Förvaltningsplan för Identifieringstjänst SITHS

Transkript

1 FÖRVALTNINGSPLAN Förvaltningsobjekt Identifieringstjänst SITHS Utförare Inera AB Enhetschef/Tjänsteansvarig Uppdragstagare Bilagor Johan Assarsson 0 Sid 1/11

2 1. Objektbeskrivning Uppdrag och period Långsiktiga mål Mål Avgränsningar Påverkansfaktorer Organisation Leveransplan och budget Referenser Sid 2/11

3 1. Objektbeskrivning Identifieringstjänst SITHS är ett nationellt koncept för säker elektronisk identifiering av personer och funktioner (t ex webb servrar). SITHS syftar till att på ett säkert sätt identifiera medarbetare och IT-tjänster genom att upprätthålla, utveckla och förankra gemensamma regelverk och rutiner skapa säker kommunikation och spårbarhet bakom åtkomst till en känslig information (till exempel patientdata eller ett medicinskt utlåtande) En gemensam säkerhetslösning som SITHS behövs för att kunna uppfylla patientdatalagens krav på behörighetsskydd på ett smidigt och kostnadseffektivt sätt. SITHS-tjänsten med dess multifunktionella smarta kort levererar ytterligare verksamhetsstöd i form av säkerhet för fysisk identifiering, inpassering, datorinloggning, säker e-post, mm. Identifieringstjänst upphandlas under 2013/2014 och migreras under För att medarbetare ska kunna logga in med SITHS i olika system med en hög tillgänglighet krävs att funktioner för spärrlistekontroll alltid fungerar. För att medarbetare ska kunna få ett reservkort i speciella situationer krävs att handläggare har hög tillgänglighet till administrationsverktyget. Läs mer på och 2. Uppdrag och period Avser förvaltning och vidareutveckling av tjänsten Identifieringstjänst SITHS under perioden Långsiktiga mål Alla tjänster inom ramen för nationell ehälsa ska verka för de långsiktiga målen i Handlingsplan , landstings, regioners och kommuners samarbete inom ehälsoområdet ]. 4. Mål Gemensamma fokusområden för ehälso-tjänsterna under 2014 [Fel! Hittar inte referenskälla.] är Tillgängliggöra information Öka kännedom och användning Säkerställa infrastruktur Sid 3/11

4 Utifrån dessa fokusområden har följande mål identifierats: Förvaltning Förvaltningsstyrning Det övergripande målet för förvaltningsstyrningen är att planera, bemanna och genomföra förvaltningsuppdraget så att målen i denna förvaltningsplan uppfylls SITHS Förvaltningsgrupp/SITHS PA och SITHS Förvaltning är insatta i vad som sker inom e-legitimationsområdet såsom SAMBI och svensk e-legitimation m.fl. Användarstöd Kunderna har fått erforderligt stöd vid anslutning, införande, utbildning samt vid problem med befintliga tjänster Ändringshantering Vi följer en väl definierad ändringsprocess där beroenden är kartlagda, omhändertagna och kommunicerade till berörda parter Fel i tjänsternas förvaltningsprodukter har hanterats genom att rättning är genomförd alternativt infört och prioriterat i åtgärdslista. Daglig IT-drift och underhåll Vi har säkerställt och följt upp tjänstens tillgänglighet i förhållande till gällande avtal Vi har en väl fungerande realtidsövervakning av system En kontinuerligt uppdaterad tillgänglighetsplan och avbrottsplan finns och har följts. Kundvård Vi har bidragit till kännedom om våra tjänster genom ett antal definierade kommunikationsinsatser som uppdatering av webbsidor, nyhetsbrev, deltagande i nätverksmöten och nationella konferenser inom ehälso-området. Upphandling Revisioner Tillräckligt med resurser har under året kunnat frigöras från förvaltningen för att upphandlingsprojekten ska ha fått det stöd som behövs i arbetet med kravställning och upphandling av ny tjänst. Ny Revision av SITHS-anslutna organisationer är genomförd och åtgärdsplaner från tidigare revisioner har följts upp. För att upprätthålla rollen som betrodd CA ska ny extern revision på SITHS genomföras. Fortsatt arbete för att bibehålla aktualitet i samtliga policytillämpningar för anslutna organisationer vilket leder till en ökad kvalitet och tillit till Identifieringstjänsten SITHS. Sid 4/11

5 Utveckling 5. Avgränsningar SITHS ansvarar inte för: att säkerhetslösningen införs i verksamhetens IT stöd verksamhetens kundunika lösningar av kort/certifikat hantering verksamhetens behov av behörighetshantering verksamhetens Tredjepartsavtal Migrering Arbete som utförs av förvaltningens resurser och rör planering av befintlig tjänst inför migrering, t.ex. dokumentinventering och stöd i upphandlingsarbetet som remissinstans, omfattas inte av förvaltningsuppdraget. Vidmakthållande utveckling Nödvändig vidmakthållande utveckling för att säkra den dagliga driften av tjänsten SITHS kan inte genomföras pga. för liten budget. Ett exempel är Utveckling och säkring av CRL Organisationer ska ha vetskap om hur de kan säkra att deras användare kan logga in i system utan för lång väntan. Beroende på utredning genomföra utveckling av CRL för att säkra att inloggning i system ska kunna ske inom rimligt tidsspann. Utveckling Nödvändig vidareutveckling av administrationsverktygen SITHS Admin och SITHS Självadmin för att säkra Massutbyte av HCC kan inte genomföras pga för liten budget. Se punkt nedan. Massutbyte av HCC Funktionen Massutbyte av HCC har implementerats i SITHS Admin och arbete hos RA-organisationer har påbörjats med att byta ut SITHS CA v3 certifikat mot SITHS Type 1 CA v1 certifikat på korten. Sid 5/11

6 Utbildning Bakgrund: För att SITHS anslutna RA-organisationer ska vara införstådda med det regelverk som finns för SITHS, erbjuder Inera två SITHS-utbildningar, en för RA-personer och en för Säkerhetsansvariga. Enligt nya regelverket måste varje RA-person genomgå en av SITHS PA:s certifierade utbildningar. Utbildningen bekostas av SITHS Förvaltning vid ett tillfälle per RA-person och Säkerhetsansvarig. Om fler personer har behov av att genomgå SITHS-utbildning samt om en RA och/eller Säkerhetsansvarig som redan har genomgått utbildningen vill gå igen får de betala för denna. CRA utbildning utförs idag av Cygate mot betalning. Problem/behov: Utbildning och utbildare måste finnas tillgänglig. Konsekvens: Budgetposten är helt struken. Utan kunskap om regelverket får inte anslutna kunder den hjälp de behöver för att kunna efterleva det uppsatta regelverket. Det innebär att SITHS regelverk inte efterlevs. Detta i sin tur kan resultera i att SITHS förlorar sin roll som betrodd CA samt att tilliten mellan SITHS-organisationer försvinner. Revisioner av anslutna organisationer Bakgrund: Sedan 2010 har SITHS och HSA gemensamt genomfört revisioner av anslutna organisationer. De reviderade organisationernas åtgärdsplaner för att komma till rätta med de brister som identifierats i revisionen har sedan följts upp kvartalsvis. Problem/behov: Under 2014 planeras en ny revision och åtgärdsplaner från tidigare år ska också följas upp. Revisionen genomförs liksom tidigare år tillsammans med HSA. Konsekvens: I och med en för liten budgetpost i förhållande till behovet innebär att färre organisationer kan granskas. Med avseende på aktuella policytillämpningar för anslutna organisationer och på genomförda revisioner finns stor risk att SITHS tillit mellan anslutna organisationer förloras. Detta kan även resultera i att SITHS förlorar sin roll som betrodd CA och den nationella tjänsten äventyras. Policyefterlevnad Bakgrund: Sid 6/11

7 SITHS baseras på att anslutna organisationer följer uppsatt regelverk, d.v.s. SITHS Certificate Policy (CP) och SITHS Registration Authority Policy (RAP). Anslutna organisationer och tjänster beskriver hur de uppfyller villkoren i RAP genom att skriva policytillämpningar RAPS, vilka sedan granskas innan de godkänns av SITHS Policy Authority (SITHS PA). Januari 2013 bytte SITHS utfärdande CA från SITHS CA v3 till att utfärda certifikat från SITHS Root CA v1 hierarkin, vilket innebar att alla organisationer anslutna till SITHS måste beskriva hur de tänker uppfylla villkoren för denna nya CA. Detta arbete kommer att behöva underhållas även under Problem/behov: Alla organisationer måste ha godkända RAPS:ar som ska underhållas och granskas löpande för godkännande. Konsekvens: I och med en för liten budgetpost i förhållande till behovet kommer det ta mycket lång tid innan anslutna organisationer eller nya organisationer får sin RAPS, rutiner och personkontroller granskade. Om en RA-person slutar eller behöver ändras, finns en stor risk att organisationer står utan RA-person under vissa perioder. Om en organisation har behov av att utfärda funktionscertifikat, kommer godkännandeprocessen ta mycket längre tid i och med att tiden för granskningarna har halverats. Om inte uppföljning av att regelverket för SITHS efterlevs, med avseende på aktuella policytillämpningar för anslutna organisationer och på genomförda revisioner finns stor risk att SITHS tillit mellan anslutna organisationer förloras. Detta kan även resultera i att SITHS förlorar sin roll som betrodd CA och den nationella tjänsten äventyras. Kundvård Kundnöjdhetsmätning För att kunna följa upp hur tjänsten fungerar görs varje år en kundnöjdhetsmätning. I och med att denna post har strukits helt kommer detta inte att genomföras. Sid 7/11

8 6. Påverkansfaktorer Projekt, förvaltningsobjekt, etc. HSA Sjunet Internet Ineras e-post Ineras webb Marval Projektplatsen EASY Påverkan SITHS är direkt beroende av katalogtjänsten HSA; att katalogen är uppe; att spärrlista (crl) finns publicerad; att SITHS CA har rätt behörighet; att objekt har rätt attribut/rätt schema; att brandväggskonfigurationer överensstämmer. Denna Stödtjänst är den mest kritiska Tjänst för SITHS. Använder SITHS funktionscertifikat. Är beroende av att spärrtjänster är tillgängliga. SITHS är direkt beroende av kommunikation över Sjunet; att brandväggar finns konfigurerade; att spärrtjänster finns uppdaterade i Sjunets DNS. Åtkomst till katalog- och spärrtjänst (CRL) är dock möjlig även över Internet. SITHS är direkt beroende av kommunikation över Internet. Åtkomst till katalog- och spärrtjänst (CRL) är dock möjlig även över Sjunet. SITHS är direkt beroende av att e-post på Inera fungerar, eftersom eskalering och information till stor del hanteras av detta verktyg. SITHS är direkt beroende av att externwebb på Inera fungerar. SITHS är direkt beroende av att extern/intern webb på Inera fungerar, eftersom eskalering och information till stor del hanteras av detta verktyg. Hantering av Incident- och Transitionprocesser enl. ITIL. Granskning av RAPS och rutiner, förvaltningsarbeten, revsion Granskning av RAPS och rutiner samt personkontroller av RA personer Sid 8/11

9 7. Organisation Styrning Tjänsten ingår i CeHis programområde Infrastrukturtjänster. På strategisk nivå finns en programstyrgrupp för infrastrukturtjänster som bereder ärenden inför beslut av CeHis styrelse. Hos Inera finns en Områdesansvarig samt enhetschefer, projektledare och i vissa fall tjänsteansvarig inom området. Som stöd till Ineras enhetschef/ tjänsteansvariga finns en nationell förvaltningsgrupp för tjänsten, finns dock ej för Nationell kundservice. Styrning, uppföljning och koordinering inom och mellan programområden sker via Ineras ledningsgrupp. Se även CeHis ramverk. Återrapportering till CeHis görs varje tertial. Förvaltning Funktion Representant Representant för Tjänsteansvarig Inera AB Förvaltningsgruppsordf. Kerstin Arvedson Stockholms läns landsting Förvaltningsgrupp Wlodzimierz Bislawski Johan Zenk Lena Lander Johansson Susanne Danielsson Fredrik Rasmusson Kerstin Hörstedt Vakans Vakans Stockholms läns landsting Landstinget i Östergötland Landstinget Jönköping Landstinget Kalmar Västra Götalandsregionen Region Skåne [privat vårdgivare] [Kommunrepresentant] Samarbetspartners och avtalsknutna underleverantörer Samarbetspartner och underleverantör Avtalstid Uppdragsbeskrivning TeliaCygate (Leverantör) SecMaker (Underleverantör) Gemalto (Underleverantör) Drift och teknisk förvaltning av tjänsten SITHS. Option på 3 års förlängning av avtal. Förlängning med två år har gjorts t.o.m Utveckling och förvaltning av mjukvara Net ID Utveckling och förvaltning av kortprodukter och mjukvara för elektronisk kortbeställning Sid 9/11

10 8. Leveransplan och budget Leverans-/aktivitetsplan Leveranstidpunkt avser utvecklingsuppdrag. Leveranser/aktiviteter för att uppnå målen Leveranstidpunkt Kostnad inkl personal (tkr) Förvaltning Förvaltningsstyrning Användarstöd Kundservice/Servicedesk Ändringshantering 80 Daglig IT-drift och underhåll Upphandling 0 Kundvård 195 Revision Utveckling Totalt Ca Samtliga kostnader tas med i budgetuppställningen ovan, dessa fördelas sedan på respektive kundgrupp om det finns annan än landsting, både kostnad och intäkt anges för kundgrupperna. Nyttjare* Budgeterade kostnader Budgeterade intäkter Kommun 2800 Privat aktör 700 Totalt *Avser annan användare än landsting Sid 10/11

11 Sammanställd budget Aktivitet Information Kostnad (tkr) Rörliga kostnader Fasta kostnader Kostnader som kan omprioriteras med mindre än 6 månader Avtals- eller kostnader som ej är omfördelningsbara på minst 6 månader Personalkostnader Totalt Ca Referenser Referens Beskrivning _2018_ pdf Bilaga Tillgänglighetsplan Sid 11/11