Informationsförvaltningshandbok

Transkript

1 Informationsförvaltningshandbok Titel: Informationsförvaltningshandbok Version: 1.0 Skriven av: Petronella Enström, ansvar för Datum: informationsarkitektur Godkänd av: Joakim Jenhagen, chef IT-stab Datum:

2 Informationsförvaltningshandbok 1(13) Innehållsförteckning FÖRÄNDRINGSHISTORIK... 2 RELATERADE DOKUMENT INLEDNING INFORMATIONSFÖRVALTNINGENS OMFATTNING INFORMATION INFORMATION, PROCESSER OCH IT-SYSTEM ROLLER OCH ANSVAR Ansvar för informationsarkitektur Informationsägare Informationsförvaltare Informationsproducent/administratör Arkivarie Jurister Informationssäkerhetsansvarig IT-säkerhetsansvarig DOKUMENTATION Dokumentregler Informationsförvaltningsplan Informationssäkerhetsklassning Informationsmodell Avtal Dokumenthanteringsplan INFORMATIONSFÖRVALTNINGENS FASER KRAV OCH UTVECKLINGSFASEN INFÖRANDEFASEN ANVÄNDNINGSFASEN Utbildning Ändringshantering ARKIVERINGSFASEN Avveckling av IT-stöd... 12

3 Informationsförvaltningshandbok 2(13) Förändringshistorik Version Datum Förändringsorsak Utfärdare Skapa dokument, utifrån systemförvaltningshandboken och Förslag till Petronella Enström Ansvar organisation och finansieringsmodell för GIS och geodata Input från Workshop GIS-arbetsgrupp m.m. Petronella Enström Utifrån arbetsgrupp Mats Franzén, Niklas Edén. Input från Workshop GIS-arbetsgrupp och arkivet Petronella Enström Petronella Enström Input från CEDIF, Göran Samuelsson Petronella Enström Behandlad i IT-rådet, beslutat chef IT-stab Petronella Enström Relaterade dokument Version Datum Benämning Beslutsinstans Projektmodell Kommundirektionen Ansökan till IT-plan IT-stab Strategi och regler för dokument- och arkivhantering i Sundsvalls kommunkoncern Kommunfullmäktige IT-strategi Kommunfullmäktige Systemförvaltningshandbok IT-stab Mall för systemförvaltningsplan Chef IT-stab Förslag till Ansvar organisation och finansieringsmodell för GIS och geodata Modell för klassificering av information, rekommendationer, MSB MSB

4 Informationsförvaltningshandbok 3(13) 1 Inledning Detta dokument är Sundsvalls kommunkoncerns informationsförvaltningshandbok. I IT-strategin fastställs att en kvalificerad informationsförvaltning krävs i takt med allt mer information digitaliseras så ökar också kravet på hög tillgänglighet och hög kvalité på efterfrågad information. En viktig framgångsfaktor för arbetet med informationsförvaltning är att utveckla arbetsmetodiken. En informationsförvaltningsmodell för kommunkoncernens behöver tas fram och föras in. Informationsförvaltningsmodellen ska beskriva aktiviteter, roller samt innehålla dokumentmallar, verktyg och goda exempel. Ett sådant långsiktigt arbete leder till att värdet i informationen effektivare kan tas tillvara och förädlas i syfte att bättre stödja processerna med snabb och kvalitativ information. En annan effekt är att så kallad dubbellagring, det vill säga att samma information lagras dubbelt i olika IT- och pappers- system, kan minimeras. Arbetet med informationsförvaltning möjliggör en effektiv förvaltning av kommunens informationstillgångar. Information i alla dess former är en viktig tillgång i samhället som behöver lämpligt skydd. Framväxten av ett samhälle som i ökad omfattning bygger på att information hanteras elektroniskt skapar behov av modeller och metoder för att lägga grunden till detta skydd. Regeringens handlingsplan för utvecklingen av en elektronisk förvaltning anger informationssäkerhet och säkerhet vid elektroniskt informationsutbyte som särskilt viktigt. Om information skall utbytas och förmedlas säkert måste det finnas gemensamma modeller för att värdera information för att så långt det är möjlig skapa skyddsnivåer som överensstämmer. Informationssäkerhetspolicy finns framtagen för koncernen men ska uppdateras. Metod för informationssäkerhetsklassning finns. Myndigheten för skydd och beredskap, MSB, har tagit fram en webutbildning i informationssäkerhet, DISA. Information arkiveras för att tillgodose allmänhetens insynsrätt och forskningens behov. Den i Sverige grundlagsstyrda insynsrätten, offentlighetsprincipen, handlar om insyn på tre nivåer: ärendeinsyn, verksamhetsinsyn och kunskapsinsyn. Ärendeinsynen handlar om insyn i hur ett ärende handläggs, verksamhetsinsyn avser insyn i information som rör verksamheten på ett övergripande plan, t.ex. ekonomiadministration, medan kunskapsinsyn även handlar om insyn i information som rör omvärlden, t.ex. för forskning. Det är inte rimligt att spara allt och en korrekt gallring kräver beslut vad som får gallras och vad som tagit bort d.v.s. för att uppfylla spårbarhet vad som har gällt var som gäller och vad som ersatts. Informationsförvaltning ska vara ett prioriterat arbete som är viktigt för att ta tillvara informationens värde. Syftet är primärt att ha en informationsförvaltning som stödjer ett effektivt genomförande av det uppdrag som kommunen är satt att sköta. Det innebär att kartlägga, planera och anpassa informationstillgångarna så att verksamheterna kan arbeta på ett effektivt sätt mot sina mål/uppdrag. Detta band annat för ett bättre nyttjande av information t.ex. enligt PSI och Inspiredirektivet och säkerställa informationssäkerheten som grund för e- förvaltning och e-tjänster. Vinsten med informationsförvaltning är att informationen går att använda till så mycket mera. Det kan innebära att informationen tillgängliggörs till rätt person, garanteras vara korrekt, kan återanvändas och utvecklas, klassificeras för återsökning samt möjliggör integrationer från ITstöd på ett säkert sätt kopplad till kommunens övergripande mål/syfte med sin verksamhet.

5 Informationsförvaltningshandbok 4(13) Informationstillgångarna ska uppfylla de behov som finns i verksamheterna. Det styr krav och utveckling av informationstillgångarna. Faserna i figur 1 visar en schematisk bild över informationsförvaltningens olika faser som inte är en traditionell livscykel. Verksamhets behov Krav/ utveckling Införande Användning Arkivering Figur 1. Informationsförvaltningens faser som kan pågå samtidigt 2 Informationsförvaltningens omfattning Med informationsförvaltning avses förvaltning av information som används inom Sundsvalls kommunkoncern Informationsförvaltningsplaner ska upprättas för grundläggande data (masterdata) som anses vara verksamhetskritiskt eller delas av flera förvaltningar, bolag eller IT-stöd. Det kan även vara aktuellt att göra för transaktionsdata. Informationsförvaltningsplanen gäller för kalenderår. Planen kommer att begäras in och kommuniceras via inloggad.sundsvall.se. Information som bara hanteras av ett IT-stöd kan hanteras i IT-stödets systemförvaltningsplan. Beslutas i GIS-arbetsgruppen varje år för vilka informationstillgångar som informationsförvaltningsplaner ska tas fram för inför kommande år. 2.1 Information Information kan uppdelas i grunddata (masterdata) och transaktionsdata. Grunddata är basverksamhetsdata till flera system och processer för att undvika redundanta databaser. Grunddata kan beskrivas som data som är en nyckel till olika verksamhetsdelar som t.ex. kunder, produkter. Koncernen arbetar på att få EN databas för ex. vis persondata, fastighetsdata, adressdata, vägdata, karta. I ärendehantering (händelsen/transaktionen) uppstår metadata på transaktionsdata och består i de flesta fall av masterdata t.ex. har ett ärende en kund, adress, fastighet. Ärende är transaktionsdata, även en utbetalning är transaktionsdata.

6 Informationsförvaltningshandbok 5(13) 2.2 Information, processer och IT-system Information samlas in, lagras, bearbetas och distribueras via IT-stöd som därigenom stödjer kommunikation och arbete inom men även mellan organisationer. Framför allt är det viktigt att grunddata som går tvärs för processerna och IT-stöden är öppna och kvalitetssäkrade och går att integrera. Datat ska inte gå längs med IT-stödet och fyllas i för varje ärende, utan det ska födas in på vägen, helst automatiskt som att handläggare fylls i automatiskt utifrån den som är inloggad. Denna modell ska även fungera för transaktionsdata. Ärenden ska sparas i e-arkiv. Det ska gå att sammanställa data t.ex. till SCB. Allt detta kan vara värdefullt för verksamheterna att få ordning på och dokumentera i en informationsförvaltningsplan för att gå mot färre dubbletter av information, mer kvalitetssäkrad information som koncernen själv styr användandet över och effektivare och säkrare hantering av information uti från roll (behörighet). Informationen koncernen förvaltar är sällan isolerade öar av användning utan informationen används i flera olika system och processer. Vissa IT-system skapar information som andra ITsystem kan uppdatera eller bara läsa/nyttja. På detta sätt integrerar system med varandra och det är därför viktigt att respektive informationsägaren säkerställer befintliga integrationer, tillåter nya integrationer. Det är därför viktigt att samarbeta med systemägarna kring de system där informationen hanteras och nyttjas. Dessa relationer ska dokumenteras i skriftliga avtal, där informationssäkerheten, PUL samt insynsrätten säkras. Det är viktigt att Kommunkoncernen äger sitt egen information(data) att det inte är en del av ett IT-system som en extern leverantören äger. Detta för att Kommunkoncernen ska kunna använda informationen(data) fritt och utveckla användandet avseende informationsinnehåll, integration till olika IT-stöd samt klara informationssäkerheten. Målbilden är att informationen skiljs från IT-systemet och att det lagras i öppna format så det kan tillhanda hållas till efterfrågade system. Det är från detta datalager som sedan ett framtida e-arkiv ska kopplas till. Nu har koncernen 2 olika datalager och där det går ska dessa användas för att uppnå största nytta: - BEST i SQL-server för text-, dokument- och bilddata. - Geodata i Oracle för geografiska data tillsammans med 5 av länets kommuner i EU-projektet RIGES. Tre viktiga arbetsområden i informationsförvaltningen handlar om: processer, information och IT-system. Detta illustreras nedan:

7 Informationsförvaltningshandbok 6(13) Varför? Figur 4. Beskriver relationen mellan IT-system, processer och information. 2.3 Roller och ansvar Informationsförvaltning omfattar många roller några beskrivs nedan. I informationsförvaltning ser vi en analogi mellan systemförvaltning enligt följande: ansvar för systemarkitektur systemägare systemförvaltare systemadministratör ansvar för informationsarkitektur informationsägare informationsförvaltare informationsproducent Ansvar för informationsarkitektur Övergripande strategiskt ansvar för informationsinfrastrukturen, gäller hela kommunkoncernen med bolag och räddningstjänst. Ansvarig för den övergripande informationsarkitekturen Definierar strategiska informationstillgångar (grunddata/masterdata) Ansvara för en aktuell förteckning över dessa strategiska informationstillgångar. Definiera gällande datalager Ansvarig för förankring och samordning mot verksamheterna t.ex. i GISarbetsgruppen Informationsägare Informationsägare utses av förvaltningschef eller motsvarande. I de fall en informationstillgång saknar informationsägare tillhör informationen det IT-stöd som informationen lagras i och således ägs informationen av IT-stödets systemägare. Informationsägarens ansvar kan inte delegeras till annan roll inom informationsförvaltningen. Informationsägarens ansvar: Äger informationen Äger informationsmodellen Beslutar om informationens återanvändning, ny- och vidareutveckling eller avveckling. Beslutar om mål och budget, samt uppföljning av desamma

8 Informationsförvaltningshandbok 7(13) Vid behov tilldela eller begära ytterligare ekonomiska resurser Ansvarar för att bevaka nyttoeffekten av informationen Ansvarar för att informationen följer lagar, förordningar och interna styrdokument Ansvarar för informationssäkerhetsklassning Ansvarar för ev. avtal med informationsleverantör Ansvarar för att informationsförvaltare är utsedda Ansvarar för avtal med systemägare som vill nyttja informationen d.v.s. distribution och integration Ansvarar för arkivering och gallring Beslutar om informationsförvaltningsplan Beslutar om prioriteringar Förebereda ev. gallringsbeslut i samråd med arkivarie Rådgöra med arkivarie om historisk tillbakablick i informationstillgången är av värde. Vid beslut om arkivering, arkiveras informationsuttag, för historisk dokumentation, fastställs format (ögonblicksbild/originalformat) för informationen. Beslutet förs även in i dokumenthanteringsplanen Informationsförvaltare Samma person får inte inneha båda rollerna informationsägare och informationsförvaltare. Informationsförvaltaren ska arbeta utifrån informationsägarens mål. Informationsförvaltarens ansvar: Ansvarar för att upprätta informationsförvaltningsplan Ansvarar för att informationen följer informationsförvaltningsplanen Bereder beslutsärenden för återanvändning, ny- och vidareutveckling eller avveckling, arkivering av informationen Ansvarar för att beslutad återanvändning, ny- och vidareutveckling eller avveckling, arkivering planeras och genomförs Dokumenterar och sammanställer upptäckta fel i informationen Ansvarig för uppföljning av avtal med ev. informationsleverantör Ansvarig för uppföljning av avtal med systemförvaltaren för IT-stöd som nyttjar informationen Rapporterar till informationsägaren Ansvarar för att dokumentation kring informationen hålls uppdaterad Ansvarar för att bevaka utbildningsbehov och planera ev. utbildningar Ansvarar för löpande information till användarna om informationen Utser informationsproducenter/administratörer Ansvarig för produktion eller mellanlagring Ansvarig för distribution/ integration Informationsproducent/administratör En och samma person kan ha båda rollerna informationsförvaltare och informationsproducent. Informationsproducentens ansvar: Arbetar med produktion av information

9 Informationsförvaltningshandbok 8(13) Arbetar med underhåll av information Deltar i återanvändning, ny- och vidareutveckling och arkivering av information Bevakar att informationen stödjer verksamheten Rapporterar till informationsförvaltaren hur informationen används Arkivarie Denna roll kan innehas av en eller flera. Rollen kan verka mot verksamheten, allmänheten eller forskningens intresse. Övervakar informationshantering enligt reglerna i offentlighets- och sekretesslagen Verkar för att informationen i kommunens system är åtkomlig för allmänheten Råd och stöd till verksamheten kring vad som kan gallras (då Västernorrland är arkiv län är det inte så mycket som kan gallras). Råd och stöd till verksamheten kring vad som ska bevaras och varför det ska bevaras leder till beslut hur det ska bevaras (t.ex. ett uttag av en ögonblicksbild/original format av en databas som karta) Godkänna gallring av information och dokumentering av gallring Ansvarig för att beslutad bevarad information arkiveras enligt besluten i myndigheternas dokumenthanteringsplaner. ansvarig för att beslutad bevarad information arkiveras enligt informationsförvaltningsplanen (t.ex. ett uttag av en ögonblicksbild/original format av en databas som karta). Dessa beslut ska in i dokumenthanteringsplaner Jurister Kommunernas jurister har en roll som resurs i avtal och tvister kring informationsförvaltning Informationssäkerhetsansvarig Kommundirektören eller delegerat ansvar. Ansvarig för informationssäkerheten var av IT-säkerhet är en del. Ansvarar för att informationssäkerhetsarbete bedrivs. Ansvarar för informationssäkerhetspolicy IT-säkerhetsansvarig Chef IT-service. Ansvarar för att IT-säkerhetsarbete bedrivs. 2.4 Dokumentation Det krävs dokumentation för informationstillgångarna. Nedan beskrivs dessa och vad de ska innehålla Dokumentregler Varje dokument ska ha en ansvarig roll och en namngiven person. Giltighetstid för dokumenten ska anges och vilken roll som har rätt att föreslå förändringar samt besluta om uppdaterad/nytt dokument.

10 Informationsförvaltningshandbok 9(13) Informationsförvaltningsplan Med start 2012 för kommande år ska arbetet påbörjas att för all information som nyttjas av mer än ett IT-stöd och bedöms vara strategisk information skrivas en informationsförvaltningsplan (om det inte finns i endast ett IT-stöd och ingår i dess systemförvaltningsplan). Informationsförvaltningsplan beskriver: Informationen, dess nytta och informationsförvaltningens omfattning Informationens integration i IT-stöd och avtal där om Informationsförvaltningens organisation, roller, samverkan och uppföljning Utveckling, vilka behov finns och vilka planerade aktiviteter kommer att genomföras Informationssäkerhetsklassningens resultat Arkivering En informationsförvaltningsplan tas fram av informationsförvaltaren i samråd med berörda rollen och godkänns av Informationsägaren. Informationsförvaltningsplan ska göras tillgänglig för rollen informationsarkitektur och rollen systemarkitektur samt systemförvaltare som nyttjar informationen. Efter godkännande ska planen publiceras på intranätet. Syftet är att eventuella förändringar ska kunna planeras i god tid, så att störningar i IT-stöd som använder informationen inte drabbar verksamheten. Rollen informationsarkitektur och rollen systemarkitektur godkänner informationsförvaltningsplanerna årsvis. Syftet är att få samordning mellan IT-plan, informationsförvaltningsplan och systemförvaltningsplan Informationssäkerhetsklassning Informationssäkerhetsklassning ska vara gjord och finnas dokumenterad och aktualitetsförklaras vid varje ny informationsförvaltningsplan. Mall finns i version 1. Informationssäkerhetsaspekterna är konfidentialitet, riktighet och tillgänglighet med konsekvensnivåerna ingen, måttlig, betydande respektive allvarlig nivå enligt Myndigheten för Samhällsskydd och Beredskap, MSB:s klassificeringsmodell version 1.0. Ev. regelverk och utbildningsmaterial hur informationen får användas av användarna och andra system kan finnas ex. vis för att spridas då användare söker behörighet för viss information Informationsmodell En informationsmodell med ev. objektsdefinitioner ska vara gjord och dokumenterad och aktualitetsförklaras vid framtagande av varje ny informationsförvaltningsplan. Mall finns. Informationsmodell: En informationsmodell är resultatet av en informationsmodellering. En informationsmodell beskriver hur informationen är strukturerad. Datamodell: En beskrivning av hur databaserna och dess tabeller är organiserade i ett IT-system.

11 Informationsförvaltningshandbok 10(13) Avtal Ev. avtal upprättas om nyttjade av informationen mellan informationsleverantör och informationsägare samt informationsägare och systemägare. Jurist kan vara rådgivande. Avtal ska arkiveras i samråd med arkivarie. Kommunikation ska ske kring vad som händer med informationen Dokumenthanteringsplan En beskrivning av dokumenthanteringsplanens förhållande till informationsförvaltning: En kommunkoncern handlägger ärenden. Ett ärende genererar handlingar. Ett ärende behöver informationstillgångar. Ärenden och dess handlingar ska sparas eller arkiveras enligt fastställda rutiner. Dokumenthanterings- och arkivbildningsplan är en översikt över kommunens handlingar. Önskvärt att det görs en för hela kommunkoncernen, traditionellt har det gjorts förvaltningsvis. Det finns 2 nivåer en utifrån kommunövergripande processer och en förvaltningsspecifik för verksamhetsinformation. Ur IT-stöden kommer det handlingar som är sammansatta av informationstillgångar som är beskrivna i informationsförvaltningsplaner som ska arkiveras enligt dokumenthanteringsplanen. 3 Informationsförvaltningens faser Faserna i informationsförvaltning pågår inte i en följd och framför allt kan informationen vara i användningsfasen hela tiden men byta IT-stöd och bli aktuella i olika projekt t.ex. för integration. Dock är följande frågor aktuella i respektive fas. 3.1 Krav och utvecklingsfasen IT-plan är det första steget inför att starta ett utvecklingsarbete med IT-stöd t.ex. integration av information, införande av en ny informationskälla. Projektformen är lämplig när det gäller förändringsarbete. Inom Sundsvalls kommun finns en beslutad generell projektmodell som alltid används när kommunen bedriver projekt. I modellen ingår att projektets beställare godkänner projektets leveranser. Innan nya projekt levereras till linjen ska vid behov informationsägare, informationsförvaltare och eventuell informationsproducent/administratör vara utsedd. 3.2 Införandefasen När ett projekt inför en ny information av strategisk betydelse eller den kommer att användas av flera system ska en överlämning ske till informationsägaren och informationsförvaltare ska utses. Informationsförvaltningsplan ska vara framtagen och informationssäkerhetsklassning ska vara genomförd och dokumenterad. Det viktiga är att säkerställa att överlämningen från projekt till förvaltning blir gynnsam för alla parter. Om en verksamhet köper IT-system som tjänst och informationen lagras på annan plats är det viktigt att alla parter vet vad som gäller angående ägarskap till informationen, back up, arkivering och informationssäkerheten och skriver avtal om det. Ett annat fall är att informationen redan finns och rollerna redan är utsedda och då ska dessa personer vara med som kravställare inför projektet där informationen ska nyttjas.

12 Informationsförvaltningshandbok 11(13) 3.3 Användningsfasen Under användningsfasen används informationen. Informationsförvaltningen ska utvärdera nyttan av informationen och följa upp att informationssäkerheten fungerar. Informationsförvaltaren ska årligen tillsammans med informationsägaren uppdatera informationsförvaltningsplanen för det kommande året. Här prioriteras aktiviteterna inom informationsförvaltningen. Informationsförvaltningsplanen ska användas som underlag i MRP, för att säkerställa att resurser finns för kommande år. Om molntjänster används av användare t.ex. skolelever så ska de upplysas om att inte kommunkoncernen kan ta ansvar för informationssäkerheten, back up och arkivering Utbildning Informationsägaren ansvarar för att användare av informationen har tillräckliga kunskaper för att använda informationen. Kunskaperna ska omfatta: Regelverket för den informationstillgång som hanteras. Speciellt viktigt är det för information som omfattar sekretess/ konfidentialitet PUL Ändringshantering Behov av ändringar i informationen d.v.s. ändringskrav kan komma av felrättning av information, krav från befintligt eller nytt IT-stöd eller process som nyttjar informationen eller förbättring/ återanvändning av informationen i nya eller befintliga IT-stöd. Förändringarna kring informationen hanteras i informationsförvaltningsplanen. Större förändringar hanteras i IT-plan. 3.4 Arkiveringsfasen Arkivhanteringen styrs av lagar och förordningar. (se även kommunala strategier och regler) Informationsägaren är ansvarig för att informationen arkiveras eller gallras som en del i informationens livscykel enligt aktuell dokumenthanteringsplan eller i samråd med arkivarie. Informationsägaren är ansvarig för att besluten dokumenteras och i vilken grad informationen skall bevaras. Den information som hanteras i kommunens informationssystem utgörs av allmänna handlingar. Allmänna handlingar är grunden för medborgarnas rätt till insyn i den kommunala verksamheten. För ett långsiktigt bevarande i ett e-arkiv krävs att masterdatan och transaktionsdatan är väl strukturerade enligt gällande standarder för avställning och leverans. Information som levererats och lagras i e-arkivet är garanterad långsiktigt äkta och fullständiga. För att informationen skall förbli autentiska krävs att den skyddas och kontrolleras mot åverkan och manipulering. E-arkivet skall också långskitig fungera som

13 Informationsförvaltningshandbok 12(13) informationsförsörjare del mot den egna verksamheten och dels mot allmänheten samt forskningens behov. E-arkivet skall vara en viktig komponent i en integrationsplattform mot kommunens verksamhetssystem Avveckling av IT-stöd Ett specialfall i arkiveringsfasen är när ett IT-system avvecklas måste man ställa sig frågan hur man hanterar den information som finns i IT-systemet. Informationsägaren och systemägaren ska, i samråd med arkivarie, besluta i vilken grad informationen ska föras över till det nya ITsystemet och i vilken grad informationen ska arkiveras. Beslutet ska dokumenteras. Informationsägaren och systemägaren ska följa de regler som finns i Strategi och regler för dokument- och arkivhantering i Sundsvalls kommunkoncern. IT-stöd har ofta integrationer och beroenden till andra IT-stöd. Vid avveckling måste kopplingar till, och konsekvenser för, andra IT-stöd utredas. De avtal som finns mellan Informationsägaren och systemägare/systemägarna ska uppdateras/sägas upp med rimlig uppsägningstid. Spårbarheten måste dokumenteras.