for drift og vedlikehold av IT-systemet. 1.5 Hensikten med IT-systemet. 1.6 Kort systembeskrivelse. 1.7 Minstekrav til ytelse og responstid. 1.8 Krav til driftskontinuitet 2. Ressurser 2.1 Maskinvare. 2.2 Programvare både systemprogramvare og annen programvare som benyttes av IT-systemet. 2.3 Arbeidsstasjoner og skrivere. 2.4 Kommunikasjonsløsninger. 3. Driftsrettet beskrivelse av IT-systemet IT-dokumentasjon 11

3.1 Avhengighet til andre IT-systemer. 3.2 Oversikt over oppdrag med tilhørende rapporter. 3.3 Avhengigheter mellom oppdrag. 3.4 En beskrivelse av oppdrag og rapporter, ev. med tilhørende parametre. 3.5 Hvordan oppdrag og rapporter bestilles inkl. bestillingsskjema/skjermbilde. 3.6 En beskrivelse av maskinelt driftsplanleggingssystem om dette benyttes. 4. Driftsrutiner 4.1 Kjøreplan/kjørefrekvens og ev. forberedelser, herunder oppstartsrutiner. 4.2 Prioritet ved driftsforstyrrelser. 4.3 Ressursforbruk (CPU, utstyr og kjøretid). 4.4 En beskrivelse av manuelle kontroller som skal utføres av driftspersonell. 4.5 En beskrivelse av ordinære konsollmeldinger og hvordan de behandles. 4.6 Oversikt over driftsfeilmeldinger. 4.7 Rutiner i forbindelse med feilmeldinger og oversikt over kontaktpersoner, herunder også hvem som skal informeres ved feil (brukere, overordnet etc.). 4.8 Loggføring, manuell og maskinell, samt behandling av logger. 4.9 Rutiner for sikkerhetskopiering. 4.10 Restart- og recoveryrutiner. 4.11 Avbruddsrutiner. 4.12 Katastrofeplaner. 5. Rapporter 5.1 Oversikt over rapporter med eventuelle behandlingsregler. 5.2 Distribusjon av rapporter. 6. Overvåking og driftsvedlikehold av IT-systemet 6.1 Rutiner for kontroll og overvåking av IT-systemet, f.eks. CPU-forbruk, lagringsplass etc. 6.2 Rutiner for vedlikehold av IT-systemet, f.eks. reorganisering, vedlikehold av databaserelasjoner etc. 7. Rutiner for forvaltning (behandling av reklamasjoner og endringsønsker) 7.1 Hvor og hvordan endringsønsker sendes. 7.2 Hvor og hvordan reklamasjoner skal meldes. 7.3 Hvordan endringsønsker og reklamasjoner blir behandlet og fulgt opp. 7.4 Bibliotekrutiner. 8. Definisjon av begreper 9. Informasjonssikkerhet 10. Ordliste 12 ANBEFALING TIL GOD IT-SKIKK (NR 1)

IT-dokumentasjon 13

14 ANBEFALING TIL GOD IT-SKIKK (NR 1)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding