Innholdsfortegnelse
1.1 Formål
1.2 Hvem omfattes
1.3 Åpen prosess
1.4 Definisjoner
2 Referansekatalogens anvisninger
2.1 Publisering av tekstdokumenter
2.2 Utveksling av tekstdokumenter
2.3 E-bøker
2.4 Publisering av multimediainnhold
2.5 Tilgjengelighet på nettsider
2.7 Innbyggerskjema
2.8 eHandel
2.9 Bruk av tegnsett ved utveksling av informasjon
2.10 Bruk av tegnsett i interne systemer
2.11 Arkiv-formater
2.12 Standardavtaler i offentlig sektor
2.13 Standarder for begrepsanalyse og definisjonsarbeid
2.14 Videokonferanse
2.15 Grunnleggende datakommunikasjon
2.16 Internkontroll/ styringssystem på informasjonssikkerhetsområdet
2.17 Sikre kommunikasjonskanaler (VPN)
2.18 Standard for bruk av PKI med og i offentlig sektor
2.19 Sikker elektronisk kommunikasjon i helsesektoren
1 Innledning
Dette er en liste over standarder som er vedtatt anbefalt eller obligatorisk å benytte i offentlig sektor. Regjeringen vedtar de obligatoriske standardene gjennom Forskrift om IT-standarder i forvaltningen og Difi vedtar de anbefalte standardene. Difi anbefaler å benytte denne listen som referanse i stedet for forskriften, da denne listen setter anbefalte og obligatoriske krav i sammenheng.
De obligatoriske kravene skal benyttes for anvist område, med mindre den offentlige virksomheten faller innenfor en spesifikk unntaksordning i forskriften. Anbefalte krav skal følges med mindre virksomheten har en god grunn til å handle annerledes, og dette ikke skader fellesskapet.
Referansekatalogens krav er knyttet opp til anvendelsesområder, da Bruk av en standard kan variere avhengig av bruksområdet.
Denne referansekatalogen er resultatet av et tiltak i St.meld. 17 (2006-2007). Eit informasjonssamfunn for alle. Det var tverrpolitisk enighet om tiltaket.
1.1 Formål
Referansekatalogen for IT-standarder i offentlig sektor skal legge grunnlaget for en velfungerende IT-samhandling i offentlig sektor.
Elektronisk samhandling internt i en offentlig virksomhet, mellom offentlige virksomheter eller med innbyggere og næringsliv, forutsetter IKT-løsninger som kan «snakke sammen». Bruk av åpne IT-standarder som definerer grensesnittene mellom systemene sikrer dette.
Det krever IT-standarder på flere nivå. Det krever tekniske standarder, som gjør det mulig for ulike system å utveksle data. Men en strøm av data er verdiløs om vi ikke vet hva den betyr. Derfor treng vi også semantiske standarder, som sikrer at alle tolker data på samme måte. I tillegg er det behov for organisatoriske og prosessuelle standarder, som innebærer at parter som samhandler har avklarte ansvarsforhold og er enige om bl.a. rekkefølgen av steg i en lengre prosess.
Referansekatalogen skal:
- Legge grunnlaget for en velfungerende samhandling mellom offentlige virksomheter og mellom offentlig sektor og omverdenen
- motvirke faren for at offentlige virksomheter og brukere blir låst til spesielle teknologier, leverandører eller forretningsmodeller
- bidra til likebehandling og inkludering av alle innbyggere, uavhengig av hva slags programvare eller programvareplattform hver enkelt benytter,
- bidra til likebehandling og inkludering av personer med nedsatt funksjonsevne, der nisjeleverandører er avhengig av å kunne lage tilpasninger til andres løsninger og systemer
- bidra til jevnere konkurransevilkår mellom aktørene i IT-markedet,
- legge grunnlaget for gjenbruk av registerinformasjon, programvare og tjenestemoduler på tvers av virksomheter,
- legge grunnlaget for etablering av felleskomponenter og fellesløsninger for alle offentlige virksomheter
-
bidra til en delingskultur (unngå dobbeltarbeid i offentlig sektor)
1.2 Hvem omfattes
Offentlig virksomhet underlagt forvaltningsloven
1.3 Åpen prosess
Difi prioriterer hvilke anvendelsesområder som bør utredes i forhold til å vurdere behovet for å anvise anbefalte eller obligatoriske standarder på området. Difi gjennomfører dette arbeidet i tett samarbeid med et Standardiseringsråd bestående av et representativt utvalg av offentlige virksomheter på alle forvaltningsnivå. Difi hører åpent revisjonsutkast til Forskrift om IT-standarder i forvaltningen og nye delversjoner av referansekatalogen.
Endringer i Forskrift om IT-standarder vedtas av Kongen i statsråd. Endringer i Referansekatalogen vedtas av Difi. (Endring av forskrift fører til hovedoppdateringer av referansekatalogen, mens nye anbefalinger fører til nye delversjoner av referansekatalogen.)
Arbeidet med å vedta anbefalte og obligatoriske standarder kan følges på standardiseringsportalen, som åpner for involvering fra offentlige virksomheter, næringsliv og innbyggere gjennom hele prosessen.
1.4 Definisjoner
a) standard: normative krav, spesifikasjoner, retningslinjer eller veiledninger
b) forvaltningsstandard: standard gitt av en relevant myndighet om at gitt standard skal legges til grunn for hele eller større deler av forvaltningen
c) teknisk standard: standarder for hvordan IKT-systemer skal være utformet med brukergrensesnitt og grensesnitt mot andre IKT-systemer
d) semantisk standard (menings- eller fortolkningsstandard): standard som fastsetter den nærmere betydningen av data
e) organisatorisk standard: standard som fastsetter organisatoriske, rollemessige, prosessuelle eller avtalemessige forhold mellom samhandlende parter.
f) Ny IKT-løsning: Total utskifting av en teknisk løsning, versjonsoppgradering, utskifting eller større endring av kildekode og større endring av utseende eller utforming. Gradvise endringer over tid som til sammen utgjør en endring som nevnt i denne bokstav, kan også regnes som ny IKT-løsning.
Brukergrensesnitt: Møtepunktet mellom menneske og maskin, og den delen av maskinen brukeren kommer i direkte kontakt med, herunder fysisk maskinvare og logiske programvarekomponenter.
2 Referansekatalogens anvisninger
Kravene til IT-standarder i offentlig sektor er fokusert rundt anvendelsesområder. Det fordi en standard kan ha ulik status på ulike områder. PDF 1.7 for eksempel er en standard som tilfredsstiller de obligatoriske kravene for publisering på nettsider, men som ikke er godkjent for arkivering. Under følger kravene på de ulike anvendelsesområdene som er tatt inn i Referansekatalogens versjon 4.0.
2.1 Publisering av tekstdokumenter
Anvendelsesområdet gjelder "publisering av tekstdokumenter på offentlige nettsider". Bruk HTML så mye som mulig.
2.1.1 Nærmere om anvendelsesområdet
Anvendelsesområdet som her omtales er publisering av tekstdokumenter på offentlige nettsider. Et dokument er i denne sammenheng definert som en lesbar meddelelse som inneholder informasjon.
Elektronisk utveksling av dokumenter på annet vis (e-post og lignende), internt i en offentlig virksomhet, mellom offentlige virksomheter og med innbyggere og næringsliv omfattes ikke av dette pålegget.
2.1.2 Bruk av standarder på området
Det er obligatorisk å presentere ferdigstilte tekstdokumenter som gjøres tilgjengelig på offentlige nettsider i HyperText Markup Language, HTML 4.01 (W3C 1999), eller Extensible HyperText Markup Language, XHTML 1.0 (W3C 2000). Det anbefales å gjøre dette gjennom å teste ut utkastet til ny versjon, HTML 5.0. Siden HTML5 ikke er vedtatt enda, skal standarden implementeres slik at den kan leses av en HTML 4.01 nettleser, og det må gjøres grundig brukertesting for å sikre tilfredsstillende støtte også i eldre nettlesere.
Skal formattering defineres i HTML anbefales det på nye nettsider å benytte Cascading Style Sheets Level 2 Revision 1 (CSS 2.1) Specification eller CSS 3. Ved bruk av CSS 3 må den implementeres slik at tekstdokumentet kan leses av eldre nettlesere, og det må gjøres grundige brukertesting for å sikre tilfredsstillende støtte også i disse. Eldre nettsider kan fortsatt benytte Cascading Style Sheets, level 2 (CSS 2) Specification, men denne versjonen er satt under utfasing og skal ikke benyttes på nye nettsider.
Velger en etat å gjøre bruk av Javascript, anbefales det at man baserer seg på W3C sin versjon av Document Object Model (DOM).
Er det behov for å ivareta formattering, utover det som er mulig med CSS, slik at overforstående krav skal fravikes er det obligatorisk å utforme slike dokumenter i Portable Document Format, PDF, i en av følgende versjoner: PDF/A-1 (ISO 19005-1:2005), PDF 1.4, PDF 1.5, PDF 1.6 eller PDF 1.7 (ISO 32000-1:2008)
Ved publisering av et tekstdokument for videre bearbeiding, anbefales det å basere seg på en åpen standard (f.eks. ODF eller OOXML).
Det er tillatt å parallellpublisere i flere format. Dette anbefales for tilfeller der man benytter PDF, siden enkelte løsninger for svaksynte har dårlig støtte for PDF-formatet.
Ved produksjon av PDF dokumenter anbefales det at fonter innkapsles (embed) i PDF dokumentene. Dette for i større grad å sikre at dokumentet blir gjengitt korrekt, uavhengig av plattform som benyttes ved visning av dokumentet. Dokumenter som følger PDF/A (ISO 19005-1:2005) standarden har alltid fontene innkapslet i dokumentet.
Det er obligatorisk å utforme tekstdokumenter som skal publiseres på Internett i samsvar med Web Content Accessibility Guidelines, WCAG 2.0 (NS-ISO/IEC40500:2012), på minimum nivå A og AA med unntak for suksesskriteriene 1.2.3, 1.2.4 og 1.2.5. Det anbefales derimot å tilfredsstille alle kravene, inklusive AAA-kravene. WCAG gir retningslinjer for tilgjengelighet på nettsider. For offentlige virksomheter hvor utforming av IKT-løsninger reguleres av annen lovgivning enn Forskrift om universell utforming, gjelder kun de anbefalte kravene.
Det er anbefalt å kode tekstdokumenter som skal publiseres på Internett med ISO/IEC 10646 representert ved UTF8.
Det er anbefalt å benytte ISO 639 for deklarering av språkkoder for offentlige nettsider i HTML. For de språkene som har språkkoder i ISO 639-1 (to bokstavers kode) skal denne brukes. Om ikke må en se videre til ISO 639-2 og ISO 639-3 (tre bokstavers koder). Entydige koder skal brukes fremfor språkgruppekoder. Herav følger at det må skilles mellom ulike samiske språk samt mellom bokmål og nynorsk. Anbefalingen gjelder alle språk.
2.1.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravene til formater har trådt i kraft for all ny publisering.
Eldre nettsider publisert før kravene trådte i kraft 01.01.2010, skal tilfredsstille kravene til formater, på tidligere publiserte dokumenter, innen 1. januar 2014.
Nye IKT-løsninger underlagt uu-forskriften, skal tilfredsstille de obligatoriske kravene til universell utforming innen 1. juli 2014. Alle eldre løsninger skal tilfredsstille kravene innen 1. januar 2021.
2.1.4 Hvordan tilfredsstille dette (veiledere)
Hoved budskapet er å benytte HTML i så mange tilfeller som mulig og gjøre HTML-sidene så tilgjengelige som mulig.
Her er ytterligere veiledere på området:
· Veileder for valg av publiseringsformat.
· Veileder for utforming av universelt utformede dokumenter.
· Veileder for bruk av entydige koder for alle offisielle språk i Norge.
2.1.5 Hjemmel av obligatoriske krav
De obligatoriske kravene er hjemlet i følgende forskrifter:
- Forskrift om IT-standarder i offentlig sektor
- Forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)- løsninger
2.2 Utveksling av tekstdokumenter
Anvendelsesområdet gjelder "utveksling av dokumenter" som vedlegg til e-post mellom offentlige virksomheter og innbyggere/næringsliv.
2.2.1 Nærmere om bruksområde
Anvendelsesområdet er utveksling av tekstdokumenter som vedlegg til e-post mellom offentlige virksomheter og innbyggere/næringsliv. Området gjelder både sending og mottak. Et tekstdokument er i denne sammenheng definert som en lesbar meddelelse som inneholder informasjon. Slike dokumenter kan inneholde enkle tabeller, bilder og figurer, men ikke lyd, video eller regneark.
Elektronisk utveksling av dokumenter på annet vis (utfylte webskjema på web, maskin til maskin og lignende) omfattes ikke av dette pålegget. Søknader, skjemaer og andre dokumenter som skal redigeres er unntatt dette kravet.
2.2.2 Bruk av standarder på området
Sending av tekstdokumenter
Det er obligatorisk for offentlige virksomheter å sende dokumenter beregnet for lesing på PDF 1.4 – 1.6, PDF 1.7 (ISO 32000-1:2008) eller PDF/A (ISO 19005-1:2005) i kommunikasjon med innbyggere og næringsliv. Det er anbefalt å benytte samme format ved intern utveksling mellom offentlige virksomheter.
Ved sending av et tekstdokument for videre bearbeiding, anbefales det å basere seg på en åpen standard (F.eks. ODF eller OOXML).
Det er tillatt å parallellsende i flere format. Dette anbefales, siden enkelte løsninger for svaksynte har dårlig støtte for PDF-formatet.
Ved produksjon av PDF dokumenter anbefales det at fonter innkapsles (embed) i PDF dokumentene. Dette for i større grad å sikre at dokumentet blir gjengitt korrekt, uavhengig av plattform som benyttes, ved visning av dokumentet. Dokumenter som følger PDF/A (ISO 19005-1:2005) har alltid fontene innkapslet i dokumentet.
Det er anbefalt at dokumentene som sendes gjøres tilgjengelig(universelt utformet). Se veileder for utforming av tilgjengelige dokumenter.
Mottak av tekstdokumenter
Det er obligatorisk å kunne motta ferdigstilte dokumenter og dokumenter for videre bearbeidelse i e-post fra innbyggere/ næringsliv/ andre offentlige virksomheter på vanlige dokumentformater, som for eksempel Open document format (ODF), Office Open XML (OOXML), PDF (alle versjoner), Portable Network Graphics (PNG ISO/IEC 15948:2003) og Joint Photographic Experts Group (JPEG IDO/IEC 10918-1:1994).
2.2.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravene er trådt i kraft.
2.2.4 Hvordan tilfredsstille dette (veiledere)
Konverter ferdigstilte dokumenter for lesing til PDF formatet før sending. Helst i PDF/A-1, for å understøtte mest mulig gjenbruk (arkivering skal også skje på det formatet) og for god tilgjengelighet til dokumentet. Et dokuments tilgjengelighet er avhengig av hvordan det lages. Her finnes det en egen veileder:
· Veileder for utforming av universelt utformede dokumenter.
Hjemmel av obligatoriske krav
De obligatoriske kravene er hjemlet i følgende forskrifter:
- Forskrift om IT-standarder i offentlig sektor
2.3 E-bøker
2.3.1 Nærmere om anvendelsesområdet
Anvendelsesområdet dette gjelder er publisering/ sending av store dokumenter, der informasjon publiseres/ sendes som en e-bok.
Kravene under dette anvendelsesområdet endrer ikke de krav som stilles til dokumentformater ved publisering av tekst på offentlige nettsider samt utveksling av tekstlig innhold på e-post. Det vil si at det vil være nødvendig med parallellpublisering/-sending i slike tilfeller.
2.3.2 Bruk av standarder på området
Det er anbefalt å parallellpublisere/ -sende store dokumenter som e-bok i tillegg til gjeldende standarder for tekstdokumenter. Ved publisering/ sending som e-bok skal formatet EPUB 3.0 benyttes
Feil bruk av rettighetsstyring kan medføre senket lesbarhet på ulike plattformer. Ved publisering av dokumenter i EPUB bør ikke DRM brukes.
2.3.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravet er gjeldende.
2.3.4 Hvordan tilfredsstille dette (veiledere)
Dokumenter laget i EPUB er dynamiske, som innebærer at teksten tilpasses leserens preferanser, slik som skjermstørrelse, oppløsning og fontstørrelse. Det er derfor ikke fast sideantall i dokumentene. Om et dokument skal parallellpubliseres/-sendes i EPUB bør avgjøres ut fra et brukerperspektiv – er det et større dokument (flere kapitler, lang tekst e.l.) hvor en forventer at brukerne vil benytte ulike plattformer (eksempelvis nettbrett, lesebrett, smarttelefon) for lesing – bør EPUB benyttes i tillegg til gjeldende dokumentformat.
2.4 Publisering av multimediainnhold
Anvendelsesområdet gjelder publisering av multimediainnhold på offentlige nettsider. Multimediainnhold er i denne sammenheng definert som bilder, lyd og video.
2.4.1 Nærmere om anvendelsesområdet
Anvendelsesområdet er publisering av multimedia-innhold på offentlige nettsider. Multimedia-innhold er i denne sammenheng definert som skalerbar grafikk, bilder, lyd og video.
Elektronisk utveksling av multimedia innhold på annet vis (e-post og lignende), internt i en offentlig virksomhet, mellom offentlige virksomheter og med innbyggere og næringsliv omfattes ikke av dette pålegget.
Andre anvendelsesområder som ikke omfattes av dette pålegget er, utveksling av helserelatert informasjon over nettet (for eksempel røntgen), kartrelaterte data der man benytter standarden GML, animasjon, kunst og industridesign, samt interaktiv video (for eksempel i forbindelse med brukerstøtte).
2.4.2 Bruk av standarder på området
Kravene er fordelt på de ulike delområdene under:
2.4.2.1 Generelt
Det er obligatorisk å utforme multimediainnhold som skal publiseres på Internett, i samsvar med Web Content Accessibility Guidelines, WCAG 2.0 (NS-ISO/IEC40500:2012), på minimum nivå A og AA med unntak for suksesskriteriene 1.2.3, 1.2.4 og 1.2.5, hvis løsningen er underlagt UU-forskriften. Det anbefales derimot å tilfredsstille alle kravene, inklusive AAA-kravene. WCAG gir retningslinjer for tilgjengelighet på nettsider.
Så langt det er mulig bør adressen direkte til lydfiler, videofiler og -strømmer gjøres enkelt synlig i nettleseren, slik at brukere selv kan velge alternative avspillere.
2.4.2.2 Skalerbar grafikk
Det er anbefalt å publisere skalerbar grafikk på offentlige nettsider ved bruk av SVG 1.1 Second edition(W3C 16. august 2011).
Det er anbefalt å parallellpublisere skalerbargrafikk i PNG-format, siden SVG 1.1. ikke er støttet av alle vanlige nettlesere.
2.4.2.3 Bilder
2.4.2.3.1 Tapsbasert komprimering
Det er obligatorisk å publisere bilder (tapsbaserte) på offentlige nettsider ved bruk av JPEG (Joint Photographic Experts Group, ISO/IEC 10918-1:1994).
Det kan parallellpubliseres i annet format i tillegg. Gjøres det anbefales bruk av PNG (Portable Network Graphics, ISO/ IEC 15948:2003).
2.4.2.3.2 Tapsfri komprimering
Det er obligatorisk å publisere bilder (tapsfrie) på offentlige nettsider ved bruk av PNG (Portable Network Graphics, ISO/ IEC 15948:2003).
Det kan parallellpubliseres i annet format i tillegg, da anbefales det ikke lengre å benytte GIF v89a (W3C 1990).
2.4.2.4 Lyd
2.4.2.4.1 Tapsbasert komprimering
Det er obligatorisk å publisere lyd (tapsbasert komprimering) på offentlige nettsteder ved å bruke minst en av følgende standarder:
· Vorbis 1 (Xiph.org 2004) innkapslet i Ogg (RFC 3533, IETF 2003), eller
· MP3 (ISO 11172-3:1993), uten innkapsling (elementærstrøm)
2.4.2.4.2 Tapsfri komprimering
Det er obligatorisk å publisere lyd (tapsfri komprimering) på offentlige nettsider ved å bruke FLAC 1.2.1 (Xiph.org 2007), og det skal kapsles inn i FLACs eget innkapslingsformat eller Ogg (RFC 3533, IETF 2003).
2.4.2.5 Video
Det er obligatorisk å publisere video på offentlige nettsteder i minst en av følgende standarder:
- Videosporet kodet i Theora 1.0 (Xiph.org 2008) og lydsporet i Vorbis 1 (Xiph.org 2004) innkapslet i Ogg (RFC 3533, IETF 2003), eller
- Videosporet kodet i H.264 (ISO/IEC 14496-10:2005) og lydsporet i AAC (ISO/IEC 13818-7:2003) innkapslet i MP4 (ISO/IEC 14496-14:2003)
2.4.3 Frist for å tilpasse seg spesifiserte standarder på området
Kravene er gjeldende for all ny publisering.
Tidligere publisert multimedieinnhold på statlige nettsider skal tilfredsstille overstående krav per 1.1.2014, mens kommunale nettsider skal tilfredsstille overstående krav innen 1.1.2015.
Nye IKT-løsninger skal tilfredsstille de obligatoriske kravene til universell utforming innen 1. juli 2014. Alle eldre løsninger skal tilfredsstille kravene innen 1. januar 2021.
2.4.4 Hvordan tilfredsstille dette (veiledere)
Etter produksjon konverter multimediafilene til angitt format over før publisering. Det er laget en egen veileder for dette:
· Veileder for publisering av multimediainnhold på offentlige nettsider
2.5.5 Hjemmel av obligatoriske krav
De obligatoriske kravene er hjemlet i følgende forskrifter:
· Forskrift om IT-standarder i offentlig sektor
· Forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)-løsninger?
2.5 Tilgjengelighet på nettsider
2.5.1 Nærmere om anvendelsesområdet
IKT-løsninger som retter seg mot allmennheten i Norge, der IKT-løsningen underbygger en virksomhets alminnelige funksjon og er en del av virksomhetens hovedløsning. Området er begrenset til å gjelde nettløsninger.
2.5.2 Bruk av standarder på området
Det er obligatorisk å utforme tekstdokumenter som skal publiseres på Internett i samsvar med Web Content Accessibility Guidelines, WCAG 2.0 (NS-ISO/IEC40500:2012), på minimum nivå A og AA med unntak for suksesskriteriene 1.2.3, 1.2.4 og 1.2.5, hvis løsningen er underlagt UU-forskriften. Det anbefales derimot å tilfredsstille alle kravene, inklusive AAA-kravene. WCAG gir retningslinjer for tilgjengelighet på nettsider. For offentlige virksomheter hvor utforming av IKT-løsninger reguleres av annen lovgivning enn Forskrift om universell utforming, gjelder kun de anbefalte kravene.
2.5.3 Frist for å tilpasse seg spesifiserte standarder på bruksområdet
Nye IKT-løsninger skal tilfredsstille de obligatoriske kravene til universell utforming innen 1. juli 2014. Alle eldre løsninger skal tilfredsstille kravene innen 1. januar 2021.
2.5.4 Hvordan tilfredsstille dette (veiledere)
Difi har lagt ut flere veiledere på området:
· Generell veiledning om universell utforming
· Veileder for utforming av universelt utformede dokumenter.
2.5.5 Hjemmel av obligatoriske krav
De obligatoriske kravene er hjemlet i følgende forskrift:
· Forskrift om universell utforming av informasjons- og kommunikasjonsteknologiske (IKT)-løsninger
2.6 Næringslivsskjema
2.6.1 Nærmere om anvendelsesområde
Anvendelsesområdet er næringslivsskjema på offentlige nettsider. Skjema rettet mot innbyggere på offentlige nettsider er ikke omfattet av dette pålegget.
2.6.2 Bruk av standarder på området
Det er obligatorisk å publisere næringslivsskjema på offentlige nettsider (beregnet for PC-skjerm eller lignende) i tråd med Elmer 2.1 retningslinjene. Retningslinjenes ”skal” krav anses som obligatoriske, mens retningslinjenes ”bør” krav anses som anbefalinger.
Elmer I retningslinjene og Elmer II retningslinjene er under utfasing. Det betyr at eksisterende skjema fortsatt kan ligge ute iht. Elmer I eller Elmer II retningslinjene. Ved større endringer eller ved publisering av nye skjema skal derimot Elmer 2.1 legges til grunn.
2.6.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Forvaltningsorganer skal oppfylle Elmer 2.1 på best passende tidspunkt, senest ved første nødvendige utskifting og videreutvikling som krever gjennomgripende endringer i eksisterende løsninger.
2.6.4 Hvordan tilfredsstille dette (veiledere)
Brønnøysundregistrene har ansvaret for å forvalte Elmer retningslinjene. De har også kurs og veiledning rundt tema.
· Veileder for bruk av Elmer retningslinjene.
2.6.5 Hjemmel av obligatoriske krav
De obligatoriske kravene er hjemlet i følgende forskrifter:
· Forskrift om IT-standarder i offentlig sektor
2.7 Innbyggerskjema
2.7.1 Nærmere om anvendelsesområdet
Anvendelsesområdet er innbyggerskjema på offentlige nettsider.
ELMER skal medvirke til gjenkjennelighet ved bruk av offentlige skjemaer. ELMER 2.1 skal følges ved utvikling av elektroniske skjemaer hvor mottatt informasjon benyttes som grunnlag for offentlig vedtak og/eller til offentlig statistikk og samfunnsplanlegging.
Et skjema defineres som samling av spørsmål og forklaringer som under ett navn legger til rette for avgivelse av et avgrenset sett med opplysninger på vegne av en avsender i en leveranse eller sending. Anvendelsesområdet avgrenses til skjemaer tilpasset skjermer på en pc eller tilsvarende.
Skjema beregnet for både innbyggere og næringslivet, må følge kravene for næringslivet da de er strengest.
2.7.2 Bruk av standarder på området
Det er anbefalt å publisere innbyggerskjema på offentlige nettsider i tråd med ELMER 2.1 retningslinjene.
2.7.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravet er gjeldene.
2.7.4 Hvordan tilfredsstille dette (veiledere)
Brønnøysundregistrene har ansvaret for å forvalte Elmer retningslinjene. De har også kurs og veiledning rundt tema.
· Veileder for bruk av Elmer retningslinjene.
2.8 eHandel
Bruksområdet omfatter mottak av elektronisk faktura og kreditnota i offentlig sektor.
2.8.1 Nærmere om anvendelsesområdet
Anvendelsesområdet gjelder elektronisk handel. Handel som helt eller delvis skal gjennomføres ved bruk av elektroniske hjelpemidler. Elektronisk handel dekker mange prosesser i forbindelse med en handel, som for eksempel presentasjon av varesortiment, ordre og ordrebekreftelse, faktura og kreditnota, pakkseddel og leveransebekreftelse.
2.8.2 Bruk av standarder på området
Det er obligatorisk for Offentlige virksomheter som skal motta elektronisk faktura eller kreditnota å gjøre dette på Elektronisk handelsformat versjon 1.6 (EHF v1.6) frem til 1. juli 2014.
Det er obligatorisk for Offentlige virksomheter som skal motta elektronisk faktura eller kreditnota å gjøre dette på Elektronisk handelsformat versjon 2.0 (EHF v2.0) fra og med 1. juli 2014.
Det er obligatorisk for leverandører av varer og tjenester som sender elektronisk faktura eller kreditnota til offentlige virksomheter å gjøre dette på Elektronisk handelsformat versjon 1.6 (EHF v1.6) frem til 1. juli 2014.
Det er obligatorisk for leverandører av varer og tjenester som sender elektronisk faktura eller kreditnota til offentlige virksomheter å gjøre dette på Elektronisk handelsformat versjon 2.0 (EHF v2.0) fra og med 1. juli 2014
Det er obligatorisk for Offentlige virksomheter som skal motta elektronisk faktura eller kreditnota fra utenlandske leverandører å gjøre dette på PEPPOL BIS 2.0 fra og med 1. juli 2014.
Det er obligatorisk for utenlandske leverandører av varer og tjenester som sender elektronisk faktura eller kreditnota til offentlige virksomheter å gjøre dette på PEPPOL BIS 2.0 fra og med 1. juli 2014
Det er anbefalt for offentlige virksomheter som skal ta i bruk elektronisk kjøpskatalog å gjøre dette på Elektronisk handelsformat – katalog versjon 1.0 (EHF katalog 1.0)
Det er anbefalt for offentlige virksomheter som skal sende og motta ordre og ordrebekreftelse å gjøre dette på Elektronisk handelsformat – ordre og ordrebekreftelse versjon 1.0 (EHF ordre og ordrebekreftelse 1.0)
2.8.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Fylkeskommunene og kommunene skal tilfredsstille kravet innen 1. januar 2014.
2.8.4 Hvordan tilfredsstille dette (veiledere)
Det anbefales at det settes Bruk av EHF standarden i alle avtaler som inngåes. Veileder for implementering av formatet finnes her:
· Verktøykasse for elektronisk handel
2.8.5 Hjemmel av obligatoriske krav
Det obligatoriske kravet er hjemlet i følgende forskrift:
· Forskrift om IT-standarder i offentlig sektor
2.9 Bruk av tegnsett ved utveksling av informasjon
2.9.1 Nærmere om anvendelsesområde
Anvendelsesområdet som her omtales er utveksling av informasjon mellom offentlig sektor og innbyggere/ næringsliv, samt internt mellom offentlige virksomheter. Anvendelsesområdet dekker utveksling av informasjon uavhengig av utvekslingsmåte (for eksempel webskjema, e-post og filoverføring). Dette gjelder både utveksling der mennesker er involvert og ren maskin til maskin utveksling.
2.9.2 Bruk av standarder på området
Det er obligatorisk å benytte tegnsettstandarden ISO/IEC 10646 representert ved UTF8 ved all utveksling av informasjon mellom offentlige virksomheter og med innbyggere/ næringsliv. Inntil videre aksepteres det en begrenset støtte av tegn. De tegn som skal støttes er de som finnes i ISO 8859-1 supplert med ytterligere 6 nordsamiske tegn i store og små representasjoner (Č, č, Đ, đ, Ŋ, ŋ, Š, š, Ŧ, ŧ, Ž, ž ).
2.9.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravet er gjeldende.
2.9.4 Unntak
Dersom oppfyllelse av krav om standard ved utveksling av informasjon medfører en særlig uforholdsmessig byrde for virksomheten, kan standarden helt eller delvis fravikes. Dersom virksomheten finner å måtte fravike den obligatoriske standarden, skal dette straks meldes til Direktoratet for forvaltning og IKT med en begrunnelse for avviket.
2.9.5 Generelt
Pålegget ovenfor gjelder et begrenset tegnsett ved utveksling av informasjon. Dette er en overgangsordning, i avvente av en helhetlig innføring av ISO/IEC 10646, for å støtte alle de tegn det er behov for å representere i offentlige virksomheter og utveksling mellom dem.
Offentlig sektor vil spare penger ved en mer koordinert overgang til felles tegnsett. Difi jobber derfor med et prosjekt for å understøtte overgangsprosessen. Nærmere veiledning om hvordan man bør tilpasse seg formatet finner du her:
(Det arbeides med å få på plass et delingsnettsted for kompetansedeling mellom virksomhetene på området.)
2.9.6 Hvordan tilfredsstille dette?
I dag ser vi at offentlige virksomheter lar være å legge om til nytt tegnsett, fordi samhandlende parter ikke har gjort det. Alle grensesnitt skal derfor legges om uavhengig av om begge parter støtter et annet tegnsett, som for eksempel ISO 8859-1. Dette for å overlate til hver enkelt virksomhet å gjøre den interne oppdateringen når det passer dem best. Det anbefales å gjøre den interne oppdateringen med en gang om det lar seg gjøre uten altfor store kostnader.
2.9.7 Hjemmel av obligatoriske krav
Det obligatoriske kravet er hjemlet i følgende forskrift:
2.10 Bruk av tegnsett i interne systemer
2.10.1 Nærmere om anvendelsesområdet
Dette gjelder alle typer IT-løsninger i virksomheter.
2.10.2 Bruk av standarder på området
Det er obligatorisk for alle offentlige virksomheter som skal gjøre større omlegginger, gjennom nyetablering eller videreutvikling av alle typer IT-løsninger, å implementere full støtte for ISO/IEC 10646.
2.10.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravet er gjeldende.
2.10.4 Hvordan tilfredsstille dette (veiledere)
I dag ser vi at offentlige virksomheter lar være å legge om til nytt tegnsett, fordi samhandlende parter ikke har gjort det eller fordi databaser som understøtter mange ulike interne system ikke har gjort det. Alle offentlige virksomheter må nå lage IT-løsninger som støtter alle tegn.
Offentlig sektor vil spare penger ved en mer koordinert overgang til felles tegnsett. Difi jobber derfor med et prosjekt for å understøtte overgangsprosessen. Nærmere veiledning om hvordan man bør tilpasse seg formatet finner du her:
(Det arbeides med å få på plass et delingsnettsted for kompetansedeling mellom virksomhetene på området.)
2.10.5 Hjemmel av obligatoriske krav
Det obligatoriske kravet er hjemlet i følgende forskrift:
2.11 Arkiv-formater
2.11.1 Nærmere om anvendelsesområdet
Anvendelsesområdet som her omtales er behandling av offentlige arkiv. Det gjelder krav til materiale som skal avleveres til riksarkivaren, det gjelder krav til periodeinndeling i elektronisk journal og arkiv, fremfinning i elektronisk journal og arkiv fra avsluttede perioder og klargjøring av elektronisk journal og arkiv for deponering i arkivdepot.
2.11.2 Bruk av standarder på området
Det er obligatorisk for offentlige virksomheter som bruker journal- og arkivsystem å basere disse på Noark-standarden. Arkivforskriftens § 2.9 sier følgende: "For elektronisk journalføring skal offentlege organ normalt nytte eit arkivsystem som følgjer krava i Noark-standarden".
Alle journal- og arkivsystem som brukes i forvaltningen, skal som en hovedregel tilfredsstille Noark-kravene og være godkjent av Riksarkivaren. Alle Noark-5-baserte løsninger skal derfor godkjennes av Riksarkivaren før de kan tas i bruk.
Noark-5 (Arkivverket 2009) erstatter Noark-4, men skal være bakoverkompatibel med Noark 4 i den betydningen at det skal være mulig å migrere arkiver fra systemer basert på den eldre standarden til den nye. Dette er det tatt hensyn til både når det gjelder oppbygningen av arkivstrukturen og metadataene som defineres. Et eksempel på dette er at enhetene arkiv og arkivdel fremdeles er beholdt i arkivstrukturen.
Forvaltningen vil ikke bli pålagt å gå over fra Noark-4-baserte til Noark-5-baserte system fra en bestemt dato. Riksarkivarens holdning er at forvaltningen til enhver tid må velge de innretninger for journalføring og arkivering som, innenfor arkivlovens rammer, er mest tjenlig for organet. I dette ligger at for visse forvaltnings- eller saksområder kan det fortsatt være hensiktsmessig med papirbasert journal og arkiv, mens andre har behov for å benytte fagsystem med funksjonalitet basert på kjernekravene i Noark 5.
Ved nyutvikling av system eller funksjonalitet for journalføring og arkivering skal utviklingen baseres på gjeldende versjon av Noark-5, ikke på Noark-4. For fagsystem og andre system hvor det er behov for å etablere en avgrenset, rendyrket journal- og arkivfunksjonalitet, skal kjernekravene i Noark-5 være oppfylt. For de tilfeller der en Noark-4-leverandør ønsker å "løse opp" systemet i forhold til de krav som stilles i Noark-4, skal det nye systemet / den nye versjonen av systemet som et minimum tilfredsstille kjernekravene i Noark-5.
På bakgrunn av den overgangsordningen Riksarkivaren har gitt settes gjeldende versjon av Noark-5 (Arkivverket 2009) til obligatorisk standard, mens Noark-4 settes til under utfasing.
Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver § 8-17 beskriver godkjente dokumentformater ved avlevering og deponering. Dokumentformatene er beskrevet nedenfor, og er etter denne forskriften påkrevd ved avlevering og deponering.
Elektroniske dokumenter med tekst og bilde eller grafikkobjekter kan være lagret i følgende dokumentformater ved avlevering og deponering:
· Som ren tekst: UTF-8 (ISO/IEC 10646-1:2000 Annex D) eller ISO 8859-1:1998, Latin 1. ISO 8859-1:1998, Latin 1 kan erstattes med ISO 8859-4:1998, Latin 4 for samiske tegn.
· TIFF - Tag Image File Format versjon 6, med de presiseringer som fremgår av forskriftens § 8-18.
· XML - Extensible Markup Language versjon 1.0, med de presiseringer som fremgår av forskriftens § 8-19.
· PDF/A - ISO 19005-1:2005, versjon 1a eller 1b («Conformance Level» A eller B). PDF/A erstatter Adobe PDF, jf. forskriftens § 8-20 tredje ledd.
For digitale fotografier, kart, video-, og lydsekvenser aksepteres følgende formater:
· fotografier og bilder: TIFF versjon 6 og JPEG (ISO 10918-1:1994).
· kart: TIFF versjon 6 og SOSI versjon 2.2 (1995) eller nyere.
· video: MPEG-2 (ISO 13818-2.)
· lyd: MP3 (ISO 11172-3), PCM eller PCM-basert Wave. Valget mellom disse lydformatene skal i hvert tilfelle være avtalt med Arkivverket før deponering eller avlevering.
Fremstillingen av arkivversjoner med komprimerte JPEG-filer, MP3 lydfiler og MPEG-2 videofiler skal skje slik at det ikke medfører ytterligere komprimering og svekket bilde- eller lydkvalitet.
Der forskriften gir valgfrihet, bør det benyttes et dokumentformat som også er anbefalt for andre anvendelsesområder.
2.11.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravene er gjeldende.
Eventuelle unntak er knyttet til arkivforskriftens formulering i §2.9, ”skal normalt nytte". Det innebærer at et organ må kunne gi en skikkelig og overbevisende begrunnelse dersom det mener at et system basert på Noark-standarden ikke passer deres behov.
2.11.4 Hvordan tilfredsstille dette (veiledere)
Riksarkivaren er ansvarlig for å vedta krav og veilede rundt dem. Deres veiledningsmateriell finnes her:
2.11.5 Hjemmel av obligatoriske krav
De obligatoriske kravene er hjemlet i følgende forskrifter:
- Forskrift om offentlege arkiv
- Forskrift om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver
2.12 Standardavtaler i offentlig sektor
2.12.1 Nærmere om anvendelsesområdet
Anvendelsesområdet er avtaleverk for IT-anskaffelser (for eksempel utvikling, drift og kjøp), konsulenttjenester, informasjonsformidling og konsept for rammeavtaler.
2.12.2 Bruk av standarder på området
Det er anbefalt å benytte Statens standardavtaler, SSA (Difi 2009), der disse er egnet. Det kan gjøres justeringer av avtalene, men det bør kun gjøres etter en grundig vurdering.
2.12.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravet er gjeldende.
2.12.4 Hvordan tilfredsstille dette (veiledere)
Difi er ansvarlig for å forvalte Statens standardavtaler, mer informasjon om avtalene og hvordan ta dem i bruk finner du her:
2.13 Standarder for begrepsanalyse og definisjonsarbeid
2.13.1 Nærmere om anvendelsesområdet
Anvendelsesområdet dette gjelder er arbeid med terminologi (fagspråk), f.eks. termlister innenfor et fagområde, som bl.a. kan være relevant når to parter skal etablere felles forståelse av informasjon de skal utveksle, samt dokumentere hva som utveksles. Anvendelsesområdet dekker begrepsanalyse, organisering og praktisk gjennomføring av terminologiarbeid, og hvordan man skriver gode definisjoner. Arbeid med begrepsanalyse og definisjonsarbeid er i mange tilfeller en forutsetning for å etablere semantisk(betydning av begreper) interoperabilitet mellom to parter.
2.13.2 Bruk av standarder på området
Det er anbefalt at offentlige virksomheter baserer sitt arbeid med begrepsanalyse og definisjonsarbeid på Termlosen.
For beskrivelse av definisjoner anbefales det å gjøre dette i samsvar med Standard for begrepsbeskrivelser v. 1.0.
Når offentlige virksomheter skal utveksle informasjon seg i mellom, og i den sammenheng koordinere begrepsbruken, anbefales det å følge Standard for begrepskoordinering v. 1.0.
2.13.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravene er gjeldene.
2.13.4 Hvordan tilfredsstille dette (veiledere)
Termlosen er en kort innføring i begrepsanalyse og terminologiarbeid, og gir råd om bl.a. organisering og praktisk gjennomføring av terminologiarbeid, hvordan man skriver gode definisjoner, og hvordan termlister skal bygges opp (metodisk identifisering og strukturering). Termlosen bygger på de internasjonale standardene ISO 704, 860 og 10241. Termlosen utgis av Språkrådet, og distribueres gratis.
Termlosen gir først og fremst metodestøtte, og gir ikke krav til f.eks. hva som skal beskrives, formatkrav eller krav til publisering. Det er forventet at det vil komme flere standarder som supplerer Termlosen på dette området i senere versjoner av referansekatalogen.
Termlosen kan bestilles på språkrådets nettsider.
Lenke til Standard for begrepsbeskrivelser v. 1.0.
Lenke til Standard for begrepskoordinering v. 1.0
2.14 Videokonferanse
2.14.1 Nærmere om anvendelsesområdet
Anvendelsesområdet dette gjelder er videokonferanser og utstyret som benyttes til dette. Området dekker kun huber (dedikert videokonferanseutstyr), og ikke PC-basert utstyr.
2.14.2 Bruk av standarder på området
Det anbefales at Offentlige virksomheter anskaffer og benytter huber og dedikert utstyr for videokonferanser som støtter både H.323 og SIP.
2.14.3 Frist for å tilpasse seg spesifiserte standarder på området
Kravene er gjeldende.
2.15 Grunnleggende datakommunikasjon
2.15.1 Nærmere om anvendelsesområdet
Anvendelsesområdet er protokoller for grunnleggende datakommunikasjon.
2.15.2 Bruk av standarder på området
Det anbefales at offentlige virksomheter har støtte for alle standardene innenfor dette anvendelsesområdet. Andre standarder kan støttes i tillegg.
Standardene som anbefales støttet er:
- FTP
Det anbefales at offentlige kommunikasjonstjenester bør ha støtte for FTP [RFC 959]. FTP er en protokoll for filoverføring. Den er i utstrakt bruk, men har begrensninger når det gjelder sikkerhet. Kravet betyr kun at virksomheten skal ha en mulighet til å ta imot filer ved hjelp av FTP. De må ikke bruke FTP, men kan velge andre overføringsmetoder for batch-filer hvis de ønsker/har behov for dette. Det anbefales å benytte FTP over en sikker kommunikasjonskanal.
- http 1.1
Det anbefales at offentlige kommunikasjonstjenester bør ha støtte for http 1.1 [RFC 2616]. Dette er en grunnleggende protokoll for overføring av informasjon på web. Støtte for denne protokollen er en forutsetning for å lage nettjenester for brukere. Støtte for betyr at man skal kunne ha en mulighet for å bruke protokollen http, ikke at man alltid skal benytte http. Andre protokoller kan benyttes der man ønsker/har behov for det.
- IPv4 og IPv6
1. Alt IT-utstyr det offentlige anskaffer bør ha støtte for IPv4 og IPv6. Dette gjelder både programvare og maskinvare.
2. Alle nye offentlige nettsider og elektroniske tjenester bør ha støtte for IPv4 og IPv6 og være i stand til å kommunisere over begge typer nettverk. Hvis nettsiden eller tjenestene inkluderer eller er avhengig av nettverksparametere som en del av sin operasjon, bør løsningen ha støtte for konfigurasjon av IPv6 parametere.
3. IT-tjenester som det offentlige kjøper bør ha støtte for IPv4 og IPv6.
4. Løsningene bør ikke ha store funksjonelle forskjeller på grunn av bruk av IPv4 eller IPv6. Brukerne av løsningen bør ikke oppleve store forskjeller ved bruk av de ulike protokollene
IPv4 [RFC 791] og IPv6 er grunnleggende protokoller for kommunikasjon på internett. Det er viktig å ha støtte for begge disse protokollene fremover. Det er dessuten viktig ikke å se bruk av IP isolert, men vurdere alle tilhørende protokoller som støtter bruk av IP. Spesielt protokollene TCP og UDP (Se nedenfor).
- TCP
Offentlige kommunikasjonstjenester bør ha støtte for TCP [RFC 793].
Dette er en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til TCP. Det er viktig at disse protokollene sees på som en helhet.
- UDP
Offentlige kommunikasjonstjenester bør ha støtte for UDP [RFC 768].
Dette er en grunnleggende protokoll for å styre trafikken i nettverk basert på IP. Som for IP finnes det også tilhørende protokoller til UDP. Det er viktig at disse protokollene sees på som en helhet.
2.15.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravene er gjeldende.
2.16 Internkontroll/ styringssystem på informasjonssikkerhetsområdet
2.16.1 Nærmere om anvendelsesområdet
Bruksområdet er internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Formålet er at en virksomhet skal ha tilstrekkelig styring og kontroll på informasjonssikkerheten; dvs. tilstrekkelig styring og kontroll på sikring av konfidensialitet, integritet og tilgjengelighet på informasjon. Dette gjelder både internt i virksomheten, i kommunikasjon med andre og ved bruk av tredjeparts tjenester i kommunikasjon og annen databehandling.
Bruksområdet gjelder både informasjon som blir ansett som viktig for å nå virksomhetens mål og informasjon som er underlagt særskilte krav. Dette kan være lov- og ulovfestede krav til forsvarlig saksbehandling, lovbestemmelser om innsynsrett og taushetsplikt, og andre konkrete krav i relevante lov og forskrifter, som personopplysningsloven og sikkerhetsloven.
2.16.2 Bruk av standarder på området
Det er obligatorisk for forvaltningsorgan som benytter elektronisk kommunikasjon å ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. eForvaltningsforskriften § 15 «Internkontroll på informasjonssikkerhetsområdet» sier følgende i 1.-3. ledd:
«Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Disse skal danne grunnlaget for forvaltningsorganets internkontroll (styring og kontroll) på informasjonssikkerhetsområdet. Sikkerhetsstrategien og internkontrollen skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks.
Forvaltningsorganet skal ha en internkontroll (styring og kontroll) på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder for styringssystem for informasjonssikkerhet. Internkontrollen bør være en integrert del av virksomhetens helhetlige styringssystem. Det organet departementet peker ut skal gi anbefalinger på området.
Omfang og innretning på internkontrollen skal være tilpasset risiko.»
Samme paragraf nevner også 7 områder spesielt som - i den utstrekning det er relevant - skal adresseres og følges opp i sikkerhetsstrategien og internkontrollen.
Det er anbefalt å basere seg på ISO/IEC 27001:2013 ved etablering av internkontroll/styringssystem på informasjonssikkerhetsområdet. I arbeidet med å implementere relevante tiltak (kontroller) anbefales det å følge strukturen i vedlegg A i ISO/IEC 27001:2013 og innholdsmessig støtte seg på ISO/ IEC 27002:2013.
Dersom en virksomhet allerede har et operativt internkontroll-/styringssystem på andre områder (f.eks. i relasjon til ISO 9001, ISO 14001, HMS eller mål- og resultatstyring), anbefales det å oppfylle kravene i ISO/IEC 27001:2013 som en integrert del av det eksisterende internkontroll-/styringssystemet.
For virksomheter som allerede har et velfungerende internkontroll-/styringssystem basert på ISO/IEC 27001:2005 anbefales det en gradvis overgang til ISO/IEC 27001:2013 som en del av arbeidet med kontinuerlige forbedring av systemet. Dersom slike virksomheter har risikoer over akseptabelt risikonivå, anbefales det samtidig at virksomhetene tidlig vurderer de oppdateringer og endringer som ligger i vedlegg A i ISO/IEC 27001:2013, med støtte i tilsvarende i ISO/ IEC 27002:2013.
Det presiseres at lov- og regelverkskrav kan være mer omfattende enn krav og anbefalinger som uttrykkelig er inntatt i de ovennevnte standardene. Den enkelte virksomhetene må derfor som en del av arbeidet tilknyttet internkontroll/styringssystem på informasjonssikkerhetsområdet identifisere og etterleve de lov- og regelverkskrav som gjelder for dem.
2.16.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Kravene er gjeldende.
2.16.4 Hvordan tilfredsstille dette (veiledere)
Difi har et kompetansemiljø i informasjonssikkerhet som skal være pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen. Nærmere veiledning gir de her:
2.17 Sikre kommunikasjonskanaler (VPN)
2.17.1 Nærmere om anvendelsesområdet
Dette gjelder valg av VPN protokoll ved etablering av sikre kommunikasjonskanaler. VPN protokoller brukes primært for å sette opp en sikker kommunikasjonskanal mellom to eller flere endepunkter som kommuniserer over åpne nett. Kryptering og andre sikkerhetsmekanismer brukes for å sikre at kun autoriserte endepunkter får tilgang til data som oversendes i denne kanalen. Bruksområde omfatter design, implementering, konfigurering, sikring, overvåking og vedlikehold av slike løsninger.
Meldingskryptering kan i tillegg brukes, men er ikke en del av dette bruksområdet.
2.17.2 Bruk av standarder på området
Det anbefales å benytte ISO/IEC 18028-5:2006 ved planlegging og valg av protokoll for sikring av kommunikasjonskanal. Når VPN-protokoll er valgt anbefales det å benytte seg av følgende standarder for å sikre den enkelte implementasjon:
· Ved implementasjon av SSL/TLS VPN anbefales å følge NIST Special Publication (SP) 800-113 - Guide to SSL VPNs.
· Ved implementasjon av SSH VPN for sikker fjernadministrasjon av server, anbefales å følge RFC 4251.
· Ved implementasjon av IPsec VPN anbefales å følge NIST Special Publication (SP) 800-77 - Guide to IPsec VPNs.
· Ved implementasjon av L2VPN anbefales å følge RFC 4664 og RFC 4665.
Ved bruk av disse protokollene vil sikkerheten være avhengig av krypteringsalgoritmer og nøkkellengder, håndtering av nøkkeladministrasjon og en rekke andre forhold. Hvordan disse tingene organiseres vil være avhengig av sikkerhetsbehov og sikkerhetspolitikk.
2.17.3 Frist for å tilpasse seg spesifiserte standarder på området
Kravene er gjeldene.
2.17.4 Hvordan tilfredsstille dette (veiledere)
Difi er i oppbygningsfasen av et kompetansemiljø, som vil være pådrivere for god informasjonssikkerhet i forvaltningen. Nærmere veiledning gir de her:
2.18 Standard for bruk av PKI med og i offentlig sektor
2.18.1 Nærmere om anvendelsesområdet
Anvendelsesområdet som her omtales er elektronisk kommunikasjon med og i offentlig sektor. Det gjelder løsninger som baseres på PKI, og som skal benyttes til autentisering, uavviselighet, konfidensialitets- og integritetsbeskyttelse. Løsninger til bruk internt i en offentlig virksomhet er ikke omhandlet av dette pålegget, heller ikke løsninger som er basert på annen teknologi enn PKI.
Kravene det her refereres til ved tinglysning, gjelder når det i eller i medhold av tinglysingsloven er krav om underskrifter på dokument, og elektronisk kommunikasjon benyttes.
Ved anskaffelser gir forskrift om offentlige anskaffelser av 7.4.2006 nr. 402 blant annet bestemmelser om elektronisk kommunikasjon i anskaffelsesprosessen. Der kreves det indirekte at systemer og løsninger som skal benyttes i slik kommunikasjon, skal gjøre det i samsvar med kravspesifikasjon for PKI i offentlig sektor (Direktoratet for forvaltning og IKT (Difi) / Fornyings- og administrasjonsdepartementet (FAD) 2005).
2.18.2 Bruk av standarder på området
Det er obligatorisk å benytte Kravspesifikasjon for PKI i offentlig sektor versjon 2.0 for stat og kommunene ved anskaffelse av PKI-tjenester i markedet til bruk i elektronisk kommunikasjon mellom offentlige virksomheter og med innbyggere/ næringsliv.
Det er obligatorisk å benytte Kravspesifikasjon for PKI i offentlig sektor versjon 2.0 elektronisk signering i forbindelse med tinglysning, jfr. forskrift om prøveprosjekt for elektronisk kommunikasjon ved tinglysing av 3.5.2007 nr 0476.
Det er obligatorisk å benytte Kravspesifikasjon for PKI i offentlig sektor versjon 2.0 for elektronisk signering av tilbud i forbindelse med offentlige anskaffelser, jfr. forskrift om offentlige anskaffelser av 7.4.2006 nr 402.
2.18.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Dette er allerede trådt i kraft.
2.18.4 Hvordan tilfredsstille dette (veiledere)
Difi er i oppbygningsfasen av et kompetansemiljø, som vil være pådrivere for god informasjonssikkerhet i forvaltningen. Nærmere veiledning gir de her:
2.19 Sikker elektronisk kommunikasjon i helsesektoren
2.19.1 Nærmere om anvendelsesområdet
Anvendelsesområdet er sikker utveksling av informasjon i helsesektoren. Usikret kommunikasjon og kommunikasjon med og i andre deler av offentlig sektor er ikke underlagt dette pålegget.
2.19.2 Bruk av standarder på området
Rammeverk for elektronisk meldingsutveksling i helsevesenet basert på ebXML (KITH Rapport 1037:2011) er obligatorisk for sikker elektronisk kommunikasjon i helsesektoren.
EbXML-rammeverket er en profil av ebXML standarden, og baserer seg på PKI som sikkerhetsmekanisme for å beskytte meldingene som sendes over helsenettet. Dette innebærer at alle virksomheter som skal utveksle informasjon må anskaffe et virksomhetssertifikat for å kryptere og signere meldingene som utveksles. Ref. kravene i 2.18
Den eldre versjonen av Rammeverk for elektronisk meldingsutveksling i helsevesenet basert på ebXML (KITH 2006, R16/06) er satt under utfasing. Det betyr at eldre løsninger som benytter denne versjonen av rammeverket kan fortsette å gjøre det, mens nyere løsninger skal ta den nye versjonen av rammeverket i bruk.
Det er bakoverkompatibilitet, så eldre løsninger vil fungere i samhandling med nyere løsninger.
2.19.3 Frist for å tilpasse seg spesifiserte standarder for bruksområdet
Dette er allerede trådt i kraft.
2.19.4 Hvordan tilfredsstille dette (veiledere)
Helsedir (tidligere KITH) har utarbeidet en veiledning for innføring av ebXML i helseforetak. Det er også utarbeidet et informasjonsskriv som oppsummerer hovedpunktene i veiledningen.
- Veiledning for innføring av ebXML i helseforetak
- Informasjonsskriv som oppsummerer hovedpunkter i veiledningen