Elektronisk identitetsforvaltning ved NTNU Arne Fjerdrumsmoen 10.12.2008
Agenda Målsetting Forventede nytteverdier av foreslåtte tiltak IAM Engelsk: Norsk: Identity and Access Management Elektronisk identitetsforvaltning
NTNUs målsetting med elektronisk identitetsforvaltning Hele organisasjonen NTNU skal tilbys en felles løsning for elektronisk identitetsforvaltning Denne skal være i henhold til NTNUs sikkerhetspolitikk og gjeldende IT-strategi for NTNU. Denne skal føre til; 1. økt kunde- og brukertilfredshet 2. bedre sikkerhet og kontroll 3. høyere produktivitet og prosessoptimaliseringer 4. økt etterlevelse av lover og retningslinjer
Prosjektstatus Milepæler i forprosjektet Jan.08 - Forprosjekt startet Mai 08 - Utarbeidet Strategi for IAM og kartlagt Eksisterende IAM ved NTNU Sep.08 - Ferdigstilt IAM-tiltak ved NTNU Okt.08 - Høring gjennomført Nov.08 - Forprosjekt avsluttes Feb.09 Prosjekt start?
Prosjektforslag for videre arbeid Eierskap Direktør for organisasjon og Informasjon (forslag) Vil berøre hele organisasjonen, krever bred involvering HR, system- og prosesseiere, IT, m.fl. Gjennomgår eksisterende prosesser som vedrørende forvalting av identiteter Utarbeider og forankrer nye retningslinjer som vedrørende forvalting av identiteter Prosjektet deles opp i leveransefaser med fokus på særskilte forbedringsområder
Prosjektfase 1 - Retningslinjer og påloggingstjeneste Nytteverdier 1. Etablering av felles retningslinjer og tjenester for identitets- og tilgangsstyring vil gjøre organisasjonen mer effektiv, ved at de ulike enhetene og informasjonssystemene benytter ens prosesser for å løse samme oppgave. Samtidig vil dette øke etterlevelse av pålagte krav til lovlydighet og muliggjøre rapportering. 2. Internasjonal mobilitet kan gjøres smidigere ved å fjerne kravet om norsk fødselsnummer knyttet til identitetsforvaltningen. Dette vil føre til at tildeling av tilgang til NTNUs tjenester kan reduseres fra uker til minutter. Generelt sett vil risiko for identitetstyveri reduseres, og NTNU blir mer i henhold til pålegg fra offentlige tilsynsorganer (Datatilsyn og Riksrevisjon). Tiltak dokumentere retningslinjene for tilgangsstyring og administrasjon av identiteter definere en NTNU-identitet som skal forenkle administrasjonen av disse finne en løsning som kan håndtere kravene og funksjonene i en felles tjeneste for tilgangsstyring
Prosjektfase 2 - Grunnlag for rapportering og revisjon Nytteverdier 3. Når NTNU får felles retningslinjer og en felles IT-tjeneste for å spore elektroniske identitetshendelser, vil grunnlaget for å etterleve lover og retningslinjer gjøres vesentlig bedre og bli i henhold til god praksis jf. Datatilsynet. 4. Med felles retningslinjer og system for logging og rapportering av identitetshendelser, vil NTNUs systemeiere i større grad få kontroll over hvem som gjør hva på systemet. Tiltak etablere retningslinjer for logging og anvendelse tilby sentral løsning for å logge anskaffe egnet rapporteringsverktøy som enkelt leser det som logges
Prosjektfase 3 - Roller og tilgangsstyring Nytteverdier 5. Felles rutiner for opprettelse og godkjenning av tilganger til NTNUs IT systemer, vil forenkle administrasjon av tilganger, dvs. at brukeren gis tilgang til rett informasjon til rett tid. Eierskap til tilgang skal flyttes fra IT-funksjonen til eier av ressursen. 6. Når NTNU får felles rutiner for opprettelse og godkjenning av tilganger, vil styring av tilganger i større grad kunne automatiseres. Dette gir økt effektivitet for alle parter samt en vesentlig forbedret brukeropplevelse. 7. Når det er etablert en standard for bruk av NTNUs roller, vil etablering av nye IT-tjenester kunne gjøres langt raskere og enklere Tiltak brukere skal få tilgang til rett informasjon til rett tid, gjennom å defineres og forankeres roller og rollestruktur inkl. eierskap til disse i organisasjonen etablere retningslinjer for vedlikehold og forvaltning av rollene anskaffe og implementere verktøy for rollemodellering forankre rollene i NTNUs prosesser for identitetsforvaltning opprette en NTNU-standard for koblingen mellom ressurs og rolle
Prosjektfase 4 - Forbedret administrasjon og grunnlag for selvbetjening Nytteverdier 8. Administrasjon og kontroll av identiteter gjøres i dag sentralt av IT-funksjonene, men dette kan gjøres langt mer effektivt ved å forenkle administrasjonssystemene. Dette gir grunnlag for at HR-funksjonen selv kan utføre dette arbeidet. 9. Ved å ha et felles verktøy for å håndtere prosessene i identitetsforvaltningen kan NTNU tilby tjenester for selvadministrasjon og annen brukernær administrasjon av brukerinformasjon. Dette sikrer kvalitet, gir økt kontroll og skaper en bedre brukeropplevelse. Tiltak etablere en IT-tjeneste som håndterer prosessene for identitetsforvaltning i organisasjonen etablere et felles administrasjonsverktøy for hele organisasjonen, - både til selvadministrasjon og annen brukernær administrasjon innføre et verktøy som håndterer prosessene i identitetsforvaltningen, - større grad av selvbetjening gjøres mulig
Prosjektfase 5 - Automatisering og selvbetjening Nytteverdier 10. NTNU kan få en langt mer effektiv administrasjon av brukere hvis eksisterende informasjon som ligger i PAGA og FS (autoritative kilder) brukes til å automatisere administrasjonen. 11. Kvaliteten på identitetsinformasjonen kan forbedres ved å innføre større grad av selvadministrasjon. Dette vil øke effektiviteten rundt administrasjon av identitetsinformasjon samt øke brukertilfredsheten. Tiltak organisasjonen tar i bruk tjenesten etablert i fase 4, og informasjonen i NTNUs autoritative kilder benyttes nå til å automatisere identitetshåndteringen i andre tjenester selvadministrasjon og brukernær administrasjon kan nå tilbys
Prosjektfase 6 - Tjenester for innsyn og rapportering Nytteverdier 12. NTNU kan få rutiner vedrørende rapportering av identitetshendelser samt kunne gjenfinne informasjon om hendelser når dette er påkrevd 13. NTNU kan ved økt grad av selvbetjening øke kvaliteten på informasjon om den enkelte, slik som personlige opplysninger og tilganger Tiltak tilby mer funksjonalitet i IT-tjenestene for innsyn og rapportering
Status Styringsgruppen for prosjektet vil fremme et forslag til prosessutvalget med anbefaling om å starte prosjektet i 2009