Fleksible og fremtidsrettede it-løsninger for Moss Kommune Veien til nettskyen Terje Jensen, sikkerhetsansvarlig Moss kommune
Moss kommune: 32.000 innbyggere og 2.500 ansatte 65 lokasjoner på egen fiber 1 Gb internettlinje med 100Mb back-up 32 fysiske servere med 100 virtuelle (VM- Ware) 100 applikasjoner 8,2 årsverk på IKT
Bakgrunn: 2009: Sentrale føringer med fokus på å styrke internkontroll (KRD) Ett av kommunens tiltak: Innføring av elektronisk kvalitetssystem som skal: Samle dokumentasjon Dokumentere risikovurderinger av kommunens tjenester, HMS m.m. Forbedre og forenkle kommunens avvikshåndtering
Bakgrunn: Dette skapte et behov for epost til alle ansatte. Kun 1100 av 2300 ansatte hadde mailtilgang Hva gjør vi?
Alternativer for løsning: 1. Tradisjonelle lisenser for alle brukere, lokal drift. Dyrt 2. Office 365 i «skya». 1/3 av prisen Vi valgte «skya»
Hvor er vi i dag: «Hele» skole sektoren er i dag ute i «skya» med Office365 Administrasjon (- tunge arkivbrukere) i Office365 (1900 kontoer) Arbeider med Onedrive for business Administrative servere (som f.eks AD) i Azure Backup i Azure og lokalt med kopi i Azure Storsimple lokalt med arkivering i Azure Noen småprogrammer/databaser i Azure Jobber med å vurdere om andre systemer kan flyttes ut
Historikk Første runde (med Office 365) Råd- og veiledningsmøte med Datatilsynet (mars 2011) Tilstede: Moss kommune, Microsoft, DNV og Skill Risikovurdering med DNV (gjennomgang av sikkerhetsdokumentasjon og revisjonsrapporter) Simonsen som juridisk bistandspartner i dialogen med Microsoft (for å få i stand en databehandleravtale som tilfredsstilte krav fra datatilsynet) OK fra Datatilsynet, september 2012 Alle nye «lette» mailbrukere i MK ble fra september 2012 etablert i skya
Historikk Runde 2
Status (2013): Lite økonomisk handlingsrom Små/ingen muligheter for flere stillinger Begrenset med investeringsmidler Behov for mer lagringsplass Behov for ny back-upløsning Behov for katastrofeløsning Behov for å effektivisere Hva gjør vi?
Vi har gjort følgende: Gjennomført en grundig risikovurdering av skytjenesten (Intern drift ble vurdert samtidig) Inngått databehandleravtale med Microsoft, og fått denne juridisk vurdert Utarbeidet malverk for risikovurdering for hvert område vi vurderer å flytte Hvert system vil bli vurdert opp mot gjeldende lover før det flyttes ut i «skya» Sikkerhetsdokumentasjon og revisjonsrapporter er gjennomgått
Juridisk vurdering av Databehandleravtalen «Samlet sett..anser vi at avtalen på en egnet måte hensyntar kravene i norsk lovgivning mht behandling av personopplysninger og bruk av skytjenester.»
Arkivloven 9 Vurdring av Simonsen vogtwiig: Bestemmelsen og uttalelsens rekkevidde må avgrenses til å gjelde rene "skyarkiv" hvor servere er plassert utenfor Norge. Vi mener ikke det er et absolutt hinder for at forvaltningsorganer kan ta i bruk andre typers skyløsninger og heller ikke mot at noe arkivmateriale tidvis inngår i slike andre skyløsninger.
Datatilsynet trygge på (M)oss:
Overordnet løsningsskisse STORAGE Cloud Integrated Storage STORSIMPLE VM STORE FILE STORE SQL/ORACLE? EXCHANGE
Risikovurdering for prosjektet
De største utfordringene: Risikovurdering Databehandleravtale Juridiske (mange lover) Mye endringer underveis, EU/EØS Dokumentasjon Revisjonsrapporter (tilgang til disse) Trustcenter Sikkerhetsvurdering av leverandør Andre leverandører og deres tilnærminger og erfaringer med skya Integrasjoner On-premise vs skya - kalender
Suksesskriterier Skalerbar lagringsplattform som benytter avansert "tiering" og utnytter lagring i skyen og dermed er kostnadseffektiv Flytte VM fra Vmware til Hyper-V Etablere ny backup plattform Etablere ny virtuell infrastruktur som støtter og effektiviserer hybrid cloud. Migrert flere e-post kontoer til Office 365 Flytte hjemmeområder til OneDrive Pro Flytte aktuelle tjenester Utnytte Azure som datasenter for egnede tjenester for dermed å redusere "footprint" lokalt Brukeradopsjon, nanolearning. Gjort en grundig jobb ifm risikovurdering, databehandleravtale,
Takk for meg! Spørsmål?