Arbeidsmetodikk for Referansekatalogen

Innledning

Her vil vi gå gjennom kjeden av sentrale aktiviteter og interaksjonen mellom involverte aktører i prosessen fra forslag, til innlemmelse og eventuelt avslag/utfasing av standard i Referansekatalogen. Metodikken definerer også premisser og avveininger som skal etterleves i utvelgelse og revidering av standarder.

Tiltenkt publikum er Digitaliserings- og forvaltningsdepartementet (DFD) som forvalter av Forskrift om IT-standarder i offentlig sektor, Digitaliseringsdirektoratet (Digdir) som forvalter av Referansekatalogen på vegne av DFD, medlemmer av ASR og aktører i offentlig sektor som forslagsstillere til og brukere av Referansekatalogen.

Aktualisering

Standarder er avgjørende for en nasjons digitalisering av en rekke grunner. Under følger noen sentrale eksempler.

Et kjernepunkt for moderne standardisering er å understøtte lovgivning. Der loven definerer «hva» som skal på plass hjelper standarden til med å forklare «hvordan» det kan eller skal realiseres.

Standarder sikrer at systemer i offentlige forvaltning og næringslivet kan samhandle på en god måte. Uten standarder ville det være mange proprietære løsninger uten tilstrekkelig prosessuell, teknisk eller semantisk interoperabilitet. Ved å stole på proprietære systemer kan man fort bli avhengig av enkeltleverandører.

Anerkjente standarder gir en konsistent og pålitelig tilnærming, slik at alle kan forvente en viss kvalitet fra offentlige digitale tjenester. Dette bygger tillit blant brukere. Standarder er ment å være støtteverktøy for alle nivå, alt fra de som ikke har dyptgående ekspertise helt opp til tilsynsmyndigheter.

Relevante standarder bidrar til at løsninger kan utvikles en gang og brukes mange steder. Dette reduserer kostnader og danner grunnlag for at offentlig sektor og næringslivet kan innovere enklere. Standarder representerer derfor en god ramme for å innlemme nyvinninger, og sikre at digital transformasjon er bærekraftig.

Internasjonalt standarder sikrer at en nasjons digitale infrastruktur er kompatibelt globalt. Digitale standarder gir ofte retningslinjer for sikkerhet, noe som bidrar til at trusselbilde for offentlige tjenester reduseres.

Oppsummert legger standarder grunnlaget for å få til god samhandling, sikkerhet og tillit internt i offentlig sektor og for å kunne yte god service i det tjenestetilbudet som offentlig sektor tilbyr næringsliv og innbyggere.

Referansekatalogen er i denne sammenhengen en oversikt over IT-standarder som er obligatoriske eller anbefalte for offentlig sektor.

Overordnet beskrivelse

Referansekatalogen skal være en samlet oversikt over anbefalte og obligatoriske standarder som gjelder for offentlig sektor, inklusive generelle krav til IT-standarder i alt norsk lovverk. For oversiktsskyld er standardene sortert under bruksområder. Hvert navngitt område skal ha en dekkende definisjon av anvendelsesområde og anbefalingsstatus.

Hvert standardinnslag i katalogen skal ha følgende felter:

• Navn
• Normeringsnivå
• Versjon
• Språk
• Standardiseringsorganisasjon
• Kort introduksjon til standarden, med henvisning til relaterte standarder
• Lenke til aktuelle versjon
• Dato for godkjenning av Digdir
• EU godkjent for bruk i anskaffelser (MSP ICT Std.)
• Eventuell overgangsbestemmelse
  
  

Katalogen skal fortrinnsvis inneholde åpne standarder, men også andre IT-standarder og særnorske spesifikasjoner kan vurderes utfra deres betydning for samhandling i offentlig sektor og kommunikasjon med næringsliv og innbyggere.

Referansekatalogen skal tolkes slik at de standarder og særnorske spesifikasjoner som er anbefalt skal alle offentlige virksomheter benytte med mindre de har en god grunn til å avvike fra dette.

Katalogen skal tilrettelegges elektronisk og gjøre det enkelt å søke i listen over forvaltningsstandarder avhengig av leserens innfallsvinkel.

Det skal også gjøres mulig for brukere å følge med i behandlingen og gi innspill på foreløpige vurderinger underveis i prosessen der det åpnes for det. På den måten skal det være mulig å se hvor langt man har kommet i ulike utredninger.

Sjekkliste for vurdering av standarder

Det er viktig å ha kjente og faste vurderingskriterier for å kunne gi en tillitsskapende og konsistent begrunnelse for vurdering av ulike forslag og standarder. Nedenfor finner du settet av kriterier som legges til grunn for vurdering av om mottatte behov/forslag egner seg som forvaltningsstandard eller ikke.

1. Formål
   1. Hva er hensikten ved å ta standarden i bruk?
   2. Hvilket bruksområde har standarden?
      
2. Utvikling og forvaltning
   1. Hvilken standardiseringsorganisasjon har utviklet standarden
      (Internasjonal, regional eller nasjonal)?
   2. Er utviklingen og forvaltningen en åpen prosess der flest mulig relevante interessenter har påvirkningsmulighet?
   3. Har den referanser/avhengigheter til andre standarder og standardiseringsorganisasjoner?
   4. Hva er kostnadene ved å bruke standarden(e)?
      
3. Aksept og utbredelse
   1. Standardens modenhet.
      I hvor stor grad er den etterprøvd og har den vært gjennom flere revisjoner?
   2. Adopsjon i markedet
      Hvor utbredt er standarden (div. versjoner) i tjenester, løsninger og produkter tilgjengelig i markedet?
   3. Finnes det alternative standarder på området (fordeler og ulemper)?
   4. Er tilstøtende områder som blir involvert også standardisert (ringvirkninger)?
      
      
4. Innfrielse av offentlig virksomheters og deres brukeres behov
   1. Bidrar standarden til klarhet og løsning på samhandlingsutfordringer for offentlig sektor (tydelighet og dekning)?
   2. Hvilke deler av offentlig sektor er tjent med å ta i bruk standarden i dag og i fremtiden
      (1-2 år og 3-5 år)?
   3. Passer standarden inn i overordnede arkitektoniske prinsipper i offentlig sektor?
   4. Hvilke krav setter standarden til brukerne (funksjonsnivå)?
      
5. Anbefalingskonsekvenser
   1. I hvilken grad bidrar standarden til innovasjon og samhandling i offentlig forvaltning og samfunnet ellers?
   2. I hvilken grad vil standarden bidra til å øke kvalitet og/eller effektivitet i offentlig sektors myndighetsutøvelse og tjenestetilbud?
   3. I hvilken grad vil standarden bidra IT-arkitektoniske og systemtekniske nasjonale konsekvenser?
   4. Hvilke økonomiske konsekvenser vil det gi å anbefale denne standarden for offentlig sektor, samt brukere av offentlige tjenester og samarbeidspartnere.
   5. Hvilken miljøeffekt vil bruk av standarden gi?

ASR anbefaling

ASR er et rådgivende organ, som skal gi råd til Digdir, forankre anbefalinger i deltakende organisasjoner og holde seg orientert om arbeidet med IT-standarder. Digdir er det besluttende organet for hvilke standarder som bør være anbefalte eller obligatoriske på ulike anvendelsesområder.

Det er ikke lagt noen føringer i forhold til om ASR kan foreslå en eller flere standarder på samme område. Det må vurderes fra tilfelle til tilfelle. Alle standarder som har blitt vurdert av ASR skal gis en anbefalingsstatus.

ASR kan tildele en standard følgende anbefalingsstatus:

• Til behandling
  Forslag er mottatt, men standarden er ikke ferdig behandlet. Disse standardene vil ligge under oversikten over innkomne forslag eller pågående behandling.
  
• Til inspirasjon
  Standarden tilfredsstiller ikke nødvendige kriterier for å tas inn i Referansekatalogen, men vurderes som lovende for signifikante teknologiske trender eller for brukstilfeller som ligger i randsonen av offentlig digital samhandling.
  
• Anbefalt
  Standarden er anbefalt å benytte for spesifisert anvendelsesområde.
  
• Obligatorisk
  Standarden er obligatorisk å benytte for spesifisert anvendelsesområder
  
• Under utfasing
  Standarden skal ikke benyttes i nye løsninger eller ved større omlegginger av eksisterende løsninger. Det er foreløpig ikke pålagt å endre eldre løsninger for å ta i bruk nye standarder på området.
  
• Ikke anbefalt
  Standarden er ikke ansett som egnet til å adopteres i eller har blitt utfaset av Referansekatalogen. Den bør ikke benyttes i verken nye eller gamle løsninger.
  
  

Prosess for endring i Referansekatalogen

Det er søkt å fremstille prosessflyten mellom fasene i modellene på et enkleste mulig måte. Dette for å lage en modell som oppfattes lettforståelig og relevant for tiltenkt publikum. Det vil naturligvis kunne forekomme at det blir oppdaget utfordringer i et prosess-steg, som fører til at arbeid blir returnert (tilbakemeldingssløyfe) til et forutgående prosess-steg.

ASR har møte 7 ganger gjennom året. Dette er indikert ved måneder merket med lyseblå pil i prosessmodellene. Prosessmodellene har tatt utgangspunkt i at behov/forslag har blitt spilt inn i starten av januar, men behov kan imidlertid komme gjennom hele året. Dermed vil prosessen i så fall forskyve seg i forhold til når forslaget ble mottatt og startet opp. Tidsutstrekningen til fasene vil også være situasjonsbetinget.

Endringsprosessen må følges opp av aktiv promotering av endringer, samt verifisering av at standardene blir brukt etter sin hensikt og i tilstrekkelig utstrekning. Disse aktivitetene er imidlertid ikke beskrevet her.

Fra forslag til en anbefalt standard

Forslagsfasen

Formålet med dette trinnet er å få frem relevante forslag som kan fremme IT-samhandling i offentlig sektor. Forslaget kan enten være en konkret standard, en særnorsk spesifikasjon (definisjon av innhold, prosess eller løsning), et område som bør standardiseres, en utfordring som må løses eller et behov for endring i den eksisterende referansekatalogen over forvaltningsstandarder innen IT i offentlig sektor. Alle i offentlige virksomheter, tilknyttede fagmiljø eller prosjekter, samt medlemmer av ASR kan komme med forslag.

Forslagene gjennomgås av Digdir for å samordne og presisere dem. Det påses at det er spilt inn nødvendig informasjon for å kunne påbegynne prioriteringen. Parallelle forslag sammenstilles, det defineres grenselinjer mellom nærliggende forslag og forslagene avgrenses. Når innkomne forslag er tydelig beskrevet og avgrenset foretas en foreløpig gjennomgang av forslagene iht. prioriteringskriteriene og det gis en kort skriftlig begrunnelse på hvilke forslag som bør prioriteres. Begrunnelsen gjøres på et overordnet nivå og krever ikke uttømmende argumentasjon, med spesielt vekt på:

• Antatt effekt av å anbefale standarden i offentlig sektor
• Antatt effekt av å anbefale standarden for brukere av offentlig sektor og samarbeidspartnere
• Vurdering av standardens modenhet
• Estimering av størrelsen av utredningsjobben

Deretter opprettes det sak til ASR for rådgivning på prioritering og eventuell anbefaling av utvikling av løsning på behov/forslag.

Utredningsfasen

Formålet med dette trinnet er at de forslag som vurderes til å gi størst samhandlingseffekt blir prioritert og realisert.

Bearbeidede forslag til prioritering skal behandles i ASR. Når forslagene er ferdig gjennomgått og tilstrekkelig diskutert i rådet, skal ASR gi sin prioritering og skriftlige anbefaling av arkitektur eller standard til Digdir. Digdir tar så ASR sin prioritering og anbefaling med i sin beslutning om å innlemme, eventuell utvikling av arkitektur eller standard.

Det ligger en antagelse om at de fleste standardene som vil bli behandlet av ASR er utformet av internasjonale standardiseringsorganisasjoner, men utviklingen av arkitekturer eller standarder kan også gjøres i fagmiljøer/prosjekter i offentlig forvaltning. Ved ferdigstilling av arkitektur eller standard presenteres resultatet for ASR.

Høringsfasen

Formålet med denne runden er gjennom en åpen og inkluderende prosess sikre god forankring for standardiseringsrådet sitt forslag om å gjøre en standard anbefalt eller obligatorisk.

Invitasjon til høringsuttalelser, underlagsmaterialet og informasjon om videre fremdrift i behandlingen skal tilgjengeliggjøres på nett for å gi utenforstående mulighet til å gi innspill til arbeidet i forkant av ASR-behandling. Underlagsmaterialet kan sendes spesifikke aktører for kommentar, dersom rådet ønsker konkrete innspill til den standarden som er under behandling. Når rådet har kommet frem til en velbegrunnet anbefaling, som rådet kan stille seg bak, skal endelig versjon av anbefalingen gis Digdir. I den grad at noen av medlemmene ikke ønsker å stille seg bak anbefalingen skal det legges ved en kort begrunnelse for medlemmenes dissens i underlaget.

Beslutning

Digdir vil behandle behov/forsalg i lys av anbefalinger fra ASR og høringsuttalelsene, før Digdir fatter en beslutning om hvilke standarder som skal bli anbefalt forvaltningsstandarder.

Forvaltning

Målet med dette prosesstrinnet er å sikre at forvaltningsstandarden tilfredsstiller offentlig sektors behov og at den er oppdatert over tid. Digdir har ansvar for den eksisterende referansekatalogen over forvaltningsstandarder for IT i offentlig sektor iht. alle nye beslutninger som tas. I tillegg skal Digdir gjennomføre årlige gjennomganger [SOA1] av den eksisterende referansekatalogen over forvaltningsstandarder for IT i offentlig sektor, for å vurdere behov for endringer. På bakgrunn av denne gjennomgangen skal Digdir komme med eventuelle forslag til endringer.

Fra forslag til obligatorisk standard

De tre første og den siste prosessfasen for endring av obligatoriske forvaltningsstandarder i Referansekatalogen gjennomføres på samme måte som for anbefalte forvaltningsstandarder

Det som først og fremst skiller prosessene til anbefalte og obligatoriske standarder er at beslutningen av obligatoriske forvaltningsstandarder ligger hos DFD og det er en del tilleggspunkter som må utføres.

Beslutningsfasen for obligatoriske standarder starter med at Digdir forbereder et beslutningsunderlag etter høringen og oversender til KMD. Utfra notatet som underlag foretar KMD sin sluttvurdering. Den oversettes og sendes på en 3 månedlig ESA-høring. Deretter utformes, oppmeldes og utsendes et regjeringsnotat.[OS1] Etter behandling og godkjenning i regjeringskonferanse så fattes det kongelig resolusjon. Fasen avsluttes med oppdatering av forskrift i Lovdata.

Revisjonsprosedyrer

Ovenforstående arbeidsmetodikk bør justeres og oppdateres over tid, utfra de erfaringer man får ved praktisk bruk av den. Metodikken skal justeres ved behov eller gjennomgås minimum hvert fjerde år. Forslag til revidert metodikk skal behandles i ASR og vedtas av Digdir.