Synpunkter på revisionsrapport HS IT i organisationen

Transkript

1 1(1) HS 2007/0032 Synpunkter på revisionsrapport HS IT i organisationen ur ett nyttoperspektiv Av såväl revisionsrapportens rubrik som i Bakgrund framgår att avvägning mellan nytta med IT och kostnader för IT måste ske och utvärderas. Dock framgår av syftet att Syftet med granskningen är att översiktligt bedöma om de i granskningen utvalda områdena fungerar på ett tillfredställande sätt. Vid den muntliga redovisning som föregått själva rapporten har också från revisionens sida påpekats att nyttan blir lägre om IT inte fungerar, så revisionen har koncentrerats på att se om det som finns fungerar och då framförallt ur teknisk synvinkel. Vi saknar dock nyttoperspektivet i revisionsrapporten eftersom en studie av just nyttan känns mycket angelägen, inte bara om det fungerar, även om detta senare kan vara viktigt nog. Vi saknar också det samlade perspektivet när det gäller ITrelaterat användarstöd. Visserligen nämns att frågor hamnar mellan stolar när det gäller sådant som hör till applikationer och ren teknik men någon slutsats av detta redovisas inte. En viktig del att analysera är hur interaktionen ser ut mellan teknikstöd och användarstöd. Vad gäller synpunkter på kommunövergripande nivå kan vi instämma i hur angeläget det är att alla delar i påbörjat MERIT-projekt slutförs. Mer specifikt för HSF kan anges att vi också uppfattar tröghet i nätverket och att nätkapacitet till alla delar av HSFs verksamhet uppenbarligen inte varit tillräcklig. Som klarläggande kan vi också redovisa att en del problem med kommunikationen med Stockholm för HSFs del snarast avser administrativa brister i systemförvaltningen än tekniska brister. HSF kan också konstatera, på samma sätt som revisorerna påtalar, att uppföljning av brister för användare inom IT-verksamheten inte tillräckligt kan redovisas via ITCs helpdesk-system, men där HSF tack vara nyligen infört avvikelsehanterings-system istället fångar dessa avvikelser. I rapporten anges att fler verksamheter i kommunen bör använda Easit för uppföljning etc. HSF har tidigare av kostnadsskäl avstått från att använda systemet men nu påbörjat införande även för HSF. Sammanfattningsvis redovisas enligt vår bedömning inga punkter i rapporten annat än att fortsatt påbörjat förbättringsarbete är angeläget men också tillräckligt, således att inga speciella satsningar i övrigt behöver göras. HÄLSO- OCH SJUKVÅRDSFÖRVALTNINGEN Ann-Christin Kullberg hälso- och sjukvårdsdirektör Bo Magnusson Försörjningschef och IT-ansvarig Försörjning Tfn bo.magnusson@hsf.gotland.se VISBY Fax Hälso- och sjukvården på Internet; Org nr Gotlands Kommun SE

2 Revisionsrapport Granskning av IT i organisationen ur ett nyttoperspektiv Gotlands kommun Juni 2006 Göran Persson Lingman Louise Cedemar

3 INNEHÅLLSFÖRTECKNING Sammanfattande bedömning Inledning Bakgrund Syfte Metod och avgränsning Granskningsresultat Är roller och ansvar för regelverk, drift och utveckling tydliga inom kommunen? Har kommunen en tydlig bild över vilka krav som kommer att ställas på kommunens verksamheter den närmaste treårsperioden och finns det strategier och mål för hur dessa krav ska uppfyllas och om det finns strategier och mål, är de väl förankrade? Finns aktuella och ändamålsenliga policys, riktlinjer inom IT framtagna? Har kommunen en ändamålsenlig finansiering av IT-kostnaderna och en tillfredsställande kostnads- och verksamhetsuppföljning? Finansiering Kostnadsuppföljning Verksamhetsuppföljning Har kommunen en ändamålsenlig IT-infrastruktur? Finns tillfredställande rutiner för inköp av teknisk utrustning, datorer och program? Finns tillfredsställande rutin för installation och underhåll av programvara i användarens dator Finns det ändamålsenliga rutiner för incidenter, stöd och support? Har kommunen en fastställd och tillämpad IT-säkerhetspolicy och i så fall sker uppföljning över att policyn tillämpas?...21 Bilaga 1 Påverkansfaktorer (resonemang avseende faktorer som påverkar IT-nytta och kostnader) Bilaga 2 Graf som visar sammanställning av IT-frågor till användare Bilaga 3 Av kommunen upprättad tabell som tydliggör ansvar Bilaga 4 Vår kartläggningsblankett infrastruktur 2

4 Sammanfattande bedömning Vi vill sammanfatta vår granskning med att vi bedömer resultatet avseende de flesta av de kontroller som vi utfört vara tillfredsställande. Vi har även konstaterat brister och otillfredsställande störningar som är viktiga att förbättra. Samtidigt kan vi konstatera att det pågår ett förbättringsarbete där ansvariga aktivt arbetar med förbättringsarbete t ex Meritprojektet som innehåller ett flertal förbättringsområden (delprojekt) Arbete med en ny IT-strategi pågår Säkerhetsarbete enligt Krisberedskapsmyndighetens Basnivå för IT-säkerhet (BITS) ITC har nyligen börjat arbeta med en ny metod för att med automatik kartlägga prestanda i användarnas datorer tillsammans med systemen För att säkerställa att förändringar av befintlig IT-infrastruktur sker effektivt och säkert pågår ett projekt kring detta. Syftet är att förbättra förändringshanteringen (processer, ansvar och konfigurationsdokumentation). I de arbeten som pågår är det givetvis viktigt att tydliga tidsplaner sätts upp och att kommunledningen säkerställer att arbetet slutförs enligt uppsatta planer. Andra områden som vi bedömer vara otillfredsställande och som är viktiga för kommunen att förbättra sammanfattas i nedanstående punkter. Det är viktigt att det sker en förbättrad kontroll och uppföljning av IT-säkerhet inom kommunen. Kommunledningen och IT-säkerhetsansvarig ska försäkra sig om att organisationen (chefer, systemansvariga, användare m fl ) förstår vad var och ens ansvar innebär och att framtagna policys och instruktioner tillämpas. Det är i anslutning till ovanstående punkt viktigt att tydliggöra rollen som ITsäkerhetsansvarig. (T ex samspelet mellan IT-säkerhetsansvarig, ROI, IT-chef och kommunledning. Vilka befogenheter finns? Hur ska arbetet bedrivas avseende riskvärdering? Hur ska information och uppföljning ske mot verksamheterna? Vad vill kommunledningen ha svar på och på vilket sätt ska rapporteringen till ledningen ske? Vilka resurser krävs?). 3

5 Det är viktigt att rollen som systemägare för kommunens system ytterligare tydliggörs. I arbetet med IT-säkerheten vill vi peka på vikten av ta fram systemsäkerhetsplaner. I detta arbete är det viktigt att förvaltningschefer engageras. För att säkerställa att kommunens brandväggar och andra resurser fungerar på ett tillfredställande sätt är det viktigt att tester på ett rutinmässigt sätt genomförs via sk intrångstest både från insidan och utsidan av kommunens brandväggar. I samband med detta bör ansvariga säkerställa att obehöriga ej har åtkomst till databaser/information. IT-avdelningens redovisning av kostnader är positiv men det är viktigt att kommunens totala kostnadsuppföljning avseende IT ses över. Det är viktigt att ITC alltid medverkar i de beslut (som berör IT) som tas på olika håll inom kommunen. Detta för att bl a kunna bedöma vilka förändringar som krävs, vad som är möjligt inom den kapacitet som finns och/eller om kapaciteten behöver utökas eller förändras. Vi bedömer att kommunen har många bra dokument inom IT och att det pågår ett förbättringsarbete. Vi upplever att det är svårt att överskåda de dokument som finns. Det är därför viktigt att det sker en översyn av de dokument som finns och i anslutning till detta sker en översyn över hur de olika dokumenten ska kommuniceras till olika ansvariga och användare 4

6 1. Inledning 1.1 Bakgrund Kommunens IT-stöd är av stor betydelse ur olika synvinklar. Den moderna informationsteknologin ger möjligheter att höja kvalité, säkerhet och effektivitet i verksamheten, sprida och öka tillgängligheten till information m m. Inom vissa områden är det idag självklart att IT är en förutsättning för att aktiviteter och processer skall fungera. Satsningar inom IT medför också risker att nyttan är alltför låg i förhållande till de kostnader som är relaterade till organisationens IT. Kostnader i förhållande till de nyttoeffekter IT ger påverkas av en mängd olika faktorer, t ex tillräcklig infrastruktur, bra processer, rutiner, ansvar och kompetens. 1.2 Syfte Syftet med granskningen är att översiktligt bedöma om de i granskningen utvalda områdena fungerar på ett tillfredsställande sätt (se vårt resonemang avseende påverkansfaktorer i bilaga 1). Är roller och ansvar för regelverk, drift och utveckling tydliga inom kommunen? Har kommunen en tydlig bild över vilka krav som kommer att ställas på kommunens ITverksamhet under den närmaste perioden och finns det strategier och mål för hur dessa krav ska uppfyllas? Har kommunen ändamålsenliga policys och riktlinjer? Har kommunen en ändamålsenlig finansiering av IT-kostnaderna och en tillfredsställande kostnads- och verksamhetsuppföljning? Har kommunen en ändamålsenlig IT-infrastruktur? Finns det tillfredställande rutiner för stöd och support? Finns tillfredställande rutiner för inköp av teknisk utrustning, datorer och program? Har kommunen en fastställd och tillämpad IT-säkerhetspolicy och i så fall sker uppföljning över att policyn tillämpas? Underlag från användarformulär kommer att delges ansvariga för ytterligare analys och eventuella förbättringsåtgärder. 5

7 1.3 Metod och avgränsning För genomförande har vi tagit del av relevanta dokument samt intervjuat ansvariga och andra nyckelpersoner inom kommunen. Vi har via webbaserade frågeformulär samlat in uppgifter från IT-chef och systemförvaltare för några utvalda system. Användare av de utvalda systemen har besvarat frågor dels rörande kommunens IT i allmänhet och dels kring nyttjande av de utvalda systemen nedan Procapita BUF Procapita IFO Sofia Omfale Take Care ÄHS En grafisk sammanställning av svaren på de allmänna IT-frågorna som ställdes till användare visas i bilaga 2. (209 användare besvarade vårt formulär. Vilket är ca hälften av de användare som gavs möjlighet att besvara). Granskningen har avgränsats till de kontrollpunkter som redovisas under avsnitt 2, Granskningsresultat. 6

8 2. Granskningsresultat 2.1 Är roller och ansvar för regelverk, drift och utveckling tydliga inom kommunen? Iakttagelser: IT-Centrum (ITC) bildades 1 januari 2002 och består av två avdelningar: Allmäntekniska och Systemtekniska. Därutöver finns en stab/projektgrupp på tre personer. Idag arbetar 47 personer inom IT-Centrum. Förutom IT-chef och två projektledare/it-konsulter är övriga ITtekniker med olika inriktning. IT-Centrum är en utförarorganisation där ROI (Rationalisering Organisation och IT) är systemägare och beställare av IT-infrastrukturen. ROI består av kommunens IT-strateg samt en projektledare. Vid behov av ytterligare kompetens använder ROI konsultstöd. Inom förvaltningarna finns utsedda IT-strateger som idag är ca 10 st. I kommunen finns en IT-strategigrupp utsedd och den består av förvaltningarnas IT-strateger och IT-kontaktpersoner. Kommunens IT-strateg är föredragande i ROI och ITstrategigruppen. För att lyfta IT-frågor till kommunledning diskuteras även IT-frågor i kommunens administrativa styrgrupp där bl a förvaltningschefer ingår. I framtagna dokument finns organisation, roller och ansvar för olika frågor inom IT beskrivna. Dokumenten anger övergripande ansvar för bl a Ledningskontoret IT-strategigruppen o Centrala IT-strateger o Förvaltningarnas IT-strateger Konsult och servicekontoret o IT-Centrum Systemägare Systemförvaltare Systemadminstratör Säkerhetsgrupp och IT-säkerhetsansvar Roller tydliggörs även i ett upprättat dokument för grundabonnemang där det anges vilka tjänster som IT-Centrum tillhandahåller. Vid tjänster utöver grundabonnemang (verksamhetsspecifika applikationer) tecknas speciella avtal mellan förvaltningar och IT-Centrum (ITC). 7

9 Kommunens säkerhetsgrupp ansvarar för all säkerhet i kommunen där även IT-säkerhet ingår. Utsedd ansvarig för övergripande IT-säkerhet finns. Det pågår ett projekt med syfte att upprätta styrande och stödjande dokument inom IT-säkerhet.. Arbetet bygger på Krisberedskapsmyndighetens basnivå för IT-säkerhet (BITS). Arbetet är planerat att avslutas under Vid intervjuer med ansvariga har framkommit att rollen som IT-säkerhetsansvarig inte är tillräckligt tydlig. Systemägare för kommunens system är respektive nämnd och förvaltningschefen. Det ska enligt upprättade dokument finnas utsedda systemadministratörer/förvaltare/ansvariga. Avseende vissa system upplever IT-chefen att systemansvaret i praktiken inte är lika tydligt. Detta leder ibland till att det inte finns någon tydlig motpart (kund) för att bl a diskutera tekniska förändringar med. Det förekommer att användare för resonemang och har synpunkter direkt till ITC t ex avseende vad som är tillräcklig tillgänglighet och säkerhet. All drift av kommunens system sker av IT-Centrum förutom journalsystemet Takecare som driftas på Karolinska sjukhuset, och skolans mejlsystem Tjelvar, som driftas av privat företag. 12 IT-tekniker arbetar med drift av skolans system och skolnätet. Viss support sker fortfarande ute i verksamheten. IT-chefen anser att hans och IT-Centrums roll är tydlig kontra förvaltningarna. ITC utför uppgifter enligt beställningar och förvaltningarna betalar för allt som inte ligger inom grundabonnemanget för IT-tjänster.. Vid intervjuer har även framkommit otydligheter aveende ITsäkerhet. Det är t ex oklart om ett IT-säkerhetsbeslut ska tas av ROI eller säkerhetsgruppen. De svar vi erhållit utifrån användarenkäten på fråga om tydlighet i ansvar varierar. De allra flesta användare anger att det är tydligt eller i huvudsak tydligt. Dock har flera användare uttryckt att det inte är tillräckligt tydligt. (52 användare har svarat delvis eller inte alls på frågan 13.Jag bedömer att det är tydligt för mig vem som ansvarar för olika frågor avseende IT i kommunen? ). Konsekvenser som användare anger är bl a att de inte vet vart de vänder sig och vem i kommunen som tar hand om olika frågor. Vid intervjuer med systemförvaltare har det framkommit att det ibland kan finnas otydligheter avseende ansvar vid problem eller fel och att det hamnar mellan IT-Centrum och leverantören. T ex är det ett tekniskt fel, systemfel eller kommunikationsfel. I nyligen avslutat projekt (ada-projektet) har roller och ansvarsområden ytterligare tydliggjorts. Se bilaga 3. Ett nytt omfattande projekt har påbörjats (MERIT-projektet) där roller och ansvar ytterligare kommer att tydliggöras. En dokumenterad projektmodell avseende IT-projekt finns framtagen av ITC och används inom framförallt ITC. 8

10 Kommentarer och rekommendationer: Vi bedömer det som positivt att kommunen samlat sin tekniska IT-kompetens inom en sammanhållen IT-avdelning. Vi tycker även att det är positivt att IT-frågor diskuteras inom olika formationer inom kommunen. Detta ökar sannolikt förutsättningarna att sammankoppla IT med verksamhetens mål och behov. Vi ser även risker med att IT-frågor drivs på olika håll i kommunen. Detta kan bidra till otydlighet och därmed att viktiga frågor hamnar mellan två stolar och att frågor därmed drivs och åtgärdas på ett ineffektivt sätt. Vi vill därför poängtera vikten av att kommunledningen säkerställer att ansvarsfrågor är tydliga (uppgifter, befogenheter, att ansvariga förstår sin roll o dyl). Det är viktigt att rollen som systemägare för kommunens system ytterligare tydliggörs. Det är viktigt att ansvaret/rollen alltid knyts till en person t ex förvaltningschefen eller någon av honom utsedd. Vi ser även ett behov av att förvaltningscheferna i kommunen tar ett mer aktivt ansvar för IT-utvecklingen i kommunen som helhet och inom respektive förvaltning. T ex saknas idag systemsäkerhetsplaner. Systemsäkerhetsplaner är viktiga för kommunens (verksamhetens) IT-säkerhet (säker, effektiv drift och utveckling och för att tydligöra ansvar, roller och befogenheter kring verksamhetskritiska system). Vi bedömer att det är positivt att kommunen har en utsedd IT-säkerhetsansvarig som är frikopplad från IT-verksamheten i kommunen. Det skapar bättre förutsättningar för en mer oberoende uppföljning av IT-säkerheten. Vår bild är dock att IT-säkerhetsansvaret inte är tillräckligt tydliggjord (t ex samspelet mellan IT-säkerhetsansvarig, ROI, IT-chef och kommunledning. Vilka befogenheter finns? Hur ska arbetet bedrivas avseende riskvärdering? Hur ska information och uppföljning ske mot verksamheterna? Vad vill kommunledningen ha svar på och på vilket sätt ska rapporteringen till ledningen ske? Vilka resurser krävs?). 2.2 Har kommunen en tydlig bild över vilka krav som kommer att ställas på kommunens verksamheter den närmaste treårsperioden och finns det strategier och mål för hur dessa krav ska uppfyllas och om det finns strategier och mål, är de väl förankrade? Iakttagelser: En ny IT-strategi är under bearbetning och målet är att den ska bli färdig under ITstrategin kommer att innehålla vision samt kort- och långsiktiga mål för IT i kommunen. Den är gjord utifrån den nationella strategi som gäller för landsting. IT-strategin kommer därefter att fastställas politiskt. Ett förbättringsprojekt (MERIT-projektet vilket är flera delprojekt) inom IT är beslutat under maj månad 2006 och har påbörjats inom kommunen. Yttersta ansvaret för projektet kommer Ledningskontoret/ROI ha. 9

11 MERIT-projektet (Medborgarportal, Effektivisering, Rationalisering IT) innebär bl a Åtkomst ges för medborgare att via IT kunna föra dialog med politiker, lärare, vården och ansöka om olika typer av kommunal service (enligt 24-timmarsmyndighetens intentioner) En förbättrad plattform för IT vilket ska möjliggöra för anställda och elever att erhålla åtkomst till kommunens nät oavsett var man befinner sig. Det ska bli enklare med åtkomst från orter där datakommunikationen inte är så väl utbyggd, från hemmet eller via mobila enheter. Säkerheten ska öka (förbättrad behörighetshantering o.dyl) samtidigt som det blir smidigare. Samordningen av IT inom kommunen ska öka ytterligare. Idag är t ex kolan avskiljda från kommunens nät vilket bl a innebär mycket extra arbete för ITC. Det är planerat att Hårdvara standardiseras o Färre modeller (som fungerar ihop dator-telefon-pda) o Möjlighet till avrop tillsammans med t ex SLL PC:n ägs/leasas och förvaltas centralt o IT tillhandahålls som en tjänst Standardarbetsplatsen - med fast årskostnad inom kommunen. Även PC:n ägs och förvaltas centralt. I samband med detta automatiseras PC-driften kraftigt, vilket minskar supportinsatserna PC-driften sköts automatiskt via datanätet o Bl a uppdateringar och utrullning av ny programvara o Färre programvaror (applikations konsolidering) o Användarna får smidigt de program de behöver. o Kommunen spar pengar på färre licenser. XP-uppgradering av operativsystem ingår o för 3000 PC inom ramen för projektet o Bas för enkel uppgradering av program i framtiden Kommentarer och rekommendationer: Vi kan konstatera att det pågår positiva förbättringsaktiviteter kring IT inom kommunen. Vi bedömer därför att det är viktigt att kommunledningen tillsammans med verksamheterna och IT-chefen slutför arbetet med kommunens IT-strategi. Vi vill även betona vikten av en gemensam samsyn, målsättning och samordning avseende de övergripande utvecklingsområ- 10

12 dena. Här är det givetvis viktigt att respektive förvaltning tar sitt ansvar som beställare och engagerar sig ytterligare i hur IT-utvecklingen ska ske i den egna förvaltningen. T ex vilka krav och behov finns det inom respektive förvaltning, (finns det en effektiviseringspotential med stöd av IT, finns möjligheter att öka kvaliteten, i vilken takt ska utvecklingen ske, hur ska det finansieras). I detta ligger även att färdigställa och säkerställa tillämpning av systemsäkerhetsplaner för verksamhetskritiska system. 2.3 Finns aktuella och ändamålsenliga policys, riktlinjer inom IT framtagna? Iakttagelser: Vi har i anslutning till detta kontrollområde dels kartlagt allmänna IT-dokument och dels vissa dokument kring de utvalda systemen De dokument som finns avseende IT och som vi tagit del av är bl a: IT-strategi (Antagen av kommunstyrelsen 2000) IT-policy och riktlinjer Informationssäkerhetspolicy IT-dokument, utkast 10 ( ) Regler och riktlinjer för Gotlands kommuns tekniska plattform Dokumentation av de IT-tjänster som ingår i Gotlands kommuns ITgrundabonnemang 2006 Riktlinjer för incidentrapportering inom IT-Centrum Presentation av Rödljus (ITC:s hantering av allvarligare driftsituationer) Inom ITC finns en väl dokumenterad projektmodell avseende IT-projekt framtagen: Så här arbetar vi med Projekt och Uppdrag på IT-Centrum i Gotlands kommun (fastställd i ITC Ledningsgrupp ) Ett aktivet arbete pågår idag med att ta fram dokument (styrande och stödjande) inom olika områden. Införandestrategi (ansvariga är ROI teamet) IT-strategi (ansvariga är ROI teamet) 11

13 Systemkrav (ansvariga är ITC) IT-säkerhetspolicy (IT-säkerhetsgruppen). IT-säkerhetspolicyn (BITS) håller på att tas fram med stöd från KBM (Krisberedskapsmyndigheten). Inköpspolicy (Upphandlarna) Vi har även ställt frågor kring dokumentation inom några utvalda system. Se nedan. Systemet Take Care Dokumentation, riktlinjer och manualer avseende systemet Take Care finns på intranätet. Vissa manualer erhålls från leverantör och vissa anpassas av klinikerna själva. Det finns en roll- och ansvarsbeskrivning för systemet. Avbrottsplan och reservrutiner har arbetats fram ihop med klinikerna. Riktlinjer tas fram centralt av systemförvaltaren och sedan gör klinikerna anpassningar till deras verksamhet. Systemet Procapita Det finns viss dokumentation kring systemet Procapita SOF som även finns tillgänglig på intranätet. Systemsäkerhetsplan saknas för systemet. Kvalitetssäkring av systemet är gjort och dokumenterad. Systemförvaltaren har påbörjat ett arbete med dokumentation kring systemet Procapita, BUF. Systemet Sofia Omfale Viss dokumentation kring systemet Sofia Omfales funktioner finns i systemet. Dokumenten avseende systemet finns inte att tillgå via intranätet utan systemförvaltaren förmedlar ut dessa till användare vid ex. grundutbildning eller annan utbildning. Förvaltaren försöker även muntligt informera användarna om IT-policy och säkerhetsrutiner (skärmsläckare, lösenordshantering, vart de vänder sig med fel). Ett arbete med systemsäkerhetsplan har påbörjats. Kommentarer och rekommendationer: Vi kan konstatera att kommunen idag har många styrande och stödjande dokument men att flera av dokumenten är i behov av revidering. Vi har upplevt att det är svårt att överskåda de dokument som finns och att det därmed finns risker att dokumenten inte fyller sitt syfte. Vi kan även konstatera att det pågår ett positivt 12

14 förbättringsarbete avseende IT i kommunen och i anslutning till detta tas alltså ett flertal dokument fram. Det är viktigt att kommunledning säkerställer att påbörjat arbete med de dokument som är under arbete slutförs. Det är även viktigt att det sker en översyn av de dokument som finns och i anslutning till detta sker en översyn över hur de olika dokumenten ska kommuniceras till olika ansvariga och användare. Vi föreslår att all dokumentation ska erhållas via intranätet (givetvis med undantag av användarhjälp direkt i en applikation). Utskick vid sidan av intranätet skapar onödig hantering samt att det finns risker avseende inaktualitet. Det är viktigt med information om hur och på vilket sätt ansvariga och användare ska använda dokumentationen. Detta bör vara ett viktigt inslag i utbildningsaktiviteter. T ex var och hur användare och ansvariga finner den aktuella dokumentationen. (En vision bör vara att dokument inte tas ut på papper). 2.4 Har kommunen en ändamålsenlig finansiering av IT-kostnaderna och en tillfredsställande kostnads- och verksamhetsuppföljning? Finansiering Iakttagelser: IT-Centrum är en resultatenhet och har inga anslag utan är helt kundfinansierad. I oktober 2005 slöts en överenskommelse om IT-grundabonnemang 2006 mellan parterna ROI och IT-Centrum. I mars 2006 slöts överenskommelse avseende Grundabonnemanget innebär att man fördelar ut de kostnader som uppstår vid användandet av IT. Grundabonnemanget består av en rörlig del och en fast del. Det finns sex olika abonnemangstyper, men dessa styrs mest av typ av kund/nätanslutning och typ av utrustning, så i det enskilda fallet kan kunden inte välja. Inom IT-Centrum finns en projektmodell som används vid olika typer av arbete. Det förekommer enligt uppgift att kunderna (förvaltningarna) beslutar om lösningar utan att gå den fastställda införandeprocessen, och därefter kräver att ITC driftsätter dem. I Meritprojektet kommer principer och ansvar att förändras. IT-avdelningen kommer att ta betalt utifrån faktiska kostnader för IT-stödet. Detta innebär att kostnadsfördelningsmodellen och redovisningen av IT-kostnader kommer att ses över. Samtlig IT-utrustning kommer att överföras till IT-avdelningen och funktionshyra införs även för själva PC:n. Detta kommer även att underlätta rotation av datorer och annan teknik, samordning av system, standardisering, samlade inköp av IT-utrustning 13

15 Kommentarer och rekommendationer: Vi bedömer att den kostnadsfördelningsmodell som används idag i delvis är tillfredställande. Dock är vår bild att det finns problem idag som ger negativa konsekvenser. Förvaltningarna har möjlighet att inom sin budgetram göra IT-investeringar i system och datorer. Det medför dock inte alltid att IT-avdelningen får ökade medel för utrustning och personal för att möta de krav och behov som ökat antal system, servrar och datorer medför. Belastningen på personalen inom IT-avdelningen ökar och kapaciteten i IT-infrastrukturen blir ansträngd. Vidare uppstår risker att förvaltningarna bidrar till en kostnadsutveckling som inte blir tydlig för förvaltningen och kommunledningen. Vi kan konstatera att ett förbättringsarbete har påbörjats inom Meritprojektet vilket vi bedömer vara positivt. I anslutning till ovanstående punkter vill vi tillägga att det är viktigt att ITC alltid medverkar i de beslut (som berör IT) som tas på olika håll inom kommunen. Detta för att kunna bedöma vilka förändringar som krävs, vad som är möjligt inom den kapacitet som finns och/eller om kapaciteten behöver utökas Kostnadsuppföljning Iakttagelser: De kostnader som uppstår inom IT-Centrums ansvarsområde redovisas väl av IT-Centrum. Redovisningen används vid uppföljningsarbete. Ett kartläggningsarbete avseende ITkostnader har genomförts av extern konsult med positiva omdömen för IT-Centrum. Avseende kommunens totala IT-kostnader är redovisning svår att erhålla. Även detta kommer att ses över i samband med det förbättringsprojekt som pågår. Kommentarer och rekommendationer: ITC:s redovisning och uppföljning är positiv. Dock är det viktigt att kommunens totala kostnadsuppföljning avseende IT ses över. Ett förslag till förbättring är att systemen tilldelas olika nummer som används i någon av kommunens koddelar. Detta tillsammans med kostnadsslag bör underlätta uppföljningen avseende kommunens IT-relaterade kostnader. Här vill vi även tillägga att det är viktigt att det sker uppföljning över att kostnader konteras korrekt. 14

16 2.4.3 Verksamhetsuppföljning Iakttagelser: Varje år genomför IT-Centrum en webbenkät till förvaltningarna med frågor avseende support och stöd. Frågor går ut till ett urval av användare och till systemförvaltare. Svaren analyseras och ger underlag till förbättringsarbete. Kompetensen inom IT-Centrum ses kontinuerligt över. Vid incidenter skrivs incidentrapporter för att kunna följa upp felorsak och vilken åtgärd som krävdes och om det kommer att kunna ske igen och vad detta medför för konsekvenser bl. a vilken tidsåtgång som krävs av IT-Centrum. Det är planerat att det ska ske jämförelser med andra kommuner. Det har påbörjats ett projekt med 6 andra kommuner för gemensam: Nyckeltalsmätning ek volym vs IT-volym Nyckeltalsmätning kvalitet: t ex antal olösta ärenden, andel lösta under dagen, tillgänglighet på servrar och nät etc Det finns planer på att ytterligare använda olika typer av information som skapas i det system för ärenden som finns. Kommentarer och rekommendationer: Vi bedömer att verksamhetsuppföljningen inom IT-avdelningen är tillfredsställande. Vi vill även nämna att den jämförelse som är planerad mot andra kommuner är positiv. 2.5 Har kommunen en ändamålsenlig IT-infrastruktur? Iakttagelser: Ett omfattande projekt i syfte att förbättra infrastrukturen inom kommunen kommer att påbörjas (MERIT-projektet). I kommunen finns idag ca datorer sammanlagt, varav PC i det administrativa nätet och 2000 elevdatorer. Antal användarkonton i huvudkatalogtjänsten uppgår till därtill kommer ett antal konton i respektive system. Det finns uppskattningsvis elevkonton. En förbättrad process (dokumenterade rutiner, ansvar o.dyl) för tilldelning av behörighet till kommunens nät har utarbetats. 15

17 Kommunikation sker genom ett gemensamt nät. Förbindelse finns mellan Skolnätet och kommunens nät. Skolnätet är dock ett eget logiskt nät. Mindre verksamheter har åtkomst till nätet via säkerställda förbindelser(vpn). Målet är att innan årets slut ska alla verksamheter vara inkopplade på kommunens nät med VPN-lösningar istället för idag där några fortfarande är uppkopplade via modempool och uppringda modem.. Kommunen har även en fast anslutning till Carelinks Sjunet, och därifrån en anslutning till SLLnet (Stockholm). Servern för sjukvårdens största journalsystem driftas på Karolinska sjukhuset. Kommunikationen med servern går över flera nät. Det uppstår en del problem i kommunikationen med Stockholm. Uppföljning av problemen sker kontinuerligt. Ibland uppstår problem som inte ligger inom IT-centrums kontroll. Det har under granskningen framkommit att nätverket inom kommunen är trögt. Ett projekt pågår inom IT-Centrum i syfte att utreda trögheten i nätet. Vid intervjuer med systemförvaltare har det framkommit att det ibland kan finnas otydligheter avseende ansvar vid problem eller fel och att det hamnar mellan IT-Centrum och leverantören; är det ett tekniskt fel, systemfel eller kommunikationsfel. Enligt IT-chefens uppfattning har de idag färre driftstopp än tidigare. En anledning som anges är att all drift sker från samma ställe. Gotlands kommun har en egen WWW-server som hanterar all extern information samt en intranät-server för intern information. Fiberförbindelser håller på att byggas ut på Gotland. Ett nytt serverrum har byggts för hela kommunen. Alla servrar kommer därmed att samlas på ett ställe i kommunen. Av säkerhetsskäl sker datalagring via ett avancerat system innehållande bl a spegling av data, backuptagning, två bandrobotar. För att säkerställa att förändringar av befintlig IT-infrastruktur sker effektivt och säkert pågår ett projekt kring detta. Syftet är att förbättra förändringshanteringen (processer, ansvar och konfigurationsdokumentation). Intrångstest har gjorts mot kommunens brandväggar. Tester sker dock ej kontinuerligt. Inom IT-Centrum finns en teknikkoordinator som bevakar säkerhetsfrågor av bl. a brandväggen. På frågan om störningar som orsakar tidsbortfall varierar svaren men flera användare upplever att de förlorar tid genom att datorer och/eller systemen krånglar. 16

18 Tabellen visar svar från användare på frågan: Gör en grov uppskattning av hur mycket tid du förlorar pga t ex avbrott, väntetider och fel (Dels då du arbetar med angivet system men även men andra IT-verktyg) 0.Vet ej 17 1.Jag förlorar mer än 3 timmar per vecka 0 2.Jag förlorar mellan 1-3 timmar per vecka 6 3.Jag förlorar mellan 20 min - 1 tim per 66 vecka 4.Jag förlorar mindre än 20 min per vecka 96 5.Jag upplever inte att jag förlorar tid pga avbrott och väntetider eller fel Totalt ITC har nyligen börjat arbeta med en ny metod för att med automatik kartlägga prestanda i användarnas datorer tillsammans med systemen (mätning har påbörjats och kommer under hösten 2006 att omfatta alla 3000 användardatorer). Ett flertal viktiga mått kan tas fram i syfte att förbättra infrastrukturen. Mer iakttagelser avseende larm och störningar åskådliggörs i vår kartläggningsblankett i bilaga 4. Kommentarer och rekommendationer: Vi upplever att kommunen i huvudsak har en tillfredsställande IT-infrastruktur utifrån de krav som ansvariga och användare ställer idag. Vår bild är att det förekommer otillfredställande störningar som är relaterade till datorer, annan teknik och/eller systemen. Vi kan dock konstatera att det förekommer ett förbättringsarbete. Vi föreslår att IT-chefen ser över möjligheten att ytterligare förbättra kodningen i helpdesksystemet för att utgöra underlag till en tydlig dokumenterad bild över problem, andra ärenden och konsekvenser på ett bättre sätt. (Se mer om helpdesk i avsnitt 2.8). Vi har noterat att det påbörjats förbättringsaktiviteter i samband med Meritprojektet och att det redan pågår ett projekt sedan tidigare kring infrastrukturen. För att säkerställa att kommunens brandväggar och andra resurser fungerar på ett tillfredställande sätt är det viktigt att tester på ett rutinmässigt sätt genomförs via sk intrångstest både från insidan och utsidan av kommunens brandväggar. Det ska säkerställas att obehörigåtkomst till databaser, information och system ej är möjlig. 17

19 2.6 Finns tillfredställande rutiner för inköp av teknisk utrustning, datorer och program? Alla beställningar ska enligt skriftlig rutin gå via ITC. IT-chefen bedömer att detta fungerar tillfredställande och har blivit bättre genom att även skolorna nu beställer via ITC. Beställningen görs av en utsedd beställare vid förvaltningen (särskild blankett finns för ändamålet). Efter att beställning nått ITC finns rutin mot leverantör. Ett problem som anges är att kunden (förvaltningen) riskerar att få fakturan innan varan inkommit. Dvs direkt från leverantören och inte via ITC. Processbeskrivning avseende detta finns. Kommunens IT-strategigrupp har ansvarat för utarbetandet av Regler och riktlinjer för Gotlands kommuns tekniska plattform som är ett av fyra dokument i kommunens IT-strategi. Där går bl. a att läsa; All utrustning och mjukvara ska före beslut om inköp godkännas genom tester i det kommungemensamma datanätet (GOKART). Pris- och produktkontroll ska göras enligt interna regler vid avrop på kommunala ramavtal. Vid införande av ny applikation eller ny modul eller uppgradering ska ITsysteminförandepolicy användas. För att få en PC inkopplad till nätet måste angivna standards gälla, även att ett grundabonnemang är tecknat. IT-Centrum ansvarar för all datakommunikation, inköp och installation av teknisk utrustning, kablage fram till och med nätuttag i vägg samt funktion. PC och även viss programvara ägs idag lokalt. Detta leder bl a till att datorer inte återkommer till ITC efter att datorer ej används. Detta leder till att ansvariga vid ITC upplever att den centrala kontrollen över var datorer tar vägen är otillräcklig. Kommunen arbetar för en hårdare styrning avseende PC och programvara. Detta har beaktats i Meritprojeket. Kommentarer och rekommendationer: Vi bedömer att hanteringen av PC inte vara tillfredställande idag. Det är bl a viktigt att det finns tydliga rutiner och ansvar för att ta hand om datorer efter att de ej används. Detta har dock beaktats i Meritprojektet. 18

20 2.7 Finns tillfredsställande rutin för installation och underhåll av programvara i användarens dator Leverantören gör en grundinstallation av programvara enligt krav från kommunen. Beställningar av programvaror från förvaltningarna görs till ITC som köper in dem. Idag finns olika typer av grundinstallationer av program. ITC arbetar med att standardisera ytterligare. Verktyg finns för att fjärrstyra förändringar och underhålla program i användares PC. Idag kan detta inte göras på alla ställen inom kommunen ( t ex skolan). Förbättringsaktiviteter med att kunna fjärrstyra alla kommunens PC pågår. Kommentarer och rekommendationer: Vi kan konstatera att rutiner i huvudsak är tillfredsställande idag och att det pågår ett förbättringsarbete. 2.8 Finns det ändamålsenliga rutiner för incidenter, stöd och support? Iakttagelser: IT-Centrum har en Helpdesk dit användare kan vända sig för support och hjälp. Helpdesk går att nås både via telefon och via mail. Vid större fel möts alla som ringer av förinspelat meddelande om felet. Även mail skickas till berörda. Planerade driftstopp (servicefönster) sker normalt enligt i förväg fastställda tider. IT-Centrum mailar dessutom alltid ut och påminner om detta. Större incidenter kan rapporteras via incident- eller avvikelserapport. Andra typer av problem tas upp vid fortlöpande kunddialog med respektive förvaltning eller i IT-strategigruppen. Incidenter och fel delas in i fyra olika nivåer; Vanliga fel (låg och normal), Akuta fel, Blåljus fel samt Rödljus fel. Vanliga fel och Akuta fel är incidenter som inträffar under vanlig drift. Blåljus är ett allvarligare driftsstopp, men som går att lösa inom rimlig tid. Rödljus är den allvarligaste situationen. När en incident inträffar ska en insatsledare och en informationsansvarig utses inom ITC. Informationsansvarige sköter all information mot användarna. Dokumenterade rutiner finns för hantering av dessa fel. IT-Centrum gör incidentrapporter på större fel. Varje rapport avslutas med förslag på hur man ska arbeta för att förebygga denna typ av fel. Kommunen har ett ärendehanteringssystem (EASIT - webbaserat) där incidenter dokumenteras. I dokumentet Riktlinjer för Incidentrapportering inom IT-Centrum beskrivs syftet med incidentrapportering bl. a mäta tillgänglighet, lära av misstag identifiera utbildningsbehov, belysa behov av reservrutiner, ökad säkerhet m m. 19

21 De allra flesta användarna som besvarat vårt formulär är nöjda med den hjälp de får. Vissa har uttryckt att det ibland tar för lång tid att erhålla hjälp. Ett projekt som pågår inom IT-Centrum (som nämnts ovan) är test av en programvara som i realtid kan mäta statusen i varje PC för att kontrollera vart ett fel ligger. Beredskapsavtal finns tecknade för sjukvårdens verksamheter samt kommunens telefoni. Enligt IT-chefen är den största felkällan hos användare lösenord och inloggning. Inom detta område har förbättrade rutiner framtagits. Respektive chef ansvarar för att användarna får utbildning. IT-Centrum har i samverkan med ROI tagit fram förslag på webbutbildning och test innan en användare får tillgång till kommunens nät. IT-chefen uttrycker att utbildning bl a kommer att vara positiv för IT-säkerheten. Beslut om att införa detta test har dock inte fattats av beställarna. Användarna vänder sig till respektive systemförvaltare när de behöver hjälp med de system, program och andra IT-tillämpningar som de använder. Utbildning avseende olika system i kommunen varierar. En del av de intervjuade systemförvaltarna har gjort förfrågningar vad för kompetens som användarna anser saknas och för vissa system har användare kurser vid ca 2-3 tillfällen. När en större modul ska införas är det vanligt att utbildning sker. En av systemförvaltarna arbetar efter mottot att ingen användare får behörighet till systemet utan utbildning. I Meritprojekt finns planer på att ytterligare förbättra kundservice till användare. Kommentarer och rekommendationer: Vi bedömer att kommunen har en tillfredsställande hantering av incidenter. I anslutning till detta är det positivt att kommunen har en helpdesk för inkomna ärenden. Vi föreslår dock att IT-chefen tillsammans med andra ansvariga ser över hur helpdesksystemet ytterligare kan vara ett stöd för olika åtgärder. Systemet bör kunna ge ett ännu bättre stöd/information för till proaktivt arbete (T ex - är problemet tekniskt eller kompetensrelaterat? Vad beror ett tekniskt problem på? Har det att göra med systemet eller infrastrukturen? Vem ansvarar för att åtgärda problem, vilka utbildnings-/informationsinsatser bör göras etc). Användarna kan idag vända sig till olika ansvariga för att erhålla hjälp och support. Det är viktigt att ansvariga säkerställer att de har kontroll på de problem och frågeställningar som förekommer. Detta är viktigt för att åtgärda, förebygga samt utgöra underlag för resurstilldelning. Det systemet som används Easit - bör kunna användas av flera ansvariga (t ex system- 20

22 förvaltare)i kommunen så att information avseende IT-relaterade frågor och störningar från användare samlas upp på ett ställe. Det är viktigt att ansvariga på olika nivåer informerar och följer upp att användare använder helpdeskfunktionen på ett erforderligt sätt. 2.9 Har kommunen en fastställd och tillämpad IT-säkerhetspolicy och i så fall sker uppföljning över att policyn tillämpas? Iakttagelser: Ett arbete med att ta fram viktiga säkerhetsdokument pågår bl a IT-säkerhetspolicy och andra dokument (enligt BITS). Systemsäkerhetsplaner för system i kommunen saknas. I dokumentet IT-dokument finns ett avsnitt med övergripande riktlinjer avseende ITsäkerhet och där står att den som har ansvaret för en viss verksamhet har också ansvaret för IT-säkerheten inom sitt verksamhetsområde, d v s systemägaren (nämnd/styrelse). Dokumentet innehåller även riktlinjer för användning av Internet och e-post. Dessa områden finns också mer beskrivna i dokumentet Elektronisk post och offentlighet i Gotlands kommun. I kommunen finns en säkerhetsgrupp som ansvarar för all säkerhet i kommunen där även ITsäkerhet ingår. Ansvarig för IT-säkerhet finns utsedd. På fråga om det är känt vad som gäller avseende IT-säkerhet har 37 användare (av de 209 som besvarat formuläret) angett att det är delvis eller inte alls känt vad som gäller avseende IT-säkerhet. Jag anser att det är känt och tydligt för mig vad som gäller avseende IT-säkerhet inom kommunen? ( t ex hantering av lösenord hantering av virus, etik på internet, säkerhetskopiering, spridning av upphovsrättsskyddat material Vet ej Inte alls Delvis I huvudsak Helt 21

23 Kommentarer och rekommendationer: Det är viktigt att kommunledningen säkerställer att det påbörjande arbetet enligt BITS slutförs. Det är viktigt att det sker en förbättrad kontroll och uppföljning av IT-säkerhet inom kommunen. Kommunledningen och IT-säkerhetsansvarig ska försäkra sig om att organisationen (chefer, systemansvariga, användare m fl ) förstår vad var och ens ansvar innebär och att framtagna policys och instruktioner tillämpas.. Vår bild är att IT-säkerhetsansvaret inte är tillräckligt tydliggjord. Se mer om detta i avsnitt 2.1 Roller och ansvar 22

24 Påverkansfaktorer Bilaga 1 Med påverkansfaktorer menar vi att förutom tillräckligt bra IT-system påverkas nyttan av och kostnaden för IT av många faktorer som givetvis helt eller delvis samverkar. T ex: Tydliga och bra processer (inklusive system) i verksamheten (hur ska det gå till då det fungerar som önskvärt) Ansvar för att processer (inklusive system) ska fungera på ett tillfredställande sätt i verksamheten Tydlighet avseende leverantörers ansvar för IT-systemens funktionalitet (t ex via avtal) Tillräcklig infrastruktur och IT-avdelningens förmåga (Tillräckliga datorer, registreringsenheter och kommunikation. IT-avdelningens förmåga att ta hand om incidenter, problem, genomföra förändringar i infrastrukturen o.dyl) Stöd och support t ex utbildning, lathundar och att kunna erhålla hjälp vid behov t ex via helpdesk Uppföljning (t ex via dokumentation från helpdeskrutin, uppföljningsmöten, enkäter o.dyl) Ledningens engagemang och användarnas motivation God IT-säkerhet Att inte beakta påverkansfaktorer på ett tillfredsställande sätt innebär att nyttan bli mindre och/eller kostnaden blir högre. Detta åskådliggörs i nedanstående figur. 23

25 Dolda kostnader innebär krångel och störningar som leder till bortfall av tid och andra oönskade konsekvenser hos användare vilket orsakas av brister i påverkansfaktorer. T ex beroende på att användare inte har tillräcklig kompetens eller att datorer och kommunikation krånglar av olika orsaker (T ex beroende på otillräcklig prestanda, bristande konfiguration av de olika objekt som ingår i infrastrukturen eller att det sker okontrollerade förändringar av infrastrukturen) Fig visar att lite störningar och krångel ökar nyttan och sänker dolda kostnader. Viktigt att ha kontroll på eventuella problem för att kunna åtgärda. M a o kontroll på att det fungerar önskvärt 24

26 Grafen nedan visar frågor till användare. Generella IT-frågor Bilaga 2 25

27 Ansvarsområden inom kommunen ITC ROI-teamet IT-strategerna Administrativ styrgrupp Förvaltningar Bilaga 3 Ansvarsområden Ansvarar för drift av servrar, nätverksinfrastruktur och PC Deltar i projekt Hanterar ITrelaterade inköp Genomför utredningar och tar fram beslutsunderlag för tekniska frågeställningar Driver förvaltningsgemensamma IT-frågor Samordningsforum för förvaltningsgemensamma IT-frågor Hanterar ITfrågor åt kommunledningsgruppen Fattar beslut i förvaltningsgemensamma IT-frågor Äger och förvaltar applikationer Driver projekt för att förändra IT-stödet (nya/ändrade applikationer) Sammansättning personal 47 personer uppdelade i tre huvudområden: stab, allmänteknisk grupp och systemteknisk grupp Består av två personer. En representant per förvaltning, representant från ROIteamet, en representant från ITC, en representant från kontaktcenter och en representant från säkerhetsgruppen. Består av förvaltningscheferna från de fyra största förvaltningarna samt en representant från ROI-teamet. Omfattningen av IT-relaterad organisation beror på förvaltningens storlek och ITanvändning (se avsnitt Fel! Hittar inte referenskälla.). Många personer som arbetar med IT-frågor har även andra roller. 26

28 Kommunfullmäktige IT-strategi för beslut Kommunstyrelsen Delegerar Kommunledningsgruppen Ärenden för beslut Begär utredning Rapporterar resultat Delegerar Administrativ styrgrupp Deltar ROI Deltar Beställer ITC Beställer Nämnd/styrelse Leder Beställer Deltar IT-strategigruppen Deltar Förvaltning OBS ett fel finns i bilden ovan. ITC deltar i IT-strategigruppen men inte i Adm styrgrupp. ITC får i princip aldrig beställning från nämnd styrelse, de bör ritas överordnat förvaltning, det är förvaltning som beställer av ITC. 27

29 Bilaga 4 Kartläggningsblankett infrastruktur Gotland Fig. nedan visar kontrollkarta avseende infrastruktur. Infrastruktur Finns kravspec. från förvaltningarna gällande tillgänglighet? Finns leverantörsgaranti på objektet? * Driftövervakas objektet av systemfunktion som genererar larm? ** Hanteras Hur upptäcks larm från avbrott i systemfunktion driftövervakningssystem på övervakas av som ej drift- kontorstid? larmsystem? ** Hanteras larm från driftövervakningssystem och/eller användare utanför kontorstid? * * * Bildskärm Täcks i viss mån av låne-pc, se nedan Ja Nej Av användare Om det enl kund är en kritisk bildskärm och kunden har tecknat beredskapsavtal (vilket sjukvården och televäxel har) så åker vi ut och fixar. Vi tar ut en utryckningskostnad. PC Täcks i viss mån Ja Nej Av användare, Om det enl kund av låne-pc, se kompletterat med är en kritisk PC nedan vårt nya verktyg och kunden har Performance tecknat bered- Guard skapsavtal så åker vi ut och fixar Server Ja, täcks av servertjänstavtal eller grundabonnemang Ja Ja Ja Om det är en kritisk Server och kunden har tecknat beredskapsavtal ELLER om den ingår i en kritisk del av grundabon- nemangsutrust- 28

30 ningen (gäller såklart alla larm i datahall typ värme, brand och inbrott) så åker vi ut och fixar Lokal skrivare Nej Ja Nej Av användare Nej Nätverksskrivare Ja, täcks av servertjänstavtal eller grundabonnemang Ja Ja Ja Om det enl kund är en kritisk nätskrivare och kunden har tecknat beredskapsavtal (vilket sjukvården och televäxel har) så åker vi ut och fixar Kopiator-skrivare Inte vårt ansvar än Lokalt nät (LAN) Ja, täcks av grundab Nej Ja Ja Om det enl kund är ett kritiskt LAN och kunden har tecknat beredskapsavtal (vilket sjukvården och televäxel har) så åker vi ut och fixar LAN-utrustning (aktiv) Ja, täcks av grundab Ja Ja Ja Backup av data Täcks av servertjänstavtal eller grundabonnemang Ja Ja Ja Ja * Normalt inköps produkter med 3 års garanti. Utbyte på plats eller inskick. ** OBS dock att många av larmen har ett digitalt förhållningssätt, dvs funkar funkar ej. En produkt som går 29

31 extremt segt upptäcks därmed inte. Vi installerar nu en produkt Performance Guard som även mäter prestanda utifrån samtliga PC i kommunen! Kolumn 1: Övenskommelse finns som gäller grundabonnemanget i Gotlands kommun. Jag bifogar denna överenskommelse. Den är ju undertecknad av både oss och ROI (teamet på Ledningskontoret som representarar beställarna och leder kommunens IT-strategigrupp). Därmed har de ju signerat en kravnivå. På nät- och serversidan åtar ITC sig minst 99 % tillgänglighet. I servertjänstavtalet med Hälso- och sjukvården garanterar vi 99,4 %, övriga servertjänstavtal ligger på 99 %. Vidare ingår i Grundabonnemangsöverenskommelsen att vi har en handfull låne-pc och låneskärmar. Vid driftstopp på PC eller skärm sätter vi dit låne-pc medan den andra repareras, vilket är uppskattat av kund. 30