IT-normer för Landstinget Sörmland Landstinget Sörmland Tel 0155-24 50 00 611 88 Nyköping SID 1(27)
FÖRHÅLLANDE TILL ANDRA DOKUMENT... 4 FÖRHÅLLANDE TILL INFORMATIONSSÄKERHETSNORMERNA... 4 SYFTE MED IT-NORMER... 5 INFORMATIONSSTRUKTUR... 6 BEGREPPSMODELL OCH STANDARDER... 6 SYSTEMSTRUKTUR... 8 FÖRUTSÄTTNINGAR... 8 Nationell ehälso-strategi... 8 VÅRDSYSTEM ÖVERGRIPANDE BESKRIVNING... 8 Säkerhet... 9 Arkivering... 9 Medicinsk portal... 9 Integration med nationella tjänster... 10 Nationell patientöversikt... 10 Tjänsteplattform och Tjänstekontrakt... 10 VÅRDSYSTEM... 11 Journal- och vårdadministrativt system... 11 Radiologi system (RIS/PACS)... 11 Operationsplanering... 11 Mödravård och förlossning... 11 ADMINISTRATIVA SYSTEM... 11 Säkerhet... 11 Ekonomisystem... 11 Dokument och ärendehantering... 12 Personalsystem... 12 Statistik och uppföljning... 13 INFORMATIONSTJÄNSTER... 13 Befolkningsinformation... 13 Katalogtjänst... 14 GEMENSAMMA SÄKERHETSTJÄNSTER... 14 Autentisering... 14 Spärrtjänst... 14 ÖVRIGA GEMENSAMMA TJÄNSTER... 15 Utskrifthantering... 15 Arkivering... 15 INTEGRATIONSPLATTFORM... 15 Microsoft BizTalk... 15 Xtrade... 16 Microsoft Forefront... 16 Microsoft SSIS... 16 APPLIKATIONSTEKNIK... 16 Programmeringsspråk... 16 Utvecklingsmiljö... 16 Databasmiljö... 16 Webbapplikationer... 17 Klientapplikationer... 17 Tjänster... 17 BizTalk applikationer... 17 Ramverk och externa beroenden... 17 SID 2(27)
IT-INFRASTRUKTUR... 18 SERVERDRIFT... 18 Centrala datorhallar... 18 Vid drift av leverantören men hos kund... 18 HÅRDVARA... 18 Arbetsstationer... 18 Servrar... 19 Skrivare... 19 Backupsystem... 20 Avbrottsfri el... 20 OPERATIVSYSTEM OCH DATABASER... 20 Operativsystem arbetsstationer... 20 Operativsystem servrar... 20 Nätverksoperativsystem... 20 Skydd mot skadlig kod... 21 Databashanterare... 21 KOMMUNIKATION... 21 Definition D-net... 21 Nätverk... 21 Kabling... 22 Kommunikationsprotokoll... 22 Nätverkstopologi LAN- och WAN-miljö... 22 Trådlös datakommunikation... 22 Nätövervakning... 23 Internetåtkomst... 23 Elektronisk post... 23 Spamfilter... 23 Kommunikationsmiljö för externa leverantörer och distansarbete... 23 VPN-teknik... 23 Web Access... 24 Extern kommunikation... 24 SYSTEMTEKNISKA KOMMUNIKATIONSTJÄNSTER... 24 Infrastruktur för Windows-datorer... 24 Filöverföring... 24 Extranet... 24 TELEFONI... 25 SYSTEMS MANAGEMENT... 25 SMS... 25 WSUS... 25 Performance Guard... 26 Serverövervakning... 26 APPLIKATIONSMILJÖ... 26 Programladdning och startplats för klientapplikationer... 26 Syntax på sökväg till nätverksresurs för klientapplikation... 26 FÖRTECKNINGAR... 27 STANDARDPRODUKTER SERVRAR... 27 GÄLLANDE AVTAL... 27 AVTAL SOM ÄR TVINGANDE GENOM BESLUT I LANDSTINGSLEDNINGEN... 27 FÖRINSTALLERADE PROGRAM PÅ FUNKTIONS-PC... 27 ÖVRIGA STANDARDPRODUKTER FÖR ARBETSSTATIONER... 27 SID 3(27)
FÖRHÅLLANDE TILL ANDRA DOKUMENT I Landstinget Sörmlands (LtS) IT-policy finns rubriken Enhetlig och samordnad IT-struktur, som ger grov beskrivning av tre områden Informationsstruktur, Systemstruktur och IT-infrastruktur. De tre områdena beskrivs närmare i det här dokumentet. Vid anskaffning av nya IT-applikationer beskrivs efterfrågade egenskaper i särskilda dokument baserade på upphandlingsmallar. I mallarna är egenskaperna indelade i krav och kriterier. I de fall som egenskaperna nämns även i detta dokument så är beskrivningarna i princip upprepningar i dessa mallar: ITS2.3 Applikationstekniska IT-egenskaper ITS2.4 Drifttekniska IT-egenskaper Vid löpande förvaltning av IT-applikationer tillämpas landstingets systemförvaltningsrutin som bland annat innehåller beskrivning av landstingets interna systemförvaltningsroller. Leverantörer förväntas ta normalt ansvar utan att göra inskränkningar i landstingets interna systemförvaltningsrollers normala ansvar. Beskrivningen av rollerna finns tillgänglig på landstingets externa webbplats: http://www.landstingetsormland.se/it-normer Förhållande till Informationssäkerhetsnormerna Detta dokument beskriver på en övergripande nivå vilka tekniska lösningar som används inom LtS. Informationssäkerhetsnormerna beskriver vilka informationssäkerhetskrav som ställs på säkerhetsåtgärder för IT-stöd. SID 4(27)
SYFTE MED IT-NORMER Enligt landstingets IT-policy ska det finnas tekniska normer och standards som ska vara styrande vid val av utrustning och system inom landstinget. En gemensam teknisk plattform ska trygga den Informations- och kommunikationstekniska försörjningen samt uppbyggnaden av central och lokal infrastruktur. Vad landstinget ska vidare uppnå är att trygga informationsutbyte nu och i framtiden mellan olika system, samt att begränsa omfattningen av den kompetens på systemprogramvara och kommunikationsutrustning som måste finnas i syfte att uppnå en så kostnadseffektiv och enhetlig IT-miljö som möjligt. Under senare år har samverkan kring landstingens IT-verksamhet stärkts inom ramen för den nationella strategin för ehälsa. En viktig del i detta arbete är den nationella Arkitekturledning som bedrivs inom ramen för INERA AB. LtS IT-normer syftar även till att beakta dessa aspekter. IT-normerna ska, som huvudregel, vara en del av förfrågningsunderlaget vid upphandlingar för att visa leverantörer av utrustning och programvara, för alla typer av system där IT ingår, således även medicinsk utrustning, vilka normer som gäller i landstinget. I de fall landstinget bedriver egen systemutveckling ska IT-normerna följas. Vissa upphandlingar av IT-utrustning och programvara kommer att vara tvingande på så sätt att ingen annan upphandling ska ske inom samma område under en löpande avtalsperiod. D-data publicerar på Landstingets intranät gällande IT-normer som innehåller bland annat förteckningar över standardprodukter, gällande avtal samt vilka avtal som är tvingande att följa. SID 5(27)
INFORMATIONSSTRUKTUR Extrakt ur IT-policy: Strävan skall vara att göra varje informationsmängd entydigt tolkningsbar på ett enhetligt sätt. Landstinget ska ha en enhetlig och gemensam informationsstruktur (som beskrivs med begrepp och termer) inom likartade verksamheter för den information som överförs mellan olika enheter för den information som används för ledning och styrning Informationsstrukturen följer Nationell informationsstruktur (NI), Nationellt Fackspråk (NF) från Socialstyrelsen och Informatikarbetet från INERA AB, Arkitektur o regelverk. Detta till grund för att uppnå: Stöd för att processorientera vården Patientorienterad vårddokumentation Informatisk interoperabilitet (informationsutbyte över systemgränser) Underlag för att följa upp, styra och utveckla verksamheten Begreppsmodell och standarder LtS begreppsmodell skall vara harmoniserad med den nationellt framtagna i NI och den skall användas för att identifiera begrepp i olika system till stöd för bland annat samkörning av data i exempelvis uppföljningssammanhang. Viktiga hörnstenar för systemen är HSA, SITHS. De informationsmängder som olika system kommer att hantera och som återfinns i HSA katalogens objekt (Enhet och Person) och dess attribut ska återanvändas i systemen. Andra hörnstenar är informationsspecifikation, verksamhetsdokumentation, V-TIM och RIV-specifikationer för nationella IT-lösningar och IT-tjänster såsom: RIV-specifikation för Nationell patientöversikt (NPÖ) Nationell Ordinationsdatabas Mina vårdkontakter (MVK) Elektroniskt sjukintyg (emu) RIV-specifikation för Elektronisk födelseanmälan SID 6(27)
Informationsspecifikation verksamhetsdokumentation, V-TIM RIV-specifikation för Uppmärksamhetssignal RIV-specifikation för elektronisk remiss (eremiss) Infektionsverktyget RIV-specifikationer för Kvalitetsregister (under utarbetande) För mer info se http://www.inera.se/ Lagar och förordningar utgör också hörnstenar för begreppsmodellering och namnstandarder för att till exempel stödja: Rapportering till myndigheter Krav på hur verksamheten skall bedrivas Krav på IT-stödens utformning, till exempel PDL och CE-märkning Namnstandarder behövs ibland inom områden som inte stöds av nationella tjänster och projekt. Lokalt i LtS tar vi då fram en egen Sörmlandsstandard för att underlätta i olika sammanhang och framför allt för att undvika eventuella krockar. Exempel är organisationsförkortningar. SID 7(27)
SYSTEMSTRUKTUR Extrakt ur IT-policy: Det ska finnas en gemensam översiktlig systemstruktur som anger ITstödens huvuduppgifter, samband och avgränsningar. Den skall bidra till att gemensamma och samordnade systemlösningar eftersträvas inom landstinget nya systemlösningar passar in i den gemensamma systemstrukturen Förutsättningar LtS verksamhet innebär hantering av känslig och konfidentiell information. Våra verksamhetssystem omfattas av ett antal lagar och föreskrifter som ställer krav på hur systemen designas, utvecklas och dokumenteras. I synnerhet - Patientdatalagen (PDL 2008:355) som styr tillgång till patientinformation - Offentlighetsprincipen som styr allmänhetens rätt att ta del av information - CE-märkning av medicinsktekniska produkter Nationell ehälso-strategi LtS följer aktivt, och medverkar i, arbetet med den nationella ehälsostrategin. Arbetet innebär en samordning av den nationella utvecklingen av ändamålsenlig och strukturerad dokumentation inom vård och omsorg och innebär bland annat förvaltning och vidareutveckling av den nationella informationsstrukturen och det nationella fackspråket för vård och omsorg. Arbetet påverkar direkt och indirekt landstingets arkitektur och det är en del av LtS IT-policy att följa nationella ehälso-strategin. Det innebär bland annat att LtS strävar efter att följa de anvisningar och rekommendationer som Socialstyrelsen och INERA AB utfärdar. Vårdsystem övergripande beskrivning Journalsystem och andra system som innehåller patientinformation. Dessa system omfattas av Patientdatalagen (PDL) som ställer krav på autentisering, åtkomstkontroll, loggning, etc. SID 8(27)
System som innehåller information som används som underlag vid medicinska beslut ska dessutom vara CE-märkta i enlighet med CEmärkning av medicintekniska produkter. Säkerhet Autentisering För att säkerställa användarens identitet används stark autentisering med SITHS-kort och PIN-kod. I första hand ska vårdsystem integreras i den medicinska portalen, NCS Desktop, som innehåller ett ramverk för autentisering. I detta fall skapas en SAML-biljett som bevisar att användaren är godkänd och som förs vidare till de integrerade applikationerna. Biljetten innehåller information som används för att utvärdera vilken information som användaren ska ha tillgång till. Åtkomstkontroll Systemet ansvarar för att ge tillgång till information baserat på användarens medarbetaruppdrag, yrke, legitimation etc. Denna information finns i HSAkatalogen och görs tillgänglig via SAML-biljetten. Spärr Patienter har rätt att spärra tillgången till journalinformation för personal utanför den vårdenhet där patienten vårdas i, i enlighet med PDL. Vårdsystem är skyldiga att kontrollera om det finns spärrar genom kontroll mot den gemensamma spärrtjänsten. Loggning Systemet ansvarar för att logga elektronisk åtkomst till patientinformation i enlighet med PDL. Dessa loggar ska gå att följa upp i ett gemensamt system för logganalys. Arkivering Informationen i systemet ska vara möjlig att arkivera i det gemensamma arkiveringssystemet. Medicinsk portal Den medicinska portalen, NCS Desktop, skapar förutsättningar för en enhetlig och säker integration mellan vårdapplikationer. I första hand ges möjlighet till: Förenklad inloggning: Genom att autentiseringen sker via portalen så behöver användaren bara autentisera sig en gång. Detta förutsätter att de SID 9(27)
integrerade applikationerna stödjer SAML-biljetten som utfärdas i samband med autentiseringen. Kontexthantering: Portalen hanterar information rörande, i första hand användare, patient och vårdenhet. Vid exempelvis patientbyte får alla integrerade applikationer en signal att användaren avser att byta patient och får då möjlighet att reagera på detta. Detta gör det möjligt att skapa en miljö som tillgodoser kraven på patientsäkerhet. Kontexthanteringen är baserad på HL7 CCOW. Översikter: I konceptet ingår även möjligheter att skapa översikter som åskådliggör information från olika vårdsystem, jämför Nationell Patientöversikt. Integration med nationella tjänster Inom ramen för nationell ehälsa är ett växande antal nationella tjänster framtagna. INERA AB förvaltar ett antal av dessa. INERA AB ägs gemensamt av alla landsting och kommuner och får sina uppdrag frånstyrelsen för INERA AB. Beroende på vårdsystemets uppgift kan det behöva integreras med en eller flera av dessa. Tjänsterna delas upp i följande områden: - Invånartjänster, exempelvis 1177 och Mina vårdkontakter. - Vårdtjänster, exempelvis Svensk informationsdatabas för läkemedel, Elektronisk födelseanmälan och Nationell Patientöversikt. - Arkitektur & Infrastruktur, exempelvis Katalogtjänst HSA, Sjunet, Säkerhetstjänster och Tjänsteplattformen och tjänstekontrakt. Nationell patientöversikt Inom ramen för sammanhållen journalföring ges möjlighet för olika vårdgivare att ta del av journalinformation. Nationell Patientöversikt ger elektronisk tillgång till den sammanhållna journalen. LtS har valt att ansluta till NPÖ via Tietos anslutningstjänst som bland annat gör det möjligt att omvandla information som exponeras av vårdsystemet till EN-13606. Tjänsteplattform och Tjänstekontrakt Tjänsteplattformen är en nationell teknisk plattform som förenklar, säkrar och effektiviserar informationsutbytet mellan olika IT-system inom vård och omsorg. Varje tjänst som vill ansluta till Tjänsteplattformen följer så kallade tjänstekontrakt, som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen/tjänsterna. SID 10(27)
Vårdsystem Journal- och vårdadministrativt system SYSteam Cross används som det primära systemet för vårddokumentation och vårdadministration både i primär- och slutenvård. SYSteam Cross består av olika delar som tillsammans bildar patientens journal. I systemet finns t.ex. en dokumentationsdel, en tempkurva, en beläggningslista, en läkemedelsmodul, en labblista och hantering av remiss och svar. Det finns även funktioner för kassa och tidbokning i systemet. Radiologisystem (RIS/PACS) LtS använder Sectras lösningar för RIS (Radiology Information System) och PACS (Picture Archiving and Communication System). Operationsplanering Orbit från SYSteam används för planering och uppföljning vid operation. Mödravård och förlossning Obstetrix från Siemens, används inom mödravård och förlossning Administrativa system Säkerhet Beroende på vilken typ av information systemet behandlar ställs olika krav på säkerhet. System som medger åtkomst till patientinformation omfattas av PDL och har därmed i stort sett samma krav som vårdsystemen på autentisering, åtkomstkontroll, loggning etc. Övriga administrativa system hanterar i varierande grad skyddsvärd information. Den grundläggande ambitionen är att autentisering hanteras via inloggningen till datorn, det vill säga av AD. Tillgång till system, systems funktioner och information ska i första hand ske baserat på AD-grupp. Detta medger centraliserad administration av åtkomst. Ekonomisystem IFS är ett ekonomisystem där vi använder moduler för redovisning, reskontror och inköp. Systemet körs i Oracle-miljö. SID 11(27)
Integrationer med IFS görs med fastställd layout. Exempel på integrationer är - vårdsystem (CROSS, Orbit m.fl.) - Landlord (fastighetssystem) - NOVA (Inkassosystem) IFS använder den externa tjänsten för utskrifter som exempelvis fakturor Dokument och ärendehantering EDIL är ett dokument- och ärendehanteringssystem som även är vårt gemensamma informationslager för vår ostrukturerade information. Systemet har sin utgångspunkt i dokumenthanteringen och livscykeln för dokumentet. Edil är ett verksamhetssystem som stödjer den administrativa verksamheten i dess uppdrag och processer. Verksamhetssystemet EDIL ska tillsamman med webbarna och Officesviten upplevas och fungera som en gemensam plattform för landstingets informationsförsörjning. Personalsystem Heroma är ett moduluppbyggt PA/lönesystem med en sammanhållen grundstruktur från leverantören Logica. Systemets uppgift är att bidra till en effektivare verksamhet genom att underlätta planering, styrning och uppföljning av personalresursen. En annan uppgift är att förenkla det personaladministrativa arbetet. Heroma lämnar information internt inom landstinget till bland annat IFS, eks och Måttdatabasen. Därutöver lämnas även uppgifter till KPA, Skatteverket, CSB och SKL. SID 12(27)
Statistik och uppföljning Måttdatabasen (MDB) är LtS egenutvecklade lösning för att samla in, bearbeta och presentera statistik som används för att utvärdera verksamheten och utgöra informationsunderlag vid beslut. Ambitionen är att informationen ska kunna bearbetas och presenteras oberoende av vilken källa som används. Det ställer bland annat krav på att anslutna system använder enhetliga organisationsstrukturer och termer. I grunden sker en insamling av information från de olika datakällorna, systemen, till ett gemensamt datalager där informationen lagras i stjärnmodeller med fakta- och dimensionstabeller Från datalagret byggs multidimensionella kuber som används för att bygga fasta rapporter och tillåta ad-hoc sökningar. Informationen görs tillgänglig i en statistikportal. Insamling av data ställer krav på att informationen görs tillgänglig via direkt tillgång till databas, tjänst eller att systemet periodiskt skapar filer med statistikunderlag. Microsoft SQL Server används som databas i datalagret, Microsoft SSIS används för datainsamling och Microsoft BI-lösning används för multidimensionella kuber och portal. Webbpublicering (en del av landstingets informationsförsörjning) delas in i tre delar: 1. Teknik i grunden finns ett webbpubliceringsverktyg som skapar tillämpningar (sajter). 2. Innehåll den del där redaktören enkelt skapar struktur och innehåll. 3. Navet (målgruppstyrning, personalisering och samarbete) som kopplar samman delar av verksamheten. Informationstjänster Informationstjänster är auktoritativa datakällor för information som är gemensam. Informationen kan endera göras tillgänglig för direkta tjänsteanrop eller replikeras till övriga system. Befolkningsinformation CBR-tjänsten, som är utvecklad av Örebro Läns Landsting (ÖLL), hanterar information rörande befolkningsindivider. Detta innefattar bland annat uppgifter om namn, adress, relationer (moder, fader, barn) och datum för födsel och avlidande. Skatteverket är den ursprungliga källan till informationen. Landstingen får aviseringar som innehåller uppgifter om SID 13(27)
Sörmlänningar en gång per vecka som lagras i lokalt CBR-tjänsten. CBR kan även göra direkta sökningar mot Navet, Skatteverkets tjänst för befolkningsinformation, för att få tillgång till information som inte omfattas av aviseringarna. Beskrivning av gällande version av CBR-Web Service finns här: http://www.landstingetsormland.se/it-normer [Källplats är Y:\Alla\Processer\Systemförvaltning\CBR\Webservice\CBRwebbservice_gällande_version] Katalogtjänst Elektronisk katalog Sörmlands (eks) innehåller information om anställda, organisation, organisatoriska och fysiska enheter och är dessutom Sörmlands HSA-katalog. Informationen i eks är åtkomlig för andra system via eks-web Service Vald del av informationen i eks kan också levereras till andra system via filuttag (LDIF-filer) i önskat format antingen totalfiler eller ändringsfiler (tas ut med vissa tidsintervall) som innehåller de uppdateringar som gjorts sedan föregående filuttag Gemensamma säkerhetstjänster De gemensamma säkerhetstjänsterna används av system som innehåller patientinformation och som därmed omfattas av PDL. I dagsläget är det få tjänster men med tiden kommer det att finnas gemensamma tjänster för PDL- loggning, patientrelation, organisationsmappning, samtycke, loggutlämnande, logganalys etc. Autentisering Microsoft ADFSv2 används som security token provider (STS) det vill säga som utfärdare av SAML-biljetter som används som identitetsbevis i vårdsystem. Spärrtjänst I Sörmland används den lokala spärrtjänsten som är utvecklad av INERA AB. Lokala spärrar administreras i denna tjänst och replikeras till den nationella spärrtjänsten. Spärrtjänstens tjänstekontrakt ingår i de nationella infrastrukturtjänsterna (Tjänsteplattformen och tjänstekontrakt). Vid spärrkontroll inom vårdgivaren gör endast kontroll mot de lokala spärrarna. SID 14(27)
I sammanhållen journalföring görs även en kontroll mot den nationella spärrtjänsten. Övriga gemensamma tjänster Utskrifthantering LtS använder sig av en extern part för utskrifter av exempelvis fakturor och kallelser. Lösningen bygger på mallar framtagna i StreamServe som landstinget är ägare av och som sedan hanteras av leverantören. Från avlämnande system skickas filer i XML-format med data till utskriftsleverantören som sedan ansvarar för processning, utskrift, kuvertering och distribution. Arkivering För arkivering av data från system som antingen gallrats ur systemet eller att systemet tagits ur drift skickas till ett elektroniskt arkiv kallat R7e-arkiv. I dagsläget finns färdiga inleveransspecifikationer för ett fåtal systemtyper exempelvis ekonomisystem och diariesystem. Nya system som ska arkiveras får antingen anpassas till en befintlig inleveransspecifikation eller också måste en ny typ av inleveransspecifikation tas fram. Integrationsplattform System och applikationer kan integreras på en mängd olika sätt och nivåer. Exempelvis: Vårdapplikationer kan samverka i NSC-desktop System kan anropa tjänster Överföring av elektronisk information via filer, EDI etc. Tillgång till hela eller delar av ett systems databas För att åstadkomma enhetlighet och få möjlighet till kontroll och övervakning används ett antal olika integrationsprodukter. Vilken integrationsprodukt som används beror på de mekanismer, protokoll och format som kommer i fråga vid en specifik integration. Microsoft BizTalk BizTalk används för meddelandebaserad integration. BizTalk har stöd för ett stort antal överföringsmetoder och format. Vidare kan BizTalk SID 15(27)
transformera information mellan olika format och dessutom finns det stöd för arbetsflöden. BizTalk används bland annat till filöverföringar, EDI och för att ladda upp information till externa tjänster. Xtrade Xtrade (Xware AB) används för EDI men kommer på sikt att avvecklas. Nya EDI-integrationer kommer att realiseras i BizTalk. Microsoft Forefront LtS använder Forefront Identity Manager (FIM) för att överföra identitetsinformation i första hand från eks till AD men kan användas för att synkronisera identitetsinformation även mellan andra system. Microsoft SSIS SQL Server Integration Services (SSIS) används för att extrahera, transformera och ladda (ETL) stora informationsmängder från system, via direkt koppling till systemets databas, och internt och externt producerade filer. Detta är den primära metoden att ladda in information i Måttdatabasen. Applikationsteknik För egenutvecklade medicintekniska lösningar gäller ett särskilt regelverk. Programmeringsspråk Våra applikationer utvecklas huvudsakligen i C#. Lagrade procedurer skrivs i TSQL. Utvecklingsmiljö Microsoft Visual Studio, källkodshantering med Microsoft Team Foundation Server (TFS). Databasmiljö Microsoft SQL Server. SID 16(27)
Webbapplikationer I första hand ska användarapplikationer utvecklas som webbapplikationer. Webbapplikationer utvecklas i ASP.NET och.net. Nyutvecklade webbapplikationer ska stödja Microsoft Internet Explorer Version 9, 10 och 11. Klientapplikationer Då det krävs tillgång till lokala resurser eller av andra skäl kan det komma i fråga att utveckla klientapplikationer som kan installeras lokalt på användarnas datorer. Klientapplikationer utvecklas i.net Tjänster Serverbaserade tjänster ska baseras på Windows Communication Foundation (WCF) och.net BizTalk applikationer BizTalk applikationer utvecklas för BizTalk och.net Ramverk och externa beroenden Om det inte föreligger goda skäl för egenutvecklade och skräddarsydda lösningar, endast ha beroenden till ramverk som ingår i de standardiserade server- och klientdatormiljöerna. SID 17(27)
IT-INFRASTRUKTUR Extrakt ur IT-policy: Landstinget ska ha en gemensam teknisk IT-infrastruktur som utgöra en stabil, effektiv och säker grund för landstingets IT-verksamhet. Den ska ge goda förutsättningar för både drift och utveckling samt stödja såväl intern som extern kommunikation. Serverdrift Centrala datorhallar Datorhallar som är bemannade kontorstid helgfria vardagar finns i Eskilstuna (Mälarsjukhuset) och Nyköping (Nyköpings lasarett). Datorhallarna har datagolv och är omgivna av brandklassade väggar. Det finns särskilda klimatanläggningar, UPS och reservkraft. Det är särskilda behörighetszoner för tillträde till datorhallarna. Eventuella inbrottslarm går till utryckande bevakningsföretag 7x24. Datorhallarnas disposition är planerad för rackmonterade servrar. Gemensam backuphantering i särskilda säkrade utrymmen finns för ITsystem som inte kräver egen lösning. Normalt verifieras backuper (säkerhetskopior) kvartalsvis. Med verifiering avses återläsning till särskild verifieringsmiljö och kontroll att anslutning mot databaskopian fungerar. Vid drift av leverantören men hos kund Windows-resursdomän ansluts till landstingets masterdomän. Hårdvara Arbetsstationer Alla arbetsstationer inom LtS är funktions-pc som ägs av D-data och hyrs ut till verksamheten inklusive service och underhåll. Alla användare ska ha en PC med den kapacitet som krävs för respektive funktion. Inom funktions-pc konceptet ingår stationär och bärbar PC, skrivare, scanner, dikteringsutrustning och multifunktionsskrivare (i övrigt angående skrivare se nedan). PC inköps enligt aktuellt Kammarkollegiet-avtal. Aktuell standard för utrustning finns på Insidan. Vid upphandlingar bifogas aktuell standard i bilaga ITS5.4 Aktuell standard för utrustning. SID 18(27)
Landstinget eftersträvar arbetsplatsutrustning (med applikationsprogram) som uppfyller krav i nivå med Kammarkollegiets upphandlingar och internationella normer avseende: * energiförbrukning (inklusive självsläckning av bildskärmar) * ergonomi ifråga om buller, värme, strålning * synergonomi och tangentbordsergonomi * vikt, storlek och placering av manöverorgan * miljövänlighet (i produktion, material och återvinningstänkande) * säkerhet mot intrång, skada genom felaktigt handhavande, stöld och annan åverkan Servrar Med servrar menas datorer som används av flera personer i nätverk för lagring, databashantering eller andra speciella funktioner såsom kommunikation. Servrar inköps enligt aktuellt Kammarkollegiet-avtal. Servrar levereras av D-data som kapacitetstjänst och landstingets strävan är att alla servrar ska vara virtuella. Virtuella servrar ger en större flexibilitet och tillgänglighet än traditionella servrar och ger dessutom energibesparingar både i form av lägre energiförbrukning och även av den energi som åtgår för att kyla datahallarna. Servrar kan i undantagsfall köras som traditionellt fysiska maskiner men då i första hand som så kallade bladservrar. Skrivare Direktanslutna skrivare är normalt små A4-laserskrivare med relativt begränsad kapacitet. Nätverksskrivare har normalt större kapacitet varav åtminstone en per avdelning brukar vara färglaser. Stora avdelningars gemensamma skrivare är av multifunktionsmodell, det vill säga färgskrivare, scanner och kopieringsmaskin i en enhet. Laserskrivare ska i första hand väljas med stöd för kommandospråket PCL5 eller senare. Skrivare som delas av flera användare ansluts till nätverket. Drivrutiner ska vara certifierade av Microsoft och får ej vara interaktiva på servern under löpande drift. Skrivardrivrutiner ska vara på svenska. Skrivare med inbyggt nätverksstöd och eventuella printservrar ska ha stöd för Microsoft TCP/IP-utskrifter. SID 19(27)
Backupsystem D-data använder central backuphantering baserad på Symantec NetBackup. Avbrottsfri el På D-data i Nyköping och Eskilstuna finns reservkraft och avbrottsfri kraft bestående av både UPS och dieselkraftverk. Standarder för UPS:er anges i Landstingsfastigheters dokument: PTS-UPS, standard för installation. Operativsystem och databaser Operativsystem arbetsstationer Som operativsystem i arbetsstationer väljs vid nyinstallation 64- bitarsversionen av Windows 7. Windows 8.1 kan i vissa fall användas på läsplattor. Arbetsstationer ska ingå i den landstingsövergripande domänen DD.DLL.SE (DLLD2). För vissa ändamål, exempelvis integrerat i medicinteknisk utrustning, kan arbetsstationer med andra operativsystem användas. Operativsystem servrar Som operativsystem i servrar väljs vid nyinstallation i första hand Windows 2008 R2eller Windows 2012R2. Nätverksoperativsystem Som nätverksoperativsystem används Windows 2008R2 och Active Directory. Nätverksoperativsystemets huvudsakliga uppgift är att administrera användares tillgång till resurserna i nätverket på ett säkert sätt; filer, databaser, applikationer, skrivare, kommunikationsportar. Nätverksoperativsystemet används också för att styra landstingets alla funktions-pc:s med hjälp av så kallade Group Policys. Med Group Policys kan man bland annat styra användargränssnitt och konfiguration av de ingående komponenterna, exempelvis Internet Explorer. Windows-servrar ingår normalt i den landstingsövergripande domänen DLLD2, men separat resursdomän med trust-koppling till DLLD2 kan, om mycket speciella behov föreligger, väljas för en Windows-server som ingår i särskilt underhållsavtal med extern leverantör. SID 20(27)
Skydd mot skadlig kod Det finns ett aktivt skydd mot skadlig kod på alla funktions-pc:s, med programvara enligt gällande avtal (se Förteckningar). Alla funktions-pc:s har en lokal brandvägg aktiverad som blockerar ingående trafik. Det finns även ett skydd mot skadlig kod på alla Windows-servrar. Databashanterare Databashanteraren ska stödja kommunikation över TCP/IP. Den bör ha stöd för: * Crash recovery (dels automatisk rollback på transaktioner som inte fullbordas, dels inkludera transaktionsloggsbackuper i restore) * Säkerhetskopiering & reorganisation under löpande drift Normalt ska någon av nedanstående databaser användas: Microsoft SQL Server DB2 I undantagsfall används: Oracle Sybase / SQL Anywhere Se även Systemstrukturens avsnitt Programmeringsspråk och Databasmiljö under Applikationsteknik. Kommunikation Definition D-net D-net är LtS gemensamma datanät. Syftet med D-net är att tillhandahålla tillräcklig kapacitet, tillgänglighet och säkerhet som gör det enkelt och kostnadseffektivt för olika enheter att kommunicera och som tillåter en central placering av servrar. Nätverk LtS kommunikationsnät, D-net, finns utbyggt till samtliga förvaltningar och omfattar cirka 7500 användare. Sjukhusen och D-data Nyköping sammanbinds av ett backbone-nät där bl.a. 2 x 10 Gbps våglängd ingår. Inom respektive sjukhus finns ett stjärnformigt fibernät uppbyggt från central kopplingspunkt ut till ett antal lokala kopplingspunkter inom SID 21(27)
sjukhusområdet. Vid den centrala kopplingspunkten finns anslutningen mot D-net backbone. I de lokala korskopplingspunkterna är datorer och övrig utrustning ansluten till kommunikationsutrustning med vanligtvis 1000 Mbps. Vid kommunikation över hyrd kapacitetstjänst mellan geografiskt skilda orter finns alltid en viss fördröjning (latency) som ska beaktas ur applikations- och svarstidssynpunkt. D-net är uppbyggt med Cisco-utrustning och utvecklas fortlöpande för att kommunikationsmässigt tillgodose nya och förändrade tillgänglighets- och kapacitetskrav. Kabling Inom landstinget tillämpas en strukturerad kablingsstrategi. Standarder för kabling anges i FM-enhetens dokument: PTS-Datanät, standard för installation. Kommunikationsprotokoll Som kommunikationsprotokoll inom D-net ska TCP/IP användas. Detta gäller både över förbindelser mellan geografiskt spridda orter såsom inom lokala nätverk på sjukhus och inom andra enheter. Utrustning som ansluts till D-net ska ha samma stöd för IPv6 som det finns för IPv4, d.v.s. funktionsneutralitet mellan de två protokollen skall gälla. D-data tillhandahåller och administrerar erforderliga IP-adresser. DHCP-tjänst nyttjas för tilldelning av både dynamiska och fasta IP-adresser. Nätverkstopologi LAN- och WAN-miljö Inom lokala nätverk används Gigabit Ethernet både över koppar och över fiber. D-net är uppbyggd med nätverksutrustning från Cisco Systems. Vid nyinstallation och utbyggnad av LAN-miljö installeras switchad Ethernet. Lägsta kommunikationshastighet till vårdcentral/tandvårdsklinik är 50 Mbps. Trådlös datakommunikation Trådlös datakommunikation WLAN, inom landstingets verksamheter sker enligt standard 802.11 a/g/n och installeras på frekvensbanden kring 2,4Ghz SID 22(27)
respektive 5Ghz. WiFi Protected Access, WPA2 Enterprise ska användas som standard för anslutning och säkerhetsmiljö. Nätövervakning Kommunikationsutrustning och dataförbindelser inom D-net övervakas med hjälp av SNMP. Produkterna som används är SNMPc, CiscoWorks samt Cisco Prime. Internetåtkomst HTTP-trafiken kontrolleras i server enligt Skydd mot skadlig kod. För innehållsfiltrering av trafiken används produkten Websense Web Security. Elektronisk post Landstinget har ett enhetligt e-postsystem som baseras på MS Exchange. Åtkomst via Outlook eller OWA, samt Active Sync för mobil åtkomst. Inkommande & utgående e-post (SMTP) kontrolleras i server enligt Skydd mot skadlig kod. Spamfilter Inkommande e-post filtreras avseende Spam (oönskad e-post). Den tekniska lösningen kompletteras med manuella gallrings- och kontrollrutiner. Kommunikationsmiljö för externa leverantörer och distansarbete Teknik- och applikationssupport av externa leverantörer kan ske via SJUNET (kommunikationsnät mellan landsting, kommuner och ett antal företag) eller via VPN-teknik (se nedan) eller hellre via Web Access (se nedan). VPN-teknik D-data tillhandahåller en programvara (Cisco VPN-klient) som installeras på datorer med Windows operativsystem. Uppkoppling sker mot D-net, över Internet. Regelverk för åtkomst definieras i central kommunikationsutrustning placerad på D-data. Arbetsstation som är uppkopplad mot D-net kan inte samtidigt nyttja resurser från annat nätverk. SID 23(27)
Web Access Åtkomst med Web Access, en lösning som bygger på Citrix Presentation Server och engångslösenord med produkten Pointsharp, är att föredra framför VPN. Lösningen ger access till en virtuell desktop där landstingets Intranät, e-post, Office-paket, Adobe Acrobat och de nätverksenheter som normalt är uppmappade på en vanlig landstings-pc finns tillgängliga. Uppkoppling kan ske från valfri extern dator som uppfyller kraven. Den anslutande PC:n behöver använda en speciell Citrix-klient. Extern kommunikation Extern kommunikation ska ske via fasta etablerade kopplingar. D-net är anslutet mot Internet och Sjunet både via Mälarsjukhuset och via Nyköpings Lasarett. För respektive anslutning finns en brandväggsmiljö installerad. Sjunet ska utnyttjas där det är möjligt. Arbetsstation som av någon anledning måste använda modem för extern kommunikation får inte vid samma tillfälle vara fysiskt ansluten till D-net. Modemanslutning får ej göras direkt till server. Systemtekniska kommunikationstjänster Infrastruktur för Windows-datorer Det finns särskilda Windows-servrar som har hand om tjänsterna DNS och WINS. Dessa tjänster utnyttjas av alla installerade Windows-system. Filöverföring För filöverföring av större datamängder används FTP. Föreligger större säkerhetskrav kan SFTP vara ett alternativ. Överföring av mindre filer mellan personer kan även göras med elektronisk post. FTP-trafiken kontrolleras i server enligt Skydd mot skadlig kod. För frekventa filöverföringar väljs en EDI-lösning (se Systemstrukturens avsnitt om BizTalk och Xtrade). (Definitionsmässigt är filöverföring även av formen EDI. Vi har dock valt att göra en viss skillnad på begreppen i detta dokument.) Extranet Kan realiseras genom att applikation/resurs placeras på DMZ-nät. Generellt gäller att extranet-kommunikation sker via protokollen http och/eller https. SID 24(27)
Kommunikation mot intern resurs kan ske via aktuell databasport. Andra kommunikationslösningar ska godkännas av D-data. Webbaserade system som finns på insidan kan publiceras på extranet med en lösning baserad på Microsoft ISA-server. Telefoni Samutnyttjande av resurser eftersträvas för data-, text-, bild- och telekommunikation. På landstingets tre sjukhus finns Nortel Media Gateways telefonväxlar installerade. Dessa är undersystem till den centrala CS1000. För vårdcentraler och andra spridda enheter finns det olika telelösningar. En del har egna televäxlar med egna in- och utgående ledningar, medan andra har utflyttade steg från sjukhusväxel. Trådbunden IP-telefoni införs successivt och kan anslutas på alla sjukhusväxlar och ett flertal vårdcentraler. Samtliga vårdcentraler och sjukhus samt vissa andra av landstingets inrättningar är sammankopplade i en nätgrupp. Detta är gjort dels med fasta förbindelser dels med virtuella. Det finns en hänvisningsdator. Den elektroniska telefonkatalogen nås via Insidan. Växlarna är utrustade med röstbrevlåda, talsvar, konferensbrygga, utrustning för DECT-telefoni samt ACD-kö (Automatic Call Distribution). Personsökarsystemen är anslutna till växlarna. Systems management SMS I LtS används Microsoft SCCM 2012R2. SCCM används för fjärrstyrning av funktions-pc:s, distribution av mjukvara och inventering av hård- och mjukvara. WSUS För hantering av Microsofts säkerhetsuppdateringar på funktions-pc:s används systemet Microsoft WSUS. SID 25(27)
Performance Guard För att mäta kvaliteten på de tjänster som levereras av infrastruktur och applikationer används produkten Performance Guard. Den använder sig av en agent på funktions-pc:n som mäter trafiken mellan klient och applikation och rapporterar sedan in mätvärden till ett centralt datalager där analyser utförs. Serverövervakning För att övervaka servrar används Systems Insight Manager från HP och System Center Operation Manager från Microsoft. Applikationsmiljö Programladdning och startplats för klientapplikationer För klientapplikationer eftersträvas central administration. De bör ha programmen på nätverksresurs och startas via Custom Start Menu. Uppstart bör ske med ett synkroniseringsprogram som börjar med att kontrollera att arbetsstationen har rätt programversion lokalt (i takt med databasens innehåll), annars sker synkronisering, därefter startas programmen lokalt. I de fall det krävs någon annan form av exekvering för att byta programversion så bör dock versionsbyten ske med SCCM. Syntax på sökväg till nätverksresurs för klientapplikation Dedikerade enhetsbeteckningar bör undvikas. På landstingets gemensamma filserver bör dedikerade share undvikas. Vid dedikerad server Sökväg för åtkomst till nätverksresurs på dedikerad server bör använda UNC-syntax. Landstingets gemensamma filserver Normalt tilldelas en underkatalog för applikationen, med behörighetsindelning på den underkatalogens nivå. Då använder sökvägar i första hand landstingets gemensamma enhetsbeteckning, i andra hand UNCsyntax. I tredje hand dediceras share med sökvägar som använder UNC-syntax, i sista hand med dedikerad enhetsbeteckning. SID 26(27)
FÖRTECKNINGAR Standardprodukter servrar Systems Insight Manager (systems management HP-servrar) Microsoft SCOM-agent Netsupport Manager vid behov (hanterar Windows-servrar på distans) Diskeeper - vid behov F-Secure Performance Guard Agent (vid behov) Gällande avtal F-Secure Avtal som är tvingande genom beslut i landstingsledningen Kammarkollegiets avtal Förinstallerade program på funktions-pc Acrobat Reader Internet Explorer F-Secure Outlook Flash player Java Viewers för Word, Excel, Power Point och Visio DB2 Övriga standardprodukter för arbetsstationer MS Office SID 27(27)