Møtereferat fra Standardiseringsrådsmøtet 12.nov. 2015 Agenda Godkjenning agenda (beslutningssak) Revisjon av referansekatalogen høsten 2015 (beslutningssak) Standard Norge sin rolle i utvikling av standarder i forvaltningen (diskusjonssak) Prioriteringer 2016 (beslutningssak) Integrasjonsarkitektur i Oslo kommune (informasjonssak) Status for standardiseringsarbeidet i Difi (informasjonssak) Eventuelt
1 Godkjenning agenda (beslutningssak) Agenda ble godkjent uten kommentarer. Det ble gjennomførte en presentasjonsrunde, siden direktøren av Standard Norge ønsket å delta i tilknytning til sak 3. 2 Revisjon av referansekatalogen høsten 2015 (beslutningssak) Kristian Bergem presenterte vurderinger og forslag fra den årlige revisjonen av Referansekatalog for anbefalte og obligatoriske IT-standarder i forvaltningen. Presentasjonen er vedlagt. Det kom ingen kommentarer inn i forkant av møtet. Under følger kommentarer og diskusjoner som kom opp i forbindelse med gjennomgangen. På PKI-området kom det innspill om at det skjer utviklingsarbeid knyttet til PKIstandardisering innen helsesektoren. Vi kan ikke se at helsesektoren har særegne behov på PKI-området og det bør derfor vurderes om arbeidet er av generell interesse. Det er utfordringer i forhold til bruk av epub. Ikke alle dokumenter konverteres like godt til epub. Her bør Difi vurdere behovet for en veiledning. Noen synes det er viktig at vi faser ut Elmer 2.1 og får inn Elmer 3.0. Sistnevnte er viktigst. Utviklingen går i retning av dialoger fremfor skjema. Det ble foreslått at Elmer bør videreutvikles til å dekke dette og ikke bare fokusere på skjema. Elmer 3.0 har gått i retning av generiske prinsipper og sålede mindre fokusert på skjema. En generalisering av Elmer fra å være skjema fokusert og gjenkjennelsesfokusert, bør vurdere å ta opp i seg andre utviklingstrekk innen brukervennlighet, som brukerreiser. Det ble stilt spørsmål om hvorfor denne standarden forvaltes av Brreg, siden det er en sektorovergripende standard. Utviklingen av standarder hadde sitt utspring i forenkling for næringslivet. Selv om standarden har blitt tverrgående, ser Difi foreløpig ikke behovet for å flytte forvaltning av standarden. Brreg har god kompetanse på området og forvalter den vel. Blir bruksområdet utvidet og kompetansen i stor grad viser seg å ligge et annet sted kan en eventuell flytting diskuteres med involverte parter. Det har vært utfordrende å gjøre veiledere anbefalte i Referansekatalogen, fordi Referansekatalogen peker på versjoner av standarder mens en del veilederne utvikles kontinuerlig. Standardiseringsrådet stilte seg i møtet åpne for å ta inn anbefalinger om bruk av veiledere uten versjonsnummer i Referansekatalogen, hvis de forvaltes av kompetansesentre i offentlig sektor, iht. fastsatte kriterier for forvaltning av veiledere og det innrapporteres årlig at kriteriene følges. Det må være mulig å fjerne veilederne fra Referansekatalogen om kriteriene ikke følges. Kriteriene må utvikles og tas inn som en del av arbeidsmetodikken til
Standardiseringsrådet. Det ble foreslått en selvdeklareringsordning, der kompetansesentrene årlig rapporterer at de handler iht. kriteriene. SSA-ene er et eksempel på standarder som er utviklet av et kompetansesenter og tatt inn i Referansekatalogen uten å gå gjennom rådet. Disse har også kjørt egne høringer. Det ble stilt spørsmål om det bør fremkomme i Referansekatalogen hvilke standarder som har vært gjennom Standardiseringsrådet og hvilke som ikke har det. Rådet stilte seg positive til de tre endringene som ble foreslått på bruksområdet Interkontroll/ styringssystem for informasjonssikkerhet. Rådet mente det var greit at Difi la endringene inn i etterkant av sin vurdering uten ytterligere behandling i rådet. Behovet for en felles måte for håndtering av hendelser ble tatt opp og det ble henvist til arbeid som skjer i regi av NSM på området. Dette bør følges for å vurdere ytterligere krav på området neste år. Mediesaker om patenter knyttet til H265 og JPEG ble diskutert i møtet. Det var enighet om at de kravene som foreløpig har blitt omtalt i media har virket lite seriøse og at Referansekatalogens krav foreløpig ikke bør revideres på bakgrunn av disse. Rådet var enig i vurderingen om at de nye versjonene av videoformater fortsatt har for liten støtte i brukerutstyr til at de kan tas inn på lik linje som eksisterende format. Bruk av javascript ble diskutert. Det var enighet om at Ecmascript er den mest aktuelle javascript standarden, om man skulle peke på en. Det er derimot ikke så mye problemer med javascript lenger. Feil bruk av javascript kan gi lite universelt utformende løsninger, men det handler om veiledning innen bruk av javascript og ikke valg av standard. Det er også forventet at HTML5 vil bli så dynamisk at javascript snart blir overflødig. Rådsmedlemmene mener javascript i liten grad gir samhandlingsutfordringer og at behovet for å peke på en standard derfor er svært begrenset. Rammeverk for sikker meldingsutveksling i helsesektoren ble tatt inn i Referansekatalogen for mange år siden, fordi det var forventet at den skulle bli en tverrgående standard. Det har ikke skjedd og standarden er senere tatt inn i helsesektorens egen Referansekatalog. Rådet er enig i at den dermed bør fjernes fra den tverrgående Referansekatalogen for å unngå overlapp og fare for inkonsistens som følge av endringer. Krav om bruk av tegn i utveksling mellom offentlig virksomheter ble i sin tid gitt med en foreløpig avgrensning i hvilke tegn som skal støttes. Det er viktig at dette nå blir endelig avklart. Hvilke tegn som skal støttes i offentlig sektor bør derfor prioriteres opp. Det bør også avklares hvilke deler av en løsning som forventes å støtte det utvidede tegnsettet og hvilke som ikke trenger det. Her kan det være aktuelt å skille mellom ulike deler av løsninger. Ett stort tegnsett i sentrale ITløsninger er forholdsvis greit, det er derimot større utfordringer knyttet til visning på skjerm, valg av fonter, utskrift og metoder for å sette inn ulike tegn i
forskjellige systemer. Det er også utfordringer knyttet til et samiske tegn som er definert sammen med et nord afrikansk tegn i ISO 10646. Det pågår en prosess for å finne en løsning på dette. Den prosessen kan ende opp med at det samiske tegnet flyttes. 2.1 Konklusjon revisjon av Referansekatalogen Standardiseringsrådet støttet forslaget til revisjon av Referansekatalogen. Følgende ble besluttet: Det er behov for å revidere standarder for arkivering. Dette er derimot en oppgave for Arkivverket og vil ikke følges opp av Difi. Det er behov for revisjon av standarder innen PKI-området. Revisjonen må derimot avvente implementering av det nye EU regelverket i norsk lov, og en revisjon vil avvente det arbeidet. Det er behov for revisjon av standarder innen grunnleggende datakommunikasjon. Det oppleves ikke mye samhandlingsproblemer på området og revisjonsgjennomgangen utsettes. Internkontroll/styring av informasjonssikkerhet. Standardiseringsrådet besluttet følgende: Navnet på området harmoniseres med de endringer Standard Norge har vedtatt og blir hetende Internkontroll, ledelses- og styringssystem for informasjonssikkerhet. Henvisningen til strukturen i vedlegg A vurderes av Difi og justeres uten nærmere behandling i rådet. Difi sin veileder for etablering av styringssystem for informasjonssikkerhet og gjennomføring av risikovurderinger anbefales for offentlige virksomheter. De må på et senere tidspunkt vise til at de følger kommende krav til prosess for forvaltning av slike veiledere. Skalerbargrafikk: Kravet til SVG likestilles med PNG for skalerbargrafikk, der parallell-publisering er upraktisk. Bruksområdet sikker kommunikasjon i helsesektoren fjernes fra den tverrgående referansekatalogen. Kravet er ivaretatt i helsesektorens egen katalog. Sikre kommunikasjonskanaler: Difi bør gjennomføre en revisjonsvurdering i forhold til kravet om bruk av ISO/IEC 18028-5:2006 for planlegging og valg av protokoll for sikring av kommunikasjonskanaler. Den er nå revidert av ISO/IEC og erstattet med ISO/IEC 27033-5:2013. Avgrensningen i tegn ved utveksling mellom offentlige virksomheter må revideres, og hvor utvidet tegnsett skal gjelde må tydeliggjøres.
3 Standard Norge sin rolle i utvikling av standarder i forvaltningen (diskusjonssak) Kristian Bergem presenterte problemstillingen, hovedpoengene i kommentarer som har kommet inn i forkant av møtet og åpnet opp for en diskusjon rundt tema. Presentasjonen er vedlagt. Standard Norge ved Jacob Mehus gjorde det tydelig at Standard Norge reagerer sterkt over at Difi la ut det som ble oppfatte å være en offentlig høring om Standard Norges rolle og forretningsmodell, uten å ha diskutert det med ledelsen i Standard Norge i forkant. Standard Norge ble først klar over høringen fra Difi gjennom egen nyhetsovervåkning. Standard Norge er ikke underlagt KMD eller Difi, men en privat medlemsorganisasjon. 5 Dersom noen har oppfatninger om hvordan Standard Norge drives kan dette tas opp direkte med ledelsen i Standard Norge eller på Standard Norges representantskapsmøte for medlemmer. Etter Standard Norges vurdering ville det også vært naturlig å ta et slikt notat opp i Sektorstyre IKT enten som informasjon eller til diskusjon. Standard Norge og Difi har også en samarbeidsavtale og kontaktmøter som kunne vært benyttet for å diskutere initiativet. Standard Norge valgte å distribuere diskusjonsnotatet bredt til sine interessenter for å forsøke å få så mange som mulig til å gi sine innspill. Allikevel er Standard Norge kjent med at flere organisasjoner dessverre ikke rakk å komme med sine innspill, gitt den korte tidsfristen. Standard Norge stiller spørsmål ved flere av de udokumenterte påstandene i notatet og ba også en tilbakemelding på hvordan høringskommentarene blir behandlet videre i Standardiseringsrådet og ber om å bli involvert i den videre prosessen. Initiativet fra Difi og diskusjonsnotatet ble diskutert i Standard Norges kontaktmøte med Nærings- og fiskeridepartementet (NFD) dagen før møtet i Standardiseringsrådet. Saken blir også diskutert av Standard Norges styre. Difi beklaget hvis innholdet i notatet kunne misforstås, særlig på den måten at Difi nå skulle gjennomgå Standard Norges forretningsdrift. Notatet som ble lagt frem er som presisert et notat for å skape diskusjon rundt standardisering i offentlig sektor og hvordan offentlig sektor i den sammenheng benytter Standard Norge. Det er med andre ord en intern diskusjon i offentlig sektor om hvordan de ønsker å forholde seg til og utnytte Standard Norge i sitt arbeid. En diskusjon offentlige virksomheter må kunne ta uten å spørre Standard Norge om tillatelse. Notatet ble derimot fremlagt Standard Norge ved deres representant i Standardiseringsrådet i forkant av publiseringen. Alle saker der Difi har mulighet blir underlaget til møtet lagt ut for kommentarer i forkant av Standardiseringsrådsmøtet for å ha størst mulig åpenhet runde de valg som gjøres. Når det gjelder innholdet i notatet, så er det basert på vår brede kontakt både i og utenfor offentlig sektor knyttet til Standardiseringsarbeid i og utenfor Standard Norge. I enkelte av innspillene Difi har mottatt på diskusjonsnotatet bekreftes det at de kjenner seg igjen i deler av de udokumenterte argumentene. Vi ser at de som har gitt kommentarer har tolket innholdet og svart ut fra eget
ståsted. Difi mener at oppfatningene som synliggjøres gjennom uttalelsene, underbygger en del av de udokumenterte påstandene i notatet. Det gjelder både i forhold til de styrker og svakheter i prosessene Standard Norge kjører og styrker og svakheter ved de prosessene offentlig sektor kjører. Notatet er skrevet for å skape diskusjon, det er ikke finslipt, påstandene er udokumenterte og satt på spissen. Standard Norges representant i Standardiseringsrådet kunne bekrefte at han hadde fått notatet til gjennomlesning, og at han syntes det var positivt at diskusjonen kom opp. Innholdet kunne vært finslipt, men han så ikke behovet da dette kun var et diskusjonsnotat. Han bekreftet at påstandene i notatet gir et greit bilde av oppfatningen til de som deltar inn i de komiteer han har vært en del av i Standard Norge. Difi kunne melde at de selv som deltaker i sektorstyret og enkelte andre deltakere har tatt opp flere av problemstillingene i notatet i sektorstyret. Når det gjelder den overordnede problemstillingen om offentlig sektor i større grad bør basere seg på Standard Norge i utvikling av standarder, har Difi oppfattet det som et ønske fra flere medlemmer i sektorstyret om at offentlig sektor i større grad bruker Standard Norge aktivt i sitt arbeid. Difi beklaget at Standard Norges direktør ikke var blitt involvert direkte i forkant av publiseringen. Behovet for dette har kommet tydelig frem gjennom den reaksjonen som ble presentert på møtet av Jacob Mehus. Difi synes derimot det er synd at Standard Norge ikke har tatt opp dette med Difi på tomannshånd i forkant av møtet, da dette er noe som kunne vært håndtert uten å ta opp Standardiseringsrådets tid eller ødelegge diskusjonen. En diskusjon Difi oppfatter som en utstrakt hånd til Standard Norge. Ordskifte rundt prosessen gjorde at det ikke ble noe reell åpning for å diskutere saken i Standardiseringsrådet på dette møtet. Noen av rådsmedlemmene kommenterte derimot saken på et veldig formelt nivå, uten å gå inn i en reell diskusjon rundt selve innholdet i saken. Helsedirektoratet ble overrasket over at saken kom opp igjen. Dette ble diskutert en gang tidligere i rådet under eventuelt og da ble det slått fast at det ikke var grunnlag for endring av offentlig sektors relasjon til Standard Norge i offentlig standardiseringsarbeid. I helsesektoren var det enkelte som hadde misforstått notatet og var engstelig for at Difi nå skulle oursource offentlig standardiseringsarbeid til Standard Norge. Helsedirektoratet ønsker et tett samarbeid med Standard Norge om internasjonal standardisering og hvordan det kan benyttes inn i det standardiseringsarbeidet offentlig sektor gjør på området. De har over tid jobbet mye med standarder i helsesektoren, men er åpen for samarbeid der det er naturlig. Helsesektoren ønsker en retning med økt bruk av internasjonale standarder. Helsedirektoratet vil allikevel ha en styrende rolle når det gjelder hva slags standardiseringsarbeid som skal prioriteres i sektoren, og benytter forum som NIKT og NUFA aktivt til dette. Når direktoratet for e-helse nå blir etablert, vil de videreføre den styrende rollen på området.
Kartverket kjenner seg igjen i det helsedirektoratet sier og ønsker tilsvarende i sin sektor. De har deltatt mye internasjonalt og benytter Standard Norge der det er hensiktsmessig, men gjør også mye på egen basis. Arkivverket jobber mye direkte mot EU og gjør en del standardiseringsarbeid i egen sektor. Fint hvis vi kan fokusere på hva som gjør oss bedre. Jacob Mehus sier at de ønsker en diskusjon om hvordan standardisering som et felles gode kan benyttes bedre. De ønsker et tydeligere grensesnitt mellom Standard Norge og offentlig sektor. De ser ingen problemer med at det foregår standardisering i de ulike sektorer, men om man ikke er bevisst grensesnittet kan man ende opp med å gjøre en del dobbeltarbeid. Standard Norge erkjenner at deres forretningsmodell kan oppfattes som utfordrende for enkelte. Det er særlig argumentet om at betaling for standarder hindrer utbredelse. Standard Norge forvalter 17 000 standarder og Standard Online distribuerer over 180 000 standarder og er en del av et større regime, der medlemmene i ISO og CEN i fellesskap har eierrettigheter. I mange andre land bruks salg av standarder som hovedfinansieringskilde. Standard Norge kan derfor ikke velge forretningsmodell på egen basis. Det er også slik at det koster penger å standardisere og det koster penger i gjøre standardene søkbare og tilgjengelig. Betalingen for standarder skal betale for systemet som gjør dem tilgjengelig og for utvikling av nye standarder. Han åpner derimot opp for en diskusjon om det på enkelte områder kan finnes andre mekanismer for distribusjon av standarder og finansering av standardiseringsarbeid. Standard Norge ønsker derfor gjerne å bli invitert til en diskusjon om de ulike momentene som notatet tar opp. Standard Norge tilbød seg å komme tilbake til rådet for å informere om saken ved en annen anledning. Standard Norge ba om tilbakemelding fra Standardiseringsrådet dersom saken helt eller delvis skal behandles i Standardiseringsrådet på ny. 3.1 Konklusjon Det ble vedtatt at denne diskusjonen må tas opp på et senere tidspunkt etter lederen i rådet og Difi har fått avklart hvordan vi ønsker å ta denne saken videre. Det var ikke grunnlag for å få til en åpen diskusjon om problemstillingen i møtet. Det forelå derfor ingen forslag om videre arbeid for å tilrettelegge for økt bruk av Standard Norge i offentlig standardiseringsarbeid eller for å få til justeringer som må til for å kunne få til dette. 4 Prioriteringer 2016 (beslutningssak) Det gjøres årlig en prioriteringsvurdering av hvilke bruksområder som skal prioriteres utredet for anbefalte og obligatoriske forvaltningsstandarder året etter. Kristian Bergem presenterte forslaget til prioritering i 2016. Presentasjonen ligger vedlagt møtereferatet. Det har ikke kommet inn kommentarer til grunnlaget i forkant av møtet. Jon Arve Risan var ikke på møtet og sendte inn kommentarer i forkant, de ble tatt underveis i gjennomgangen på de ulike områdene.
Det kom innspill om at et strategisk veikart på Standardiseringsområdet egentlig ikke er prioritering av et nytt bruksområde. Rådet er allikevel positive til at vi gjør noe på dette og setter ned noen som kan bistå Difi i å titte på det. Det kom forslag om å gjennomføre en workshop knyttet til dette på nyåret. En del av de tingene som er foreslått prioritert, har også vært prioritert i Skatesammenheng. Utredningene som det pekes på vil også i enkelte tilfeller gjennomføres i prosjekter som er initiert av Skate. Det er en fordel om vi tydeliggjør sammenhengen på de ulike sakene, slik at det fremkommer tydelig hvor arbeidet skal gjøres. Hvilke prosjekter og i hvilken fase av prosjektene. Når det gjelder utredninger som er prioritert utført av Standardiseringssekretariatet er det særlig standarder knyttet til personstruktur og adressestruktur som har en sterk knytning til Skatearbeidet. Her er det derimot ikke avklart en arbeidsfordeling enda. Standardiseringssekretariatet er klar over bestillingene fra Skate og vil samkjøre seg med de som har leveranseansvar i den sammenheng. Formålsprinsippet og personvern er to av hovedutfordringene for de som forsøker å få til samhandling. Det er derfor viktig at Difi også vurderer arbeid med regelverksendring. Det ble også poengtert et behov for felles avtaler som sikrer oppetid og svartider på felles infrastruktur. Viktig at dette er regulert på felles vis. Det ble også spilt inn at offentlige virksomheter i liten grad håndterer krav til liv og helse. Det ble en diskusjonen rundt felles tegnsett, og behovet for å prioritere arbeidet med å fastsette hvilke tegn som skal støttes. Difi tydeliggjorde at dette ligger i grenseland av hva som faller inn under IT-standarder, men vi ser at virksomhetene er opptatt av dette, og at det bør komme en avklaring. Viktig å skille mellom hvilke tegn som skal håndteres av IT-systemene, og hvilke tegn som skal håndteres av offentlig ansatte. Dette henger derimot tett sammen og kan være vanskelig å skille. Det kan settes bredere krav til IT-løsningene enn det som settes til offentlig ansatte. IT-løsningene bør uansett ha støtte for et bredere tegnsett for å kunne imøtekomme fremtidige krav i en stadig mer internasjonal verden. 3D-dokumenter ble ønsket prioritert opp i fjor uten at det ble ressurser nok til å håndtere den saken og et par andre. 3D dokumenter er derimot ikke foreslått prioritert i år, da Arkivverket foreløpig ikke har gjort noe mer på dette. Difi avventer at Arkivverket kommer på banen på området. På informasjonssikkerhetsområdet er en del av forslagene litt brede og utydelige. Difi kan med fordel bli tydeligere på hva de ulike forslagene går ut på, og kreve mer fra forslagsstillere før de blir satt opp som reelle forslag. Standardisering på identitetshåndtering er en av disse. Her foreslår vi å avvise forslaget. Forslagsstiller, Standard Norge i denne sammenheng, må komme opp med et nytt mer konkret forslag hvis vi skal ta forslaget opp igjen. På dette området gjøres det nå mye arbeid i Politidirektoratet.
Det ble tatt opp behovet for å gjøre noe knyttet til krypteringsalgoritmer og nøkkellengder. Dette ble også tatt opp i forrige møte når StartTLS ble diskutert. Veiledning på området er et minimum. Når det gjelder brukerinvolvering har Jon Arve Risan foreslått at vi gjør noe knyttet til brukerreiser. Det var flere av rådsmedlemmene enig i. Det gjøres en del arbeid i dag på ulike dialogløsninger i forbindelse med å forbedre gamle skjemaløsninger. Kvaliteten i dette arbeidet er derimot varierende og det benyttes mye på konsulentstøtte i ulike virksomheter. Veiledning på best praksis vil være en fordel. Her må det sees litt på hva som gjøres i Skate sammenheng og se hvordan dette eventuelt kan samkjøres med Elmer utvikling. Difi tar en nærmere titt på om vi kan få et konkret forslag på bordet som kan prioriteres. 4.1 Konklusjon Standardiseringsrådet støtter de prioriteringsvurderinger og den anbefalingen som er i prioriteringsnotatet. Standardiseringsrådet ønsker å prioritere opp Standard utvalg av tegn til bruk i forvaltningen. I tillegg ønsker Standardiseringsrådet en prioritering knyttet til bruk av algoritmer og nøkkellengder. Dette er blant annet nødvendig i forbindelse med vedtaket om bruk av StartTLS. I tillegg må Difi innhente mer informasjon for å se om det finnes et konkret forslag knyttet til brukerreiser som kan prioriteres opp. 5 Integrasjonsarkitektur i Oslo kommune (informasjonssak) Per Kjetil Grotnes presenterte Oslo kommune sitt arbeid med integrasjonsarkitektur sammen med Jan Henrik fra KnowIT. Det var en meget interessant presentasjon som ligger vedlagt møtereferatet. Et viktig innspill til arbeidet med integrasjonsstandarder. 6 Status for standardiseringsarbeidet i Difi (informasjonssak) Kristian Bergem presenterte det arbeidet som nå gjøres i Standardiseringssekretariatet. Presentasjon er vedlagt møtereferatet. Det ble særlig informert om status i høringsoppsummeringen av revidert forskrift om IT-standarder, som forventes spilt opp til KMD før nyttår. 7 Eventuelt Det må avklares møtedatoer for 2016. Kristian Bergem sender ut en undersøkelse med noen alternative datoer.