HÖGANÄS KOMMUNS IT-STRATEGI

Transkript

1 S IT-STRATEGI Innehållsförteckning 1 Inledning Mål för IT-verksamheten Allmänna riktlinjer Riktlinjer för behörighet till IT-system Allmän behörighet Särskild behörighet Utbildning Organisation av IT-verksamheten Ledningen Organisatoriska roller Beställare Utförare Samverkansformer Gemensam beredning Dokumentation Samrådsgrupp Ansvar inom IT Ansvar för samhällets IT-säkerhet Ansvarsförhållanden inom IT Tillämpning Säkerhetsansvar Registeransvar Driftansvar Piratkopiering Användarpolicy System Systemägare Systemförvaltning Systemförvaltare Systemutveckling Trender och framtid...12 c:\documents and settings\abm.hoganas\lokala inställningar\temporary internet files\olk2fe\it-plan.doc IT-STRATEGI

2 IT-strategi för Höganäs kommun, förvaltningar och bolag 1 Inledning IT-konsumtionen i organisationen är fortsatt hög, allt fler verksamheter datoriseras, och allt fler personer blir beroende av att datorstödet fungerar. Det återspeglas i denna strategi genom fokusering på säkerhet och utbildning. I strategin betonas nyttan för kommuninvånarna med kommunens IT-investeringar och möjligheterna för kommuninvånarna och andra att kommunicera direkt med kommunens datorsystem t.ex. via Internet. Tidsperspektivet för strategin är 2-3 år. Denna IT-plan ersätter tidigare gällande ITstrategi (antagna av Kommunfullmäktige , 118) och omfattar såväl datasom telekommunikation, med utgångspunkt från att den tekniska utvecklingen inom dessa båda områden sker integrerat. IT-strategin syftar till att lägga fast ett ramverk för den fortsatta utvecklingen som innebär att de framtida informationsbehoven kan tillfredsställas på ett kostnadseffektivt och säkert sätt. 2 Mål för IT-verksamheten bättre dialog med allmänheten skapa förtroende hos allmänheten skapa fördelar för kommunens medborgare stödja utveckling och spridning av kunskap tillhandahålla publika tjänster tillhandahålla individuell service effektivisera kommunens verksamhet stöd för kommunens myndighetsfunktioner och andra verksamheter 2.1 Allmänna riktlinjer IT-verksamheten är gemensam angelägenhet för hela kommunens verksamhet. IT-arbetet skall bedrivas inom ramen för tillämpliga lagar, förordningar och stödja en god offentlighetsstruktur. IT-STRATEGI - Sida 2 -

3 IT-verksamheten skall bedrivas genom samverkan mellan olika roller på uppdrag av verksamhetsledningen. Alla tekniska system, arbetsrutiner, utrustning och komponenter skall vara dokumenterade, dokumentationen skall uppdateras fortlöpande vid förändringar. För att minimera sårbarheten i verksamheten skall avbrottsplaner och andra åtgärdsplaner finnas för alla verksamhetskritiska IT-system. Ändamålsenliga säkerhetsrutiner och skydd inklusive behörighetskontroll skall finnas för alla IT-system. Behörighet till IT-system skall alltid vara personlig. När arbetsplatser inrättas skall alla miljöaspekter av IT-användandet beaktas. Grundregeln är att förebygga uppkomsten av skador och besvär hos användarna. IT-systemen skall integreras så att information som finns i ett system skall kunna återanvändas i andra system. Information skall endast dubbellagras av säkerhetsskäl. Information som dubbellagrats av säkerhetsskäl får inte vara tillgänglig för produktion. Tekniska lösningar skall i första hand bygga på väl dokumenterade standardlösningar på marknaden, endast i särskilda fall, och efter särskild prövning, skall egenhändigt framtagna systemlösningar tillämpas. Externa konsulter skall användas när så behövs. Endast i undantagsfall skall externa konsulter användas för löpande operativ verksamhet. Externa konsulters insatser skall dokumenteras. Systemutveckling skall, i förekommande fall, drivas i projektform, samordnas inom och vid behov även utom kommunen, bygga på standardprogramvaror kompletterade med egenutvecklade program. Vid systembyte skall kommunens systemstandard utgöra en viktig variabel i samband med systemval. Att välja ett system som inte följer kommunens systemstandard skall särskilt motiveras. 2.2 Riktlinjer för behörighet till IT-system Chef/ledning skall skapa ändamålsenlig organisation och administration för att hantera verksamhetens information IT-baserade uppgifter som är känsliga för verksamheten skall ha behörighetsskydd. Systemägaren skall ange behov och grad av säkerhet och sekretess För skydd av IT-baserade uppgifter skall erforderliga administrativa rutiner och tekniska hjälpmedel införas Behörighet, utöver allmän behörighet, ges endast till den information som krävs för arbetsuppgifterna Tilldelad behörighet är personlig. Regler för användarens behörighetsansvar skall finnas IT-STRATEGI - Sida 3 -

4 Tilldelad behörighet skall omprövas, förändras eller återkallas när innehavaren av behörigheten byter arbetsuppgifter, slutar sin anställning, avslutar sitt uppdrag Användningen av tilldelade behörigheter skall följas upp regelbundet genom kontroller. Därutöver skall användningen av tilldelad behörighet följas upp när det finns särskild anledning härtill Åtgärder skall vidtas för att upptäcka obehöriga försök till åtkomst eller verkställd obehörig åtkomst Incidenter i behörighetshanteringen skall systematiskt rapporteras till ledningen Verksamhetschef ansvarar för att berörd personal har rätt utbildning i systemsäkerhet och IT-chefen svarar för att IT-personal har rätt utbildning i teknisk säkerhet Skriftlig behörighetsförbindelse skall alltid finnas mellan verksamhetsansvarig chef och IT-chefen beträffande IT-personalens rättigheter och skyldigheter i hanteringen av verksamhetens information. 2.3 Allmän behörighet är den grundläggande behörighet till IT-baserade uppgifter som alla anställda omfattas av. I allmän behörighet ingår bl a tillgång till: PC-arbetsplats tillgång till nätverk login-id och lösenord kontorsapplikationer e-post och internet utskriftsmöjligheter läsrättigheter till information som är vital för verksamheten 2.4 Särskild behörighet tilldelas, efter särskild prövning, den som har ansvar för att använda, registrera, ändra och förvalta information i verksamhetssystem Beslut om särskild behörighet fattas av förvaltningschef. Finns kriterier och rutiner dokumenterade och är väl kända av berörd personal kan beslut om särskild behörighet delegeras till annan chef/ledare. Kriterier för tilldelning av särskild behörighet och kriterier för bedömning av kompetensbehov för att inneha särskild behörighet utarbetas av systemförvaltare på uppdrag av förvaltningschef IT-STRATEGI - Sida 4 -

5 3 Utbildning En av de främsta orsakerna till att IT inte utnyttjas effektivt är bristande utbildning. Utbildning behövs såväl före, under och efter införande av IT-stöd i verksamheten. För en genomsnittlig IT-användare kan man urskilja tre områden av kunskaper som samverkar för att bli en bra IT-användare: yrkeskunskaper inom sitt verksamhetsområde (rutiner och arbetssätt) allmänna IT-kunskaper kunskap om det IT-stöd som skall användas När det gäller graden av kunskap kan man skilja mellan nivåerna: påståendekunskap - nybörjare färdighetskunskap - van förtrolighetskunskap - expert Skillnaden mellan dessa nivåer är i huvudsak tid. Om inte tillräcklig tid avsätts för utbildning kan användaren stanna kvar på för låg nivå i förhållande till arbetsuppgifterna. Detta blir med tiden ett allvarligt verksamhetsproblem. Utbildningsplanering handlar om att kartlägga och ange inom vilka områden och på vilka nivåer IT-användarna skall ha tillräcklig kunskap. Exempel på områden för IT-utbildning: IT ur ledningens perspektiv, politiker, chefer och IT-chef grundläggande användautbildning, ECDL, alla användare grundläggande applikationsutbildning, berörda handläggare avancerad applikationsutbildning, systemförvaltare, supportpersoner teknik för klienthantering och service, tekniker teknik för serverhantering & kommunikation, driftansvarig 4 Organisation av IT-verksamheten 4.1 Ledningen skall i alla sammanhang kunna styra IT-verksamheten genom medvetna beslut. För detta krävs en ändamålsenlig organisation och administration. Huvudsyftet med att organisera IT-verksamheten är att genom samverkan få alla IT-krafter att dra åt samma håll. Speciellt viktigt för chef/ledning är att skapa lämpliga samverkansformer där olika IT-roller skall få tillfälle att utbyta erfarenheter och kunskap. Därigenom byggs verksamhetens samlade IT-kunskap upp, förs ut till fler och gör att IT-mognaden ökar i organisationen som helhet. För att produktionsplanering skall kunna genomföras effektivt och ändamålsenligt skall speciella befattningshavare (roller) på uppdrag av ledningen utföra ITfunktioner. Det betyder att en specialisering sker vad beträffar arbetsuppgifterna och fördelning av ansvar mellan vem som skall leda (beställa) och vem som skall IT-STRATEGI - Sida 5 -

6 utföra fastställs. 4.2 Organisatoriska roller Centrala, förvaltningsövergripande IT-funktioner övergripande strategisk planering beredning och uppföljning nätverk och kommunikation drift och övervakning säkerhet Lokala, förvaltningsspecifika IT-funktioner systemförvaltning systemutveckling användarstöd användarutbildning Förvaltningschefsgrupp diskuterar och föreslå åtgärder i strategiska ITfrågor 4.3 Beställare Kommunfullmäktige mål och riktlinjer för IT-verksamheten Kommunstyrelse Kommunövergripande: resurser organisation säkerhet uppföljning Nämnd Nämndspecifikt: resurser organisation säkerhet uppföljning IT-STRATEGI - Sida 6 -

7 Förvaltningschef Leder IT-verksamheten, beslutar om: inköp och personal policy utbildning Användaren ansvarar för att IT-utrustningen används på föreskrivet sätt 4.4 Utförare IT-chef bereder IT-ärenden för fullmäktige och kommunstyrelsen ansvarar för samordning och uppföljning av ITverksamheten företräder ledningen i IT-frågor samordnar systemförvaltning, drift och säkerhetsrutiner HelpDesk ansvarig ansvarar för planering och drift av IT-systemen ansvarar för projektplanering ansvarar för tillämpningen av fastställda säkerhetsrutiner IT-tekniker tillhandahåller IT-teknisk service enligt avtal eller överenskommelse ansvarar för installation, service och underhåll av IT-utrustningen ansvarar för tilldelade projekt Systemförvaltare ansvarar för förvaltningen av ett IT-system utarbetar regler för behörighet till systemet utarbetar kompetenskrav för systemets användare ansvarar för utbildningsplanering av systemets användare ansvarar för tillämpningen av förvaltningens ITsystem biträder chef/arbetsledare i IT-frågor IT-STRATEGI - Sida 7 -

8 4.5 Samverkansformer Förvaltningschef beslutar om datorisering och inköp av program för verksamhetsstöd. Förvaltningschef och verksamhetschef utser systemförvaltare som bereder frågan. Förvaltningen ansvarar för systemförvaltning av egna verksamhetssystem. Grunden för god samverkan i IT-frågor är att det föreligger ett väl genomarbetat beredningsunderlag från samtliga berörda parter: IT-chef IT-policy, Informationssäkerhetsplan Driftansvarig Teknisk infrastruktur, driftorganisation Systemförvaltare Funktionalitet, tillgänglighet, säkerhet Gemensam beredning När förvaltningschef beslutar om en arbetsplats skall datoriseras skall gemensam beredning med den centrala IT-funktionen alltid genomföras, i synnerhet när frågorna rör drift och teknisk infrastruktur. Den förvaltning som initierar en systemfråga som berör andra delar av ITverksamheten än den egna förvaltningens skall väcka frågan om gemensam beredning Dokumentation Planeringsmöten och beredningsarbeten ska alltid dokumenteras så att man kan få överblick över: Bakgrundsbeskrivning problembeskrivning och analys erfarenheter (egna eller i omvärlden) hur ärendet har beretts vilket förslag som framförs inklusive kostnader minst ett alternativt förslag inklusive kostnader Vilka deltog i beslutet? Hur formuleras beslutet/-en? Vilka uppdrag resulterade beslutet/-en i? Tidplan? Kostnad? e t c Samrådsgrupp Kommunens förvaltningschefsgrupp fungerar som samrådsgrupp för förvaltningsövergripande IT-frågor. IT-chefen blir kallad till gruppen när sådana frågor skall behandlas, IT-chefen har också rätt att sammankalla förvaltningschefer eller andra nyckelpersoner för strategiska överläggningar i IT-frågor. IT-STRATEGI - Sida 8 -

9 5 Ansvar inom IT Begreppet "Ansvar" kan i IT-sammanhang ses från tre olika perspektiv: politiskt ansvar verksamhets ansvar juridiskt ansvar Här nedan redovisas några av de viktigaste begreppen som reglerar ansvar inom ITverksamheten 5.1 Ansvar för samhällets IT-säkerhet Ansvaret ligger alltid på respektive myndighet/organisation att se till att den egna IT-hanteringen sker med betryggande säkerhet även sett ur ett samhälleligt perspektiv. IT-säkerheten är en del av och ingår i det totala säkerhetsarbetet i samhället. Riksdag och regering har ett ansvar för att bred samverkan i säkerhetsfrågor sker mellan offentlig och privat sektor och att kommuner, landsting och staten har beredskap att kunna hantera IT-säkerhet i såväl krigstid som i fredstid. Den lokala IT-säkerhetsorganisationen och IT-säkerhetsarbetet regleras i ett särskilt dokument, Informationssäkerhet för Höganäs kommun. 5.2 Ansvarsförhållanden inom IT Ledningen är skyldig att se till att verksamheten är organiserad så att det inte sker några överträdelser av lagar och bestämmelser. I detta ligger bl a att verksamheten har en ändamålsenlig personalorganisation och att underordnad personal är kompetent och tillräckligt instruerad för sina arbetsuppgifter Tillämpning av lagar och bestämmelser görs primärt av den som handlägger ett ärende men ansvaret vilar på ledningen. Om t ex handläggaren inte kan avgöra om ett visst dokument eller uppgift är allmän handling skall frågan hänskjutas till ledningen för beslut Säkerhetsansvar regleras bl a av personuppgiftslagen (PuL) och sekretesslagens (SL) bestämmelser. Säkerhetsansvar vilar på ledningen. I säkerhetsansvar ingår bl a regler för behörighet vilket är grunden för säkerhet i samband med personregister/personuppgifter och övrig sekretess Registeransvar regleras av personuppgiftslagen PuL, chefen för kommunkansliet är ansvarig för att det finns ett personuppgiftsombud i kommunen. Varje förvaltning utser en personuppgiftsansvarig vars främsta uppgift är att förse kommunens personupp- IT-STRATEGI - Sida 9 -

10 giftsombud och den egna förvaltningen med information i registerärende Driftansvar innebär att ansvara för att IT-driften fungerar enligt verksamhetens krav och instruktioner. Driftstillestånd skall hanteras som andra verksamhetsavbrott och skador som kan uppkomma är i huvudsak ekonomiska. Det är i första hand den egna verksamheten som blir lidande men i förlängningen kan även andra skador uppkomma t ex försenad myndighetsutövning, omintetgjorda affärer, försämrad tilltro till kommunens förmåga etc Piratkopiering Ledningen är ansvarig för eventuell piratkopiering som anställda gör sig skyldiga till i verksamheten Användarpolicy Kommunen har antagit en användarpolicy vilken redovisas i särskilt dokument. 6 System 6.1 Systemägare är den myndighet (nämnd) i kommunen inom vars verksamhetsområde ett ITsystem används, förvaltas och administreras. Kommunstyrelsen (eller annan nämnd) kan vara systemägare till ett system som är gemensamt för hela kommunen och därför används av flera nämnder. Den enskilda facknämnden är då endast användare av IT-systemet och har inget eget förvaltningsansvar för systemet. Observera att en facknämnd är registeransvarig enligt personuppgiftslagen även om nämnden inte är systemägare. I normalfallet är dock varje nämnd systemägare till IT-system som används i den egna verksamheten. Systemägare avser inte den som i juridisk mening äger rätten till ett IT-system. Om en nämnd i sin verksamhet använder sig av ett IT-system som ägs av en servicebyrå och driften sker hos servicebyrån anses nämnden vara systemägare i den mening som beskrivs i föregående stycke. Förvaltningschef är som regel systemägarens företrädare. 6.2 Systemförvaltning är ett planeringsarbete som systemägaren skall ansvara för och det måste hanteras av en person med rätt förutsättningar. Felaktig eller bristfällig systemförvaltning kan försätta verksamheten i kritiska tillstånd Systemförvaltning innebär att fortlöpande följa verksamhetens behov av nya och förändrade rutiner och arbetssätt, hålla sig underrättad om utvecklingen på ITområdet och tillsammans med IT-chefen och driftansvarig bedöma när systemet kan förändras och tekniken förnyas. Planering av förändringar i systemen handlar dels om att planera för utbildning och IT-STRATEGI - Sida 10 -

11 information till användarna av systemet dels om att klargöra hur IT-stödet skall förändras. Systemförvaltning kan inte överlåtas till driftansvariga eller till utomstående konsulter eftersom de som regel inte har den verksamhetskompetens som krävs. Konsulttjänster kan köpas men då endast som komplement och stöd till systemförvaltaren. 6.3 Systemförvaltare är en tjänsteman som genom delegation från systemägaren fått i uppdrag att bereda systemärenden för förvaltningsledningen samt att svara för: administration förvaltning och användning av ett IT-system i verksamheten. Systemförvaltarens ansvar och arbetsuppgifter bör beskrivas i befattningsbeskrivning. Om delegation inte skett till enskild tjänsteman är myndigheten ansvarig för systemförvaltning Kraven på systemförvaltare är: kunskaper på förtrolighetsnivå när det gäller verksamheten och dess system. IT-kompetens för att kunna samverka med IT-chef respektive driftansvarig. I praktiken innebär det att systemförvaltaren själv måste arbeta med verksamhetens rutiner, vara väl förtrogen med det IT-stöd som används och kunna initiera utveckling av både rutiner och IT-stöd. Systemförvaltaren fastställer krav på behörighet och kompetens för systemets användare. Systemförvaltaren initierar utbildning av systemets användare. Systemförvaltaren bevakar och bereder frågor kring systemsäkerhet. Systemförvaltaren ansvarar för information till användarna om förändringar och nyheter i systemet och IT-stödet. 6.4 Systemutveckling I förlängning av systemförvaltning ligger systemutveckling. Systemförvaltaren är den som initierar systemutveckling, d v s förändring av rutiner och arbetssätt. Detta innebär vanligtvis att IT-stödet behöver förändras och det görs av personer med specifik IT-kompetens för det aktuella IT-stödet. Vanligtvis köper man sådana tjänster från leverantören av IT-stödet. För att kunna bedöma hur IT-stödet kan och skall utvecklas krävs nära samverkan med drift- och teknikansvarig. IT-STRATEGI - Sida 11 -

12 7 Trender och framtid En utvecklad kommunikation mellan maskiner och människor är den tydligaste trenden inom IT-verksamheten. I Höganäs syns den inte minst i det regionala bredbandsamarbetet BAS (Bredband till Alla i Skåne). Syftet med det projektet är att binda samman alla orter i Skåne med fler än 200 invånare. Med ett sådant regionalt nät i drift, ritas IT-kartorna om och nya möjligheter till verksamhetsutveckling och samverkan mellan kommuner uppstår. En väl utvecklad IT-infrastruktur kan även utgöra ett motiv att flytta till Kullabygden och att inte komma på tanken att flytta från kommunen. Möjligheter till arbete på distans måste beaktas av olika skäl. Erbjudande skall kunna ges till olika nivåer av distansarbete, särskild hänsyn måste bl.a. tas till datasäkerhet och arbetsmiljö. Mobilitet är en annan tydlig trend i IT-världen, möjligheten att arbeta på olika ställen inom och utanför kontoret hänger bl.a. samman med möjligheterna att arbeta projektorienterat i mer eller mindre löst sammansatta grupper. Internet skall även kunna utnyttjas som kommunikationsprotokoll till verksamhetskritiska system och därmed klara högt ställda säkerhetskrav. Behovet av andra kommunikationsprotokoll minskar därmed i motsvarande grad. En tätare sammankoppling av telefoni och data kan väntas, tekniken kring IPtelefoni håller på att gå från vision till verklighet. Såväl telefoner talkvalité och tjänster börjar nå en sådan nivå att IP-telefoni kan utgöra ett alternativ till nuvarande teknik. Den stora mängd lagrade data kommunen äger måste kunna återvinnas och presenteras på ett effektivt sätt inom och utanför organisationen. Vi kan vänta oss att Web-services blir ett begrepp att räkna med. Web-services innebär att helt olika system kan integreras med varandra oavsett var de befinner sig och vilken plattform de opererar på. Kommuninvånarna skall på olika sätt få del av de IT-investeringar kommunen gör. Att kommuninvånarna skall kunna uträtta sina kommunala ärenden via Internet på tider när de själv har tid är troligen såväl nödvändigt som önskvärt. Metadata är ett annat begrepp vi kommer att arbeta allt mer intensivt med. Metadata är data om data, d.v.s. data som beskriver den data vi äger och har lagrad. Metadata gör att det t.ex. blir enklare att söka efter data och att presentera data i den sorteringsordning och på det sätt vi önskar. IT-säkerhet är ingen ny trend, men alltid lika aktuell. Vi investerar mycket pengar på att säkra våra installationer för obehörig åtkomst och ändring av data och det lär vi behöva göra även i framtiden. Säker identifikation och elektroniska signaturer kommer att medföra att även digitala dokument kan betraktas som original och att vi kan vara säkra på vem som upprättat dem. Antagna av Kommunstyrelsen 2003, xxx, IT-STRATEGI - Sida 12 -