Utkast til prioriteringsnotat 2012 - v0.6

Utkast til prioriteringsnotat 2012 - v0.6 Innholdsfortegnelse 1 Innledning... 2 1.1 Bakgrunn... 2 1.2 Prioritering av forslag... 3 1.3 Metodikk for prioritering 2012... 3 1.3.1 Prioriteringsprosessen... 3 1.3.2 Forklaring til vurdering av forslagene... 4 2 Allerede prioriterte anvendelsesområder... 4 2.1.1 Pågående utredninger... 4 2.1.2 Anvendelsesområder for revisjon... 4 3 Vurdering av forslag for prioritering 2012... 4 4 Forslag som er aktuelle for prioritering 2012... 5 5 Vurdering av forslag som er aktuelle for prioritering 2012... 5 5.1 Forslag til felles definisjoner... 5 5.2 Utforming av begrepsbeskrivelser... 6 5.3 Koordinering av begreper... 7 5.4 Signering av PDF-dokumenter... 8 5.5 Signering og kryptering av XML-filer... 11 5.6 Forslagene om geointegrasjon... 12 5.7 Profil for webtjenester (web-services)... 13 5.8 Standarder for publisering av åpne data... 14 5.9 Felles rammeverk for prosjektstyring... 15 6 Vurdering av forslag som ikke er aktuelle for prioritering 2012... 15 6.1 Standard for CV... 16 6.2 Dokumentasjon av IT-kompetanse... 17 6.3 Felles emneordliste for offentlig sektor... 17 6.4 Overbygningsportaler for samhandling:... 18 6.5 Arkitekturrammeverk... 19 6.6 Standarder for videokonferanser... 19 6.7 Standarder for presenceinformasjon og direktemeldinger... 20 6.8 Måling av effektivitet i datasentre... 21 1

6.9 Standarder for sikring av e-post... 22 6.10 Identitetshåndtering... 23 6.11 Standarder for meldingskryptering... 24 6.12 Interoperabilitet mellom content management applikasjoner... 25 6.13 informasjonstjenester, spesielt knyttet til krav til URI og URL... 26 1 Innledning Dette dokumentet er andre utkast til prioriteringsnotat 2012. Første utkast til prioriteringsnotat har blitt diskutert i åpen prioriteringsworkshop med eksterne aktører og internt i Difi. På bakgrunn av synspunkter og argumenter som har fremkommet, deles nå forslag til områder for standardisering inn i to grupper. Den ene gruppen er de forslagene som er aktuelle å prioritere for utredning i 2012, mens den andre gruppen forslag ikke prioriteres. Det er av ressursmessige årsaker ikke aktuelt å utrede alle forslagene i gruppen som nå er prioritert. Neste steg i prioriteringsprosessen er Standardiseringsrådsmøte den 23. og 24. november. Standardiseringsrådet vil da diskutere hvilke av de aktuelle områdene de mener bør prioriteres utredet. 1.1 Bakgrunn I Stortingsmelding nr 17 (2006-2007), IT-meldingen, ble det definert som et tiltak å etablere en referansekatalog for forvaltningsstandarder. Anbefalte forvaltningsstandarder besluttes i Difi, mens obligatoriske forvaltningsstandarder besluttes i FAD/regjeringen. Referansekatalogen er en oversikt over IT-standarder som er obligatoriske eller anbefalte for offentlig sektor. IT-standardene kan være tekniske, semantiske eller organisatoriske. Formålet med referansekatalogen er: legge grunnlaget for en velfungerende elektronisk samhandling mellom offentlige virksomheter, og mellom offentlig sektor og omverdenen motvirke faren for at offentlige virksomheter og brukere blir låst til spesielle teknologier, leverandører eller forretningsmodeller bidra til likebehandling og inkludering av alle innbyggere uavhengig av hva slags programvare eller programvareplattform hver enkelt benytter bidra til likebehandling og inkludering av personer med nedsatt funksjonsevne, der nisjeleverandører er avhengig av å kunne lage tilpasninger til eksisterende løsninger og systemer bidra til jevnere konkurransevilkår mellom aktørene i markedet, noe som kan være til fordel for norsk IKT-næring En velfungerende elektronisk samhandling krever elektroniske løsninger som forstår hverandre og kan utveksle data. Det er et viktig prinsipp at alle samhandlingsparter skal kunne velge elektroniske løsninger fra ulike leverandører, basert på egne ønsker og behov. En forutsetning for å kunne 2

samhandle i et nettverk satt sammen av ulike løsninger og systemer, er at alle følger et felles sett av standarder. 1.2 Prioritering av forslag Gjennom innspill og utredninger fremkommer det forslag til nye områder hvor det kan være hensiktsmessig å etablere forvaltningsstandarder for IT i offentlig sektor. Alle har mulighet til å komme med forslag til hva som er viktige områder for standardisering. Vurdering av hvilke forslag til anvendelsesområder som bør prioriteres, gjøres gjennom en prioriteringsprosess. I prioriteringsprosessen gjøres en vurdering av hvilke forslag som bør prioriteres med en kort begrunnelse. Denne oppgaven er Standardiseringssekretariatet ansvarlig for å få gjennomført. Forslaget til prioritering må deretter behandles i standardiseringsrådet. Når forslaget er ferdig diskutert i rådet, er det Difi som forestår endelig beslutning. Informasjon om underlag fra sekretariatet og forslag fra Standardiseringsrådet skal sammen med informasjon om fremdrift legges ut på Standardiseringsportalen, slik at eksterne parter har mulighet til å gi innspill for å påvirke arbeidet. Normalt gjennomføres prioritering årlig. 1.3 Metodikk for prioritering 2012 1.3.1 Prioriteringsprosessen Til prioritering for 2012 inngår nye forslag samt forslag fra tidligere år som enten ikke har blitt prioritert tidligere eller som har blitt prioritert, men hvor arbeid ikke er igangsatt i 2011. Alle disse forslagene inngår i en ny prioriteringsprosess for 2012. Høyest prioritet gis anvendelsesområder som allerede er under utredning, og anvendelsesområder i referansekatalogen med behov for revisjon. Siden det er anvendelsesområder som utredes, vil forslagene beskrives slik at det prioriteres mellom anvendelsesområder. Det er normalt sett først gjennom nærmere utredning det kan besluttes hvilke(n) standard(er) som er aktuelle å peke på for anvendelses. Prioritering av de ulike anvendelsesområdene vektes og argumenteres med utgangspunkt i kriterier som er definert i Standardiseringsrådets arbeidsmetodikk: 1. 2. 3. 4. Vurderingen som skal ligge til grunn for prioritering av forslagene skal gjøres på et overordnet nivå og krever ikke uttømmende argumentasjon. Det er allikevel viktig å komme opp med avgjørende argumentasjon for å kunne prioritere. For å få frem viktige momenter for og mot prioritering av ulike anvendelsesområder vil arbeidet med prioriteringsnotatet for 2012 gå gjennom følgende steg: Åpen prosess på nettstedet Åpen workshop med eksterne aktører (offentlig sektor og næringsliv) Behandling i Standardiseringsrådet Beslutning i Difi 3

1.3.2 Forklaring til vurdering av forslagene Kriteriene 1 3 vurderes på en skala fra 1-10, hvor 10 er høyest (best). Hvert tall representerer her nødvendigvis ikke en helt målbar effekt eller gevinst, men er en generell vurdering av kriteriet. Kriterium 4 vurderes ikke med tall, men i nivåene Liten Middels Stor. I denne vurderingen anslås det nødvendig antall månedsverk(ekskl. samfunnsøkonomisk analyse). En liten utredning vil være i størrelsesorden mindre enn 6 månedsverk, en middels utredning vil tilsvare 6-12 månedsverk og en stor utredning vil være større enn 12 månedsverk. Hvert kriterium vurderes hver for seg. Det er ikke slik at høyeste sum gir høyest prioritet. Det er en helhetlig avveining. 2 Allerede prioriterte anvendelsesområder 2.1.1 Pågående utredninger På noen anvendelsesområder er det igangsatt arbeid som ikke blir ferdigstilt i 2011. Disse vil ferdigstilles i 2012, og er således allerede prioritert. Dette gjelder følgende: Utredning av standarder for risikostyring Sikker elektronisk meldingsutveksling mellom Noark sak- og arkivsystem Eventuelt andre områder som er prioritert og som påbegynnes i 2011 2.1.2 Anvendelsesområder for revisjon Et eget revisjonsnotat er under utarbeidelse for de anvendelsesområder som allerede eksisterer i referansekatalogen. Her vurderes hvilke anvendelsesområder som må revideres i 2012. Det er helt avgjørende å holde referansekatalogen og Forskrift om IT-standarder i offentlig forvaltning oppdatert, og nødvendige justeringer for å få dette til vil derfor bli prioritert foran alt annet. Det er i utkast til revisjonsnotat vurdert at følgende anvendelsesområder må revideres i 2012: Publisering av multimediainnhold Anvendelsesområdene for dokumentformater inklusive innkommet forslag om obligatorisk parallellpublisering ved bruk av PDF 3 Vurdering av forslag for prioritering 2012 Alle forslag er vurdert i henhold til kriteriene som er beskrevet i kapittel 1.3. For hvert forslag vil det fremgå om det er: Nytt forslag Forslag som har kommet inn gjennom innspill eller utredninger i 2011 Tidligere prioritert Forslag som har vært gjennom fjorårets prioriteringsprosess og som ble prioritert opp da, men ikke er igangsatt grunnet ressursmessige eller andre årsaker. Tidligere ikke prioritert Forslag som har vært gjennom fjorårets prioriteringsprosess, og som ikke ble prioritert i den runden, men heller ikke avvist. En oversikt over, og lenke til, alle forslag finnes på Standardiseringsportalen. 4

4 Forslag som er aktuelle for prioritering 2012 På bakgrunn av synspunkter og argumenter fremkommet i åpen prioriteringsworkshop og intern diskusjon i Difi, har forslagene som inngikk i prioriteringen blitt vurdert til enten aktuelle eller ikke aktuelle å ta videre i prosessen. Argumentasjon for hvert forslag følger i kapittel 5 og 6. Noen av de aktuelle forslagene må sees i sammenheng med hverandre. De aktuelle forslagene til prioritering er følgende områder: 1. Definisjonsarbeid: Forslag til felles definisjoner Utforming av begrepsbeskrivelser Koordinering av begreper 2. Sikkerhet (signering): Signering av PDF-dokumenter Signering og kryptering av XML-filer 3. Forslagene om geointegrasjon 4. Profil for webtjenester (web-services) 5. Standarder for publisering av åpne data 5 Vurdering av forslag som er aktuelle for prioritering 2012 På bakgrunn av synspunkter og argumenter fremkommet i åpen prioriteringsworkshop og intern diskusjon i Difi, er følgende forslag aktuelle å ta videre i prioriteringsprosessen: 5.1 Forslag til felles definisjoner Forslaget er tidligere ikke prioritert. Dette forslaget må vurderes sammen med 3.5 og 3.6. Se også kommentarer og argumenter i sammenheng. Forslaget går ut på å utforme en standard som definerer obligatoriske begrep. Dette er begreper som skal benyttes i utvikling av regelverk, beskrivelser av arbeidsrutiner og ved implementering av forvaltningsoppgaver i IT-løsninger. Lenke til forslag om felles definisjoner 9 Verdien avhenger av omfanget av bruk av de begrepene som blir etablert som "obligatoriske" begrep. Standarden vil bidra til å fjerne ubegrunnede forskjeller i begrepsbruk. Slike forskjeller hindrer samhandling og gjenbruk av data. Vi får gevinster i form av mulighet for mer gjenbruk av data (effektivitet) og mindre fare for feil og misforståelser (bedre kvalitet) 8 Gevinst: Samarbeidspartnere og brukere av 5

offentlig sektor vil møte en mer konsistent begrepsbruk, som er enklere å forholde seg til. Dette har med brukerens rettssikkerhet å gjøre. Det skal være enkelt å relatere seg til det man avgir av informasjon. Det er et problem hvis brukerne ikke forstår innholdet i rettigheter og begreper som står i en forskrift. Gevinst: Økt gjenbruk vil redusere behovet for å oppgi/sende inn samme opplysninger flere ganger Gevinst: Beslutningsgrunnlaget for beslutninger i forvaltningen blir bedre/mer helhetlig, og dermed bedre forstått, noe som reduserer faren for beslutninger som suboptimaliserer. 2 Standarden finnes ikke, men felles definisjoner vil være en parallell til referansekatalogen; en "referansekatalog for anbefalte og obligatoriske begrep". Erfaringene fra Standardiseringsrådets arbeidsmetodikk, og arbeidet med forslag til prosess for begrepskoordinering gjør at arbeidet ikke starter på bar bakke. Stor Det er forventet at gjennomføring av koordineringsprosessen vil være tidkrevende, og kreve bidrag fra alle de som berøres av koordineringen av begrepene (brukere av begrepene). 5.2 Utforming av begrepsbeskrivelser Forslaget er nytt. Dette forslaget må vurderes sammen med 3.4 og 3.6. Se også kommentarer og argumenter i sammenheng. Målet med dette forslaget er å få på plass en standard for hvordan begrepsbeskrivelsene utformes. Begrepene må beskrives på en måte som forklarer innholdet i begrepet og gjør det mulig å vurdere om dataene kan gjenbrukes i andre sammenhenger. Lenke til forslag om utforming av definisjoner 9 Verdien av standard på vil avhenge av i hvilken grad offentlige virksomheter beskriver/definerer begrepene de bruker. Gevinst: For de som går i gang med et definisjonsarbeid/begrepsbeskrivelsesarbeid, vil det redusere behovet for utredning og utprøving av hvordan arbeidet skal dokumenteres. 6

Gevinst: Begrepsbeskrivelser som er laget etter en felles standard hos den enkelte virksomhet, kan enklere sees i sammenheng med andres begrepsbeskrivelser, og danner et bedre grunnlag for å koordinere begrepsbruk i neste omgang. Gevinst: Bedre dokumentasjon av begrepsbruk kan redusere antall henvendelser som følge av uklarheter i kommunikasjonen (jf. Klarspråk) 8 Gevinst: Enklere tilgang til dokumentasjon av begrepsbruken hos en virksomhet forenkler kommunikasjonen. Gevinst: Der begrepsbruken er relatert til data som kan/skal utveksles, øker det muligheten for gjenbruk og reduserer faren for feil (økt kvalitet). 4 Det er foreslått å utarbeide en egen standard basert på eksisterende, modne, standarder for terminologiarbeid og metadata. Den nye standarden skal være enkel å bruke. Aktuelle standarder å bygge på er bl.a. ISO 704, ISO 1087. For de tekniske anbefalingene om hvordan beskrivelsene bør publiseres er noen av de aktuelle standardene nyere, og i endring. Middels Målet er en kortfattet standard, som et slags minste felles multiplum av eksisterende standarder, som skal være enkel å bruke. Det er derfor forventet en relativt liten utrednings- /standardiseringsjobb. Samtidig er det en ny oppgave for Difi å utarbeide en ny standard, noe som gjør at det er behov for å planlegge og dokumentere selve prosessen med tanke på gjenbruk. 5.3 Koordinering av begreper Forslaget er nytt. Dette forslaget må vurderes sammen med 3.5 og 3.6. Se også kommentarer og argumenter i sammenheng. Bruk av samme term med ulik mening, eller ulike termer for samme mening -- uten noen god begrunnelse -- skaper unødvendige utfordringer for samarbeid i offentlig sektor. Målet med forslaget er å få på plass en prosess for begrepskoordinering som skal bidra til å redusere antall ubegrunnede kilder til forvirring og misforståelser. Lenke til forslag om koordinering av begreper 7

. 9 På kort sikt: Kostnad: Koordineringsprosessen kan virke forsinkende for prosjekter, hvis alternativet er å se bort fra andres behov og kun dekke egne. På lang sikt: Gevinst: Samarbeid og samhandling blir mer effektivt og skjer med mindre fare for feil og misforståelser (bedre kvalitet) når likheter og ulikheter i relatert begrepsbruk er klarlagt 8 Gevinst: På samme måte som i forslaget til standard for utforming av begrepsbeskrivelser: Enklere tilgang til dokumentasjon av begrepsbruken hos en virksomhet forenkler kommunikasjonen, og effektiviserer gjenbruk av data, samtidig som det reduserer faren for feil og misforståelser. Gevinst: Tilleggsverdien ved at begrepsbruken er koordinert er at samarbeidspartnere med erfaring fra samhandling med en virksomhet får en overføringsverdi når de skal forholde seg til relaterte begreper i andre etater 2 Prosessutkastet tar utgangspunkt i Standardiseringsrådets arbeidsmetodikk, med faseinndeling fra forslag og prioritering, til utredning og beslutning. Basert på denne erfaringen må forslaget ansees å bygge på en moden prosess. Middels Det foreligger allerede et utkast til prosess. Det skal relativt lite arbeid til for å gjøre denne til en anbefalt standard i første omgang. For å kunne forbedre dette ytterligere er det trolig nødvendig å gjennomføre prosessen for noen utvalgte begreper i samarbeidsprosjekt der det er behov for avklaring av betydningen av ulike begrep, f.eks. knyttet til EDAG-arbeidet eller i arbeidet med modernisering av folkeregisteret. Dette vil være en mer omfattende jobb, inkludert arbeidet med å tilbakeføre erfaringene til en ny versjon av standarden, som deretter bør gjøres obligatorisk. 5.4 Signering av PDF-dokumenter Forslaget er nytt. Denne anvendelsen er karakterisert av at et offentlig brukersted produserer et PDF-dokument. Brukeren skal signere dette dokumentet elektronisk med sin personlige e-id. Signaturen vil inngå i PDF-dokumentet ( PDF-signatur ). Måten dette gjøres på bør standardiseres. Lenke til forslag om signering av PDF-dokumenter 8

Kriterier Vurdering Kommentar/argument Antatt effekt for offentlig sektor av å vedta forvaltningsstandarder på Antatt effekt for brukere av offentlig sektor, 6 En utfordring med elektronisk samhandling er å få til samordning av ulike e-id-løsninger og anvendelser. Det er derfor antatt at det vil ha stor effekt å anbefale spesifikke standarder for signering av mye brukte dokumentformater. PDF er allerede mye brukt ved elektronisk utveksling av dokumenter, og i stadig økende bruk. En standardisering av PDF-signering vil kunne ha flere effekter: Mer effektiv saksbehandling, og at det kan tilrettelegges for døgnåpen forvaltning. Offentlige sektor sender ut en rekke signerte dokumenter/ vedtak som kan signeres og sendes elektronisk. Signerte dokumenter som for eksempel høringssvar kan sendes mellom offentlige virksomheter elektronisk, og innkommende brev kan mottas elektronisk. Dette gjør at man kan fjerne bruk av papir, spare porto, spare arbeid ved papirhåndtering, unngå behov for scanning ved mottak. Disse effektiviseringene er også bidrag til «Grønn IT». Et annet og viktig element er at elektroniske signaturer i større grad kan verifiseres enn manuelle signaturer. Gir økt sikkerhet og kontrollmulighet. Det å standardisere protokollene som skal benyttes gjør at det blir enklere å få hyllevare som støtter de angitte protokollene. Enkeltstandarder (som for eksempel PAdES) er ikke nok alene, men kan med tilstrekkelig omkringliggende systemer støtte løsninger som møter krav til digital signatur i EUdirektivet, inkludert kvalifiserte signaturer. Det finnes også standarder på dette som spesifiserer tillegg til PDF-dokumenter for langtids validering (LTV). Støtte for langtidsvalidering av PDF-signatur i tilgjengelig programvare og en enhetlig måte å implementere dette på vil være av stor nytte for offentlig sektor. 6 En enhetlig måte å signere dokumenter på vil ha stor effekt på brukervennlighet og økt tillitt til tjenester. Det vil bli enklere å forholde seg til offentlig sektor elektronisk. Kan få signerte kvitteringer for det som leveres inn elektronisk. Det å standardisere protokollene som skal benyttes gjør at det blir enklere å få hyllevare som støtter de protokollene som benyttes og som alle støtter. Tidsbesparende for bruker med gode og fullverdige elektroniske løsninger mot offentlig sektor. Større grad av døgnåpen forvaltning vil oppleves positivt for brukere og samarbeidspartnere. PDF er et godt utbredt format og det vil derfor være en gjenkjenningseffekt i å standardisere på dette. Brukeren vil forholde seg til noe vedkommende har sett før. Også økt 9

grad av gjenbruk av løsninger. Brukere får umiddelbar kvittering på innsendte dokumenter. Ved økonomiske transaksjoner vil også brukeren oppleve raskere utbetaling/innbetaling ved at dokumentbehandling foregår hel-elektronisk. En viktig fordel med PAdES er at denne blir implementert i allment tilgjengelig PDF-programvare, dvs. lite behov for utvikling eller tilpasning av spesialisert programvare. PDF-signering er viktig ved signering av avtaler. Skal avleveres til Riksarkivet i PDF/A. Valg av PDF er en dårlig standard for universell utforming. Finnes det en standard for signering for PDF blir det lettere å bruke dette. Bedre å signere i et HTML skjema. Vi bør være forsiktige med dette. Brukeropplevelsen kan være dårlig. Standardenes modenhet på 5 PDF og for eksempel PAdES er åpne standarder og er allerede implementert av flere leverandører. Blant annet har Adobe Acrobat Reader X støtte for PAdES del 1-4. Disse standardene er nå i versjon 1.1 og 1.2 og gjeldende versjoner ble publisert i 2009. Programvareleverandører som for eksempel Ascertia (Sign&Seal) og PDF Tools AG har i sine produkter støtte for bl.a. PaDES. Middels Standarder for elektroniske signaturer på lavere sikkerhetsnivå, som er knyttet til f.eks. loggespor ved autentisering er ikke like modne. Ikke alle PDF-lesere har støtte for signering. Kan ikke basere forslag til standard på funksjonalitet som kun finnes i et fåtall produkter. En viktig del av jobben/utredningen vil ligge i å identifisere omfanget og konsekvensene det vil medføre å utpeke spesifikke standarder, spesielt for tilbyderne. Utredningen vil måtte ta høyde for behov for dialog med aktuelle aktører. En viktig vurdering vil være om det skal benyttes ulike signaturformat for ulike applikasjoner, eller om man skal velge ett format som kan benyttes i alle applikasjoner. Utredningen må også gjøre vurderinger i forhold til om det er hensiktsmessig å legge føringer på hvordan systemer for langtidslagring skal legges opp. Spesielt med tanke på skillet mellom to hoved-metoder å løse langtidsvalidering på: 1. At signerer/sender skal lage kortidsvariant («overføringsformat"), mens mottaker verifiserer og pakker videre i langtidsformat. 10

2. Dersom en skal signere i et brukergrensesnitt mens en er pålogget den aktuelle tjenesten, kan det være mest aktuelt å pakke i langtidsformat med en gang. 5.5 Signering og kryptering av XML-filer Forslaget er nytt. Signering av ASCII tekst, et XML-dokument eller binære data er funksjonalitet som det kan være behov for ved offentlige brukersteder, for eksempel i forbindelse med elektroniske skjema. XMLsignering relativt utbredt, og bør derfor vurderes for standardisering. Lenke til forslag om signering og kryptering av XML-filer 7 Positiv effekt på samhandling. Spesielt i automatisert kommunikasjon system-system i og mellom offentlige etater, vil enhetlig bruk og implementering av standarder ha positiv effekt. Vil gjøre det mulig å få inn signerte strukturerte data, som i større grad kan bearbeides automatisk. Vil kunne gi automatisert saksbehandling i større grad enn det som kan oppnås vha. for eksempel PaDES standarder. 6 Riktige standarder vil gi full XML løsning, med mulighet for signering av alle typer data, inkludert PDF og binært. Vil kunne understøtte integrerte helhetlige løsninger. Fagsystemer kan oversende innrapporteringspliktige data til offentlige etater automatisk. Støtter løsning for multiple signaturer i parallell, og repetert signering i serie. Standardisering kan gi positiv effekt spesielt i forhold til implementering og bruk av system-system kommunikasjon. Dette vil gi mulighet for å tilby sammenhengende og integrerte tjenester på tvers av etatene. Vil også i større grad muliggjøre gjenbruk av data. Standardisering av løsninger som gir støtte for langtids validering vil bidra til sikkerhet og økt tillitt. 6 Vurderingen er gjort i forhold til standardenes modenhet og utbredelse i markedet. XML standarder har eksistert i en årrekke og har stor utbredelse. Eksempelvis er ETSI standarder for XAdES nå i 11

Middels (til stor) versjon 1.4.2 og gjeldende versjon er publisert i 2010. Første versjon av denne standarden publisert allerede i 2002. XML Signature standarder fra W3C ble først publisert i 2002, og nyeste versjon (2.0) av XML Signature Syntax and Processing er i «final draft» nå. Her kan det også være aktuelt med ikke avanserte elektroniske signaturer basert på autentisering og loggespor, som ikke er standardisert. Kan kreve tilpasning av applikasjoner, eller utvikling av mer generisk løsning med signering utenom applikasjoner. Undersøkelse rundt dette må tas med i en utredning. Utredning som omfatter mange typer webservices vil øke omfanget av. Spesielt dersom det avdekkes behov for utvikling av nasjonal profil eller veiledning for web-services og XML signering. 5.6 Forslagene om geointegrasjon Forslaget er tidligere ikke prioritert. Dette er ulike forslag knyttet til Geointegrasjon Standard. Dette er felles grensesnittstandarder og prinsipper for samspill mellom fagsystemer, GIS og saks-/arkivsystemer i offentlig sektor. Lenke til forslag om WMS/WFS standarder Lenke til forslag om standard grensesnitt til og fra fakturasystemer og for kredittkortbetaling Lenke til forslag om geografi i arkiv og saksbehandling Lenke til forslag om autentisering og autorisering i forhold til innsyn 5 Dette er et begrenset område. Dette er i utgangspunkt API-er eller grensesnittspesifikasjoner basert på velprøvde WEB-service teknologier. Effekten antas å være god på det spesifiserte, men er begrenset så den samlete effekten blir liten. 12

2 Dette er en lite og begrenset område. Dette er en intern standard for offentlig sektor og skal forbedre system til system kommunikasjon. 8 De underliggende tekniske standarder er modne Medium Forslaget bør sees i sammenheng med andre områder som ønsker å ta i bruk WEB-services og en eventuell utvikling av en nasjonal profil for WEB-services. 5.7 Profil for webtjenester (web-services) Forslaget er tidligere ikke prioritert. Forslaget går ut på å etablere en standard profil for web-services i offentlig sektor. En slik profil vil kunne gjøre det lettere for offentlige virksomheter å etablere tjenester som samvirker på en helhetlig måte i og også gjøre det enklere for fagsystemer å hente og avgi informasjon til det offentlige. Lenke til forslag om profil for webtjenester (web-services) 8 En profil vil gjøre det lettere for offentlige virksomheter å etablere tjenester som samvirker på en helhetlig måte i og også gjøre det enklere for fagsystemer å hente og avgi informasjon til det offentlige. En profil for webtjenester er etterspurt i offentlig sektor. 6 Næringslivet har i utgangspunktet fagsystemer som kan rapportere direkte inn til uten å måtte gå omveien om en skjemaløsning eller lignende. Det å få på plass en profil for web service standarder gjør det enklere å etablere fagsystemer i privat sektor som kan rapportere direkte til offentlig sektor. 6 Standardene på er modne, men det finnes flere versjoner av standardene. Hvilke versjoner som skal benyttes sammen er det som må utredes. Viktig med god veiledning og å samle beste praksis. En samlet anbefaling vil gjøre det lettere å bruke standardene. Stor Det vil være nødvendig å hente inn informasjon 13

om bruk av standardene fra brukere av standardene i offentlig sektor. Dette vil kreve en del utredning. 5.8 Standarder for publisering av åpne data Forslaget er nytt. Alle statlige etater og direktorater skal tilgjengeliggjøre egnede rådata i maskinlesbare formater. Forslaget går ut på å etablere aktuelle forvaltningsstandarder (protokoll, format, struktur/identifikatorer, metadata) for å gjøre det enklere å publisere og utnytte "Åpne data". Lenke til forslag om publisering av åpne data 6 Gevinst: I forbindelse med publisering av virksomhetens egne data, vil standardisering redusere usikkerhet og behov for egne utredninger om hvordan pålegget om publisering av åpne data skal gjøres Gevinst: I forbindelse med bruk av data andre har publisert vil standarden gjøre det enklere å ta i bruk, og tolke dataene Kostnad: Standardiseringen kan innebære ekstra kostnader for å konvertere data fra internt format til format i tråd med standarden Hjelper lite å gjøre det tilgjengelig hvis man ikke vet hvordan. Her er det viktig å få på plass standarder. 7 Gevinst: Det blir enklere å utnytte åpne data 6 Flere av de aktuelle standardene (CSV, http, XML) er modne standarder. Det finnes også nyere standarder som er aktuelle (RDF, JSON, YAML). Modenheten er et moment som må vurderes i valg mellom aktuelle standarder på. Flere av de aktuelle standardene (http, ftp) vurderes viderført fra Nosip i arbeidet med referansekatalogen versjon 3.1, og XML er allerede del av referansekatalogen under anvendelses "Arkiv-formater". Middels Gitt at vi skal være varsomme med å pålegge for 14

mye obligatoriske standarder for å unngå at det begrenser publiseringen av åpne data, men isteden skal få på plass anbefaling og veiledning i vurdering av hensyn, er det ikke behov for en omfattende konsekvensutredning. Området er relativt oversiktlig med tanke på aktuelle standarder, men det kan være behov for å arbeide med veiledning for å oppnå at data blir publisert på en så hensiktsmessig måte som mulig. Eventuelle avgrensninger 5.9 Felles rammeverk for prosjektstyring Det anbefales at det utvikles en felles standard/rammeverk slik at vi får felles språk og definisjoner og prosesser for hvordan fasene i et IT-prosjekt bør styres og gjennomføres. Prosjektstyring vil bidra til sikre en mer enhetlig gjennomføring og styring av prosjekter. Et felles omforent rammeverk for leverandører og konsulenthus vil bidra til flere vellykkede omstillingsprosjekter. 8 Bidra til å styrke ledelsens styring av enkeltprosjekter samt sikre at de riktige prosjektene iverksettes i henhold til virksomhetenes strategi og mål. Felles rammeverk er særlig viktig da vi nå er i ferd med å få flere tverrsektorielle prosjekter. Det krever opplæring, men har klare stordriftsfordeler både på forvaltning og opplæring. Gevinster ved at hver enkelt slipper å forvalte egne rammeverk. 7 Flere vellykkede omstillingsprosjekter ved bruk av IKT. Mer effektive og brukerrettede tjenester tidligere, og billigere. 8 Det finnes modne standarder på, som er mye brukt. Middels 6 Vurdering av forslag som ikke er aktuelle for prioritering 2012 På bakgrunn av synspunkter og argumenter fremkommet i åpen prioriteringsworkshop og intern diskusjon i Difi, er følgende forslag ikke aktuelle å ta videre i prioriteringsprosessen: 15

6.1 Standard for CV Forslaget er tidligere prioritert. Forslaget gjelder standard for CV-data (XML, ver. 3.0)som skal ivareta at jobbsøker skal kunne gjenbruke sine CV-data fra en CV-løsning/jobbportal til en annen, uavhengig av om CVløsning/jobbportal er levert av samme eller en annen leverandør. Lenke til forslag om standard for CV 3 Standarden antas å bedre kvaliteten på de rekrutteringsløsningene offentlig sektor har ved at det blir enklere for søkere å søke på jobber i offentlig sektor. Dette vil trolig føre til flere søkere på stillinger i og det antas at beslutningsgrunnlaget ved ansettelser vil bli bedre fordi gjenbruk av CV-informasjon vil føre til mer utførlig utfylt søknadsgrunnlag. 4 Systemer som benyttes til rekruttering/jobbsøking snakker ikke sammen i dag. Dette medfører at bruker/jobbsøker må legge inn CV-data i mange forskjellige systemer, noe som oppleves som svært tungvint for brukeren. Det at bruker kan gjenbruke CV data og eksportere og importere disse fritt medfører en stor forenkling for brukeren. Det at det blir enkelt å søke jobb elektronisk vil være med på å sikre at de beste kandidatene søker tilgjengelige jobber. 1 Samarbeidsprosjektet har valgt å benytte krav i HR-XML, ver. 3.0 som spesifikasjon for formatet. For Norske spesialfelt er det opprettet et eget namespace: hrno. Namespacet spesifiserer de felter som er spesifikke for den norske implementasjonen av standarden. Standarden blir utviklet gjennom HR-XML Consortium. De oppgir å være en uavhengig, non-profit, frivillig organisasjon. Den norske profilen av HR-XML standarden som er laget for dette, er umoden og i ferd med å bli implementert. Liten Det finnes også løsninger basert på sosiale medier som er i ferd med å bli mer utbredt. Det kan være lurt å vente litt for å se hva som skjer. Liten 16

6.2 Dokumentasjon av IT-kompetanse Forslaget er nytt. Forslaget går ut på å utarbeide et ramme- eller metodeverk for å beskrive og dokumenter IT kompetanse. Lenke til forslag om dokumentasjon av IT-kompetanse 1 Forslaget har liten betydning for samhandling i offentlig sektor. 1 Forslaget har liten betydning for samhandling mellom offentlig sektor og brukere. 3 Standarden som det har kommet inn forslag om befinner seg i versjon 2. Det er ikke kjent i hvor stor grad den er tatt i bruk. Det er heller ikke kjent hvor mange andre standarder som finnes på. Middels Dette vil medføre kartlegging av alternative standarder på. 6.3 Felles emneordliste for offentlig sektor Forslaget er tidligere prioritert, men ikke igangsatt pga påvente av ny versjon av aktuell standard. Forslaget omhandler et klassifiseringssystem informasjon om offentlige tjenester. Lenke til forslag om felles emneordliste 4 Så vidt vi har kjennskap til finnes det kun en standard på. Los er en felles emneordliste for offentlig sektor for å beskrive offentlige tjenester og å knytte informasjonsressurser til emneordene. Terminologien i Los har brukerorientert vokabular, felles og gjenkjennelig presentasjon på ulike portaler og felles standard for utveksling av informasjon Dette innebærer at det vil være gevinster ved å bruke standarden. 17

Dette antas å få effekt for brukerstøtte. 5 LOS vil gjøre det mer gjenkjennelig for brukerne av informasjon fra offentlig sektor. I tillegg kan det føre til bedre utveksling av ustrukturert informasjon hvis informasjon på offentlige nettsider tagges/merkes med emneordene fra LOS. 3 LOS er en semantisk standard. Den har vært utviklet over tid og er nå i sin 3. versjon. Den er utviklet i samarbeid mellom virksomheter i offentlig sektor. Standarden er i bruk, hovedsakelig i kommunal sektor og er derfor forholdsvis moden der, mens den er umoden i forhold til statlig sektor. Standarden ble prioritert i fjor, men utsatt pga. at ny versjon er under utarbeidelse. - Bør vente på ny versjon. 6.4 Overbygningsportaler for samhandling: Forslaget er tidligere ikke prioritert. Forslaget går ut på å implementere mekanismer som trengs i en Overbygning basert på gjeldende internasjonale SOA-standarder. Lenke til forslaget om overbygningsportaler for samhandling 1 Uklart hvilken effekt forslaget vil ha for samhandling i offentlig sektor 1 Uklart hvilken effekt forslaget vil ha for brukere av offentlig sektor 1 Standardene det vises til er umodne. Den må selges ut i markedet først, til softwareprodusentene. Dette er ikke noe Difi bør vurdere å standardisere på før den eventuelt etter hvert blir mer utbredt. Stor Det antas å være en betydelig utredningsjobb for 18

å komme fram til et konkret forslag. 6.5 Arkitekturrammeverk Forslaget er tidligere prioritert. Forslaget går ut på å vurdere standardisering på felles arkitekturrammeverk i offentlig sektor. Lenke til forslag om arkitekturrammeverk 5 Det er mange som synes slike rammeverk er nyttige og etater mener at det vil forenkle samhandlingen om man benytter samme rammeverk. 2 Vi antar at effekten for brukere er begrenset. 6 Det foregår utvikling på standardene på, og ulike standarder slås sammen for å utgjøre fullstendige rammeverk. Rammeverkene er ofte litt for store, god erfaring av bruk av et litt mindre rammeverk. Danskene har laget en tilpassing av Togaf for offentlig sektor. - Det er besluttet å kjøre noen møter i en egen arbeidsgruppe for å presisere og avgrense forslaget. 6.6 Standarder for videokonferanser Forslaget er tidligere ikke prioritert. Forslaget går ut på å vurdere standardisering på videokonferansestandarder i offentlig sektor. Lenke til forslag om videokonferanser 4 Dette kan forenkle samhandling ved bruk av videokonferanseutstyr. Dette kan føre til økt bruk av videokonferanse, som kan gi miljømessige effekter med mindre reising og effektiviseringsgevinster. 19

3 Dette har en begrenset effekt, men mindre reising vil gi en miljømessig gevinst for samfunnet. 3 På er det modne standarder som utvikles gjennom åpne prosesser. Standardene som er pekt på gjennom forprosjektrapport er konkurrerende standarder, begge godt utprøvd og fullt ut akseptert på markedet. Liten Selve er i utvikling, og det er ikke hensiktsmessig å standardisere foreløpig. Dette bør markedet løse. Det skjer mye på, og det kan være flere aktuelle standarder enn de som er pekt på i forprosjektsrapporten. Det vil bli noe kartlegging som må til. 6.7 Standarder for presenceinformasjon og direktemeldinger Forslaget er tidligere ikke prioritert. Forslaget går ut på å vurdere felles standarder for presenceinformasjon og direktemeldinger i offentlig sektor. Lenke til forslag om standarder for presenceinformasjon og direktemeldinger 2 Bruk av slike løsninger skaper bedre samhandling siden meldinger kan utveksles raskt og enkelt, primært internt i virksomheter, men også mellom offentlige virksomheter. Hvordan lagre slik informasjon? Hvordan skal dette arkiveres? 6 Enklere kontakt med på ønsket kanal. Huske universell utforming for denne løsningen. Ingen allment gode løsninger for blinde, men kan være positivt for døve. 3 Standardene som er pekt på i forprosjektrapport, XMPP og SIMPLE er åpne standarder for sanntidskommunikasjon og de inngår som kommunikasjonselementer i en lang rekke applikasjoner / tjenester som øker i utbredelse. 20

Middels Dette er bl.a. tjenester som videokonferanseløsninger, samarbeidsløsninger, Unified Communication og sosiale medier. Selve er i utvikling, og det er ikke hensiktsmessig å standardisere foreløpig. Dette bør markedet løse. Det må gjøres en del kartlegging for å kunne gjøre valg på. Utredningen antas å være middels stor. 6.8 Måling av effektivitet i datasentre Forslaget er tidligere prioritert. Forslaget går ut på en nærmere utredning av standarder for måling av effektivitet i datasentre. Effektivisering av datasentre kan gi miljøgevinster og reduserte kostnader. Lenke til forslag om måling i datasentre 3 En felles metode for å måle energiforbruk i datasentre gjør det mulig å sammenligne forbruket i ulike etater og sette krav til underleverandører. Dette antas å kunne benyttes aktivt til å øke bevisstheten til offentlige ansatte på og senke energiforbruket i offentlige datasentre. Lavere energiforbruk og konsolidering av datasentre kan spare offentlig sektor for penger. Målinger kan virke effektivt, det har en egenverdi ved at man synliggjør og kan gjøre mer effektivt. Det kan tas inn i SLA hvis det finnes standarder der, hjelpe virksomheten i utforming av disse. 4 Ved at offentlig sektor går foran og viser vei, antas det at man også kan få ned energiforbruket for privat sektor, som følge av å vedta standarden. Både fordi offentlig sektor og private benytter samme leverandører og fordi privat sektor ønsker å ta ut alle mulige effektiviseringsgevinster for å være konkurransedyktige. Dette kan gi gode miljøeffekter for samfunnet. 1 I forprosjektrapport om grønn IT fra 2009 fremkommer forslag om at EU sitt normsett code of conduct on Data Centres Energy Efficiency settes til anbefalt forvaltningsstandard. Normsettet baserer seg på DCiE. 21

Middels Modenhet: Svakheten ved denne typen måling av effektivitet er at det kun er energiforbruk som måles, og ikke produksjon. Hvor utbredt disse formlene og måling av datasentre er i dag, i norsk må utredes nærmere dersom dette forslaget prioriteres. Det å peke på en slik standard og ta den aktivt i bruk vil kunne bidra til et press for å få frem mer korrekte standarder for slike målinger. Dette er et felt i stor utvikling, og før det eventuelt kan settes forvaltningsstandarder, er det behov for en grundig utredning av anvendelses og alternative standarder. Standarder må identifiseres, utredes i henhold til Standardiseringsrådets arbeidsmetodikk for å vurdere hvilke som eventuelt egner seg som forvaltningsstandarder. Det kan være at for at dette skal ha mest mulig effekt at dette bør gjøres obligatorisk for datasentre av en viss størrelse i så tilfelle må det i tillegg gjøres en del B konsekvensutredning. 6.9 Standarder for sikring av e-post Forslaget er tidligere prioritert. Det foreslås å se på RFC 3207 samt andre standarder og løsninger for en sikrere overføring av informasjon mellom publikum og offentlige virksomheter. Lenke til forslag om standarder for sikring av e-post 3 Krevende fordi man trenger en adressekatalog. Den vil høyne sikkerheten generelt, men vil gi dobbelsikring i en del tilfeller. 2 Enda mer krevende å etablere adressekatalogen. Vil gi en høynet sikkerhet, men ikke ende til ende. Dette er relevant mellom offentlige virksomheter, men ikke viktig for utveksling med innbyggere og næringsliv før du har en «type PKI ut mot folket». 6 Standarden er tatt i bruk og støttet i mange e- 22

Liten post servere. Bør sees i sammenheng med meldingskryptering og kryptering av kommunikasjonskanaler. 6.10 Identitetshåndtering Forslaget er nytt. Selv om det er kun få identitetsleverandører så kan det være mange brukersteder som er knyttet til disse. Derfor er forslaget at man velger en felles standard for videreformidling. Lenke til forslag om identitetshåndtering Antatt effekt av å anbefale standarden for brukere av. 5 Samhandling mellom de ulike løsningene for identitetshåndtering vil i utgangspunktet være fordelaktig, og vil kunne ha en viktig effekt for samhandling. Samtidig må effekten dette kan ha veies opp mot i hvilken grad det offentlige har behov for en samkjøring på det. Det pågår også arbeid med samkjøring av identitetshåndtering mellom Altinn og ID-porten som må vurderes i sammenheng med dette. Vil kunne understøtte felles integrasjon av flere e- ID-løsninger gjennom ID-porten. Dette er viktig og avgjørende når man har ID-løsninger som ikke er PKI-baserte, og PKI-løsninger som ulikt implementer. I disse sammenhengene er løsninger for videreformidling avgjørende for å kunne bli videreformidlet fra identitetshåndterere til brukerstedet. Det vil være enklere å integrere ulike ID-løsninger dersom man kan få det fra én leverandør. Gjør det også mulig å lage felleskomponenter på dette. Vil øke mulighet til gjenbruk av utbredt ikke-pki basert e-id. Offentlige etater kan få dekket sitt behov for e-id-løsninger gjennom eksisterende og allerede utbredte løsninger fremfor å skulle distribuere egne e-id-løsninger spesielt til sine brukere. 5 For brukere vil dette ha en effekt dersom det fører til en samkjørt implementering. Bidrar til et felles brukergrensesnitt og muliggjør gjenbruk av den samme e-id-en mot mange leverandører. Gir økt brukervennlighet (gjenkjennelse), og mulighet til å slippe flere innlogginger dersom 23

man benytter flere offentlige tjenester på en gang. 8 Det er modne og tilgjengelige internasjonale standarder på dette, og de ulike nasjonale løsningene/implementeringene bygger i stor grad de samme standardene. Utfordringen her ligger i det at det er variasjon i måten å implementere standarden på, noe som legger begrensninger på samhandling mellom ulike implementasjoner. Middels Det vil ikke nødvendigvis være omfattende å identifisere aktuelle standarder på, men en større jobb dersom det for eksempel skal utvikles nasjonal profil. Det er også en utfordring å identifisere hvor vanskelig det vil være å innføre endringer, ettersom det kan være et stort antall tjenester som blir berørt. 6.11 Standarder for meldingskryptering Forslaget er nytt. Meldingskryptering sikrer konfidensialiteten gjennom hele transporten av en melding. Bruk av meldingskryptering vil minimere risiko og behov for andre kompenserende tiltak siden meldingen ikke eksisterer i klartekst på noe punkt under transporten. Skal mottaker kunne dekryptere meldinger bør de være standardisert. Lenke til forslag om standarder for meldingskryptering Antatt effekt av å anbefale standarden for brukere av. 6 Tilstrekkelig standardisering og felles løsninger vil redusere kravene til sikkerhetstiltak bl.a. i databehandleravtaler mellom offentlige virksomheter og leverandører som er involvert i meldingsutveksling. Skjematjenester som legges ut er alltid sårbar i forhold til at noen kan finne på å sende inn personsensitiv informasjon i kommentarfelt eller lignende. Kryptering av slike felt, vil kunne begrense eventuell skade av å feilsende personsensitiv informasjon. Det er krav i flere sammenhenger til at man bør kryptere den informasjonen som oversendes. De som per dato har behov for slikt, har sjelden verktøyet tilgjengelig for å gjøre det. Det å få på plass en slik infrastruktur kan gjøre det enklere å 24

utveksle sikkert ved behov. 7 Økt tillitt til kommunikasjon mot offentlig tjenester. 6 Mange standarder (på flere områder) involvert. Flere av standardene er vel etablerte og har utstrakt utbredelse. Imidlertid kan det her være behov for å utarbeide egne overordnede nasjonale retningslinjer. Middels Antas behov for utvikling av nasjonale forvaltningsstandarder. I standardisering av meldings-utveksling vil det måtte involveres flere parter: leverandører av saks- og arkivsystemer og eventuelt andre fagsystemer, representanter fra kommunesektoren, evt. noen større statlige virksomheter. 6.12 Interoperabilitet mellom content management applikasjoner Forslaget er tidligere ikke prioritert. Forslaget omhandler standardisering for å oppnå teknisk interoperabilitet mellom dokumentsentriske løsninger, så kalte content managment applikasjoner. Lenke til forslag om interoperabilitet mellom content management applikasjoner 4 Integrasjon mellom offentlige virksomheters løsninger, vil kunne føre til en mer helhetlig og sammenhengende der informasjon i ulike systemer som for eksempel arkiv og fagsystem er samkjørt. 2 Det er usikkert i hvilken grad dette vil ha effekt for brukere og samarbeidspartnere. 1 CMIS standarden som er foreslått er ny. Vi har ikke kjennskap til andre standarder på. Middels Utredning krever kartlegging av alternative standarder på. 25

6.13 informasjonstjenester, spesielt knyttet til krav til URI og URL Forslaget er nytt. World Wide Web bygger på tre hovedelementer; HTML (som format for hypertekstdokumenter), http (protokoll for utveksling av dokumenter) og URL. I dag er de to første forvaltningsstandarder, mens det siste elementet som av oppfinneren selv blir vurdert som det viktigste ikke er det. Dette forslaget går ut på å standardisere hva URI/URL skal brukes til, og viktige hensyn og vurderinger for hvordan bruken skal være. Lenke til forslag om standard for bruk av URI/URL 7 Gevinst: Dette er vanskelig å vurdere, men effekten kan både komme i form av mindre merarbeid for å finne informasjon som er flyttet, og merverdi i form av nye, rasjonelle måter å arbeide på (f.eks. automatisert vedlikehold av kontaktinformasjon for offentlige etater). Videre er en URI-standard er nødvendig, men ikke tilstrekkelig for å få til effekter slik som den siste. Gevinst: Dersom en etat på eget initiativ ønsker å oppnå effekter ved god bruk av URIer, reduserer det behovet for egne utredninger. Kostnad: Et ekstra element å forholde seg til ved annen oppgaveløsning 7 Gevinst: Mer forutsigbar, forståelig og stabil adressestruktur vil gjøre det enklere å utnytte offentlig informasjon. 6 Vurderingen avhenger av hvor mange ulike forhold rundt URIer som ønskes standardisert. Generelle retningslinjer for hensyn som må vurderes ved utforming av URIer, f.eks. for å sikre stabilitet kan bygge på «Cool URIs don t change» (modent). Fast oppbygning av URIer for faste elementer på nettsteder krever derimot mer konsensusarbeid rundt begrep/oppbygning. 6 Vil avhenge av hvor hvilke forhold som standardiseres. Et forslag til standard er under utarbeidelse i regi av «Semicolon 2». En relatert arbeid for å retningslinjer for navnerom gjøres i regi av 26

Kartverket i forbindelse med innføring av forskrifter til Geodataloven. En standard for URIer kan bygge videre på disse. 27