Viðmið um endurnýjun upplýsingakefa ríkisins
Tæknileg viðmið fyrir þróun og viðhald upplýsingakerfa snúast um að tryggja samhæfni, öryggi, stigvaxandi nútímavæðingu og tengingu við sameiginlega stafræna innviði ríkisins. Markmiðið er að umbreyta eldri upplýsingakerfum í útskiptanlega, sveigjanlega og vel skilgreinda hluta í stærra stafrænu vistkerfi hins opinbera. Fjármála- og efnahagsráðherra fer með samræmingu á stjórnskipulagi upplýsingatækni og gagna í rekstri ríkisins, meðal annars með útgáfu tæknilegra viðmiða og meginreglna.
Grundvallarreglurnar eru að öll virkni sé aðgengileg í gegnum skilgreind forritunarviðmót, að endurnýting og öryggi séu höfð að leiðarljósi áður en nýjar lausnir eru byggðar eða innleiddar, að skýjalausnir séu nýttar eftir því sem við á, að hönnun taki mið af notendum og að gagnasamskipti milli kerfa séu með stöðluðum hætti. Við þróun og viðhald upplýsingakerfa skal leitast við að afmarka þau frá öðrum kerfum. Það er gert með því að setja staðlað vefþjónustulag utan um upplýsingakerfið sem gerir öðrum kerfum kleift að eiga samskipti við það án þess að vera háð innri uppbyggingu þess eða gagnageymslu. Markmiðið er að upplýsingakerfið verði bakendi sem hægt er að skipta út síðar án þess að hafa áhrif á önnur kerfi.
Stafrænt Ísland hefur gefið út stefnur, skilmála og tæknileg viðmið sem eiga við um þróun, rekstur eða samþættingu upplýsingakerfa og skulu þau höfð til hliðsjónar og gilda eftir því sem við á. Þessi viðmið byggja á þeim grunni og bæta við sérstökum meginreglum og tæknilegum viðmiðum sem styðja endurnýjun eldri upplýsingakerfa ríkisins.
Viðmið
1. Framendaþjónustur við almenning
Stafrænar þjónustur við almenning skulu byggðar á sameiginlegum stafrænum innviðum og framendalausnum Stafræns Íslands nema sérstakar faglegar eða tæknilegar ástæður mæli gegn því.
Ný stafræn þjónusta við almenning skal byggð á Ísland.is þar sem það á við.
Við endurnýjun eldri kerfa skal leitast við að færa núverandi stafræna þjónustu yfir á Ísland.is.
Draga skal úr rekstri og þróun eigin framendalausna þegar sambærileg virkni er í boði í sameiginlegum lausnum Stafræns Íslands.
Framendaþjónustur skulu uppfylla gildandi viðmið um stafrænt aðgengi.
2. Arkitektúr
Leitast skal við að nýta staðlaðar og endurnýtanlegar hugbúnaðarlausnir þegar við á.
Nota skal lagskiptan arkitektúr þar sem framendi, vefþjónustulag og bakendi eru aðskilin.
Styðja skal við lauslega tengda hönnun og skýra ábyrgð milli eininga.
Styðja skal við vefþjónustumiðaða eða einingaskipta hönnun þegar við á.
Sameiginlegir innviðir Stafræns Íslands skulu nýttir þar sem þeir uppfylla þarfir viðkomandi þjónustu.
3. Vefþjónustulag
Þróun, uppbygging og rekstur vefþjónusta skulu vera í samræmi við gildandi vefþjónustustefnu Stafræns Íslands.
Nota skal API-first meginreglu þar sem öll ný virkni er aðgengileg í gegnum vel skilgreind forritunarviðmót (API).
Tryggja skal að upplýsingakerfi séu afmörkuð með vefþjónustulagi þannig að önnur kerfi séu ekki háð innri uppbyggingu þeirra.
Hanna skal vefþjónustulag þannig að hægt sé að endurnýja eða skipta út eldra upplýsingakerfi með lágmarksáhrifum á önnur kerfi og þjónustur.
4. Gögn
Meðferð gagna skal taka mið af gildandi viðmiðum Stafræns Íslands um gagnastjórnun og opinber gögn.
Tryggja skal samræmda hugtakanotkun og skilgreiningar gagna milli stofnana og upplýsingakerfa.
Nota skal sameiginleg gagnalíkön byggð á stöðlum þar sem það á við.
Gögn skulu eiga sér einn skilgreindan uppruna (e. single source of truth) þar sem því verður við komið.
Forðast skal falda viðskiptalógík í gagnagrunnum.
Forðast skal beina gagnagrunnstengingu milli kerfa.
5. Lágmörkun á áhættu við endurnýjun
Endurhanna skal viðskiptaferla áður en þróun eða kaup á hugbúnaði eru ákveðin.
Nútímavæða skal hvern feril fyrir sig í áföngum en ekki í einu skrefi.
Forðast skal að byggja nýja viðskiptavirkni inn í eldra upplýsingakerfi nema brýna nauðsyn beri til.
Ný virkni skal byggð utan við eldra upplýsingakerfi og tengd í gegnum skilgreind forritunarviðmót (API).
Flytja skal virkni smám saman yfir í nýrri lausnir.
Leitast skal við að hver lausn hafi skýrt afmarkað þjónustuhlutverk og vel skilgreinda ábyrgð.
Forðast skal lokaðar lausnir sem hindra samvirkni.
Halda skal rekstri gangandi á meðan umbreyting fer fram.
Tryggja skal að breytingar brjóti ekki núverandi virkni.
Forðast skal stórar heildarendurforritanir sem fela í sér mikla áhættu.
6. Eftirlit og skjölun
Skjalfesta skal kerfisarkitektúr, vefþjónustulag og tengingar milli kerfa.
Skjalfesta skal forritunarviðmót (API) í samræmi við gildandi viðmið Stafræns Íslands.
Skilgreina og skjalfesta skal gagnalíkön og ábyrgð á lykilgögnum.
Prófa skal samþættingar milli kerfa reglulega til að tryggja að breytingar hafi ekki áhrif á samvirkni eða þjónustu.
Innleiða skal miðlæga vöktun með skráningu, mælingum og viðvörunum.
Skilgreina skal reglubundnar prófanir fyrir lykilþjónustur.
Tryggja skal rekjanleika atvika, breytinga og þjónustubeiðna.
7. Afhending og útgáfustýring
Nota skal útgáfustýringu fyrir forritunarviðmót (API) og þjónustur.
Skilgreina skal stöðluð gagnasamskipti á milli kerfa. Ef þeim er breytt þarf að fara í sérstakt breytingaferli.
Nota skal útgáfunúmer í öllum uppfærslum til að tryggja rekjanleika.
Allar breytingar skulu fara í gegnum skilgreint og sjálfvirkt útgáfuferli og CI/CD umhverfi þar sem það á við.
Nota skal aðskilin umhverfi fyrir þróun, prófanir og rekstur.
Tryggja skal að hægt sé að afturkalla (e. rollback) breytingar með öruggum hætti.
Fyrir keyptan hugbúnað skal tryggja stýrt ferli fyrir uppfærslur, prófanir og innleiðingu.
8. Aðgangsstýring notenda
Nota skal staðlaða auðkenningu sem byggir á viðurkenndum opnum stöðlum.
Fyrir innri kerfi skal nota miðlæga auðkenningarþjónustu sem uppfyllir kröfur ríkisins um auðkenningu og aðgangsstýringu.
Innleiða skal hlutverkamiðaða aðgangsstýringu.
Aðgangsheimildir skulu skilgreindar út frá hlutverkum eða hópum en ekki einstaklingum.
Veita skal notendum eingöngu þær aðgangsheimildir sem nauðsynlegar eru til að sinna hlutverki sínu.
Aðgangur notenda skal vera rekjanlegur, endurskoðanlegur og tímabundinn þegar eðli verkefna eða aðstæðna krefst þess.
9. Upplýsingaöryggi
Fylgja skal gildandi viðmiðum Stafræns Íslands um upplýsingaöryggi og öðrum viðeigandi lögum, reglum og stefnum sem gilda um upplýsingakerfi ríkisins.
Kröfur um upplýsingaöryggi skulu vera hluti af hönnun, þróun, innleiðingu og rekstri hugbúnaðar frá upphafi verkefnis (e. Security by design).
Tryggja skal að flokkun upplýsinga fylgi gildandi reglum um öryggisflokkun gagna ríkisins.
Tryggja skal vernd persónuupplýsinga og annarra viðkvæmra upplýsinga í samræmi við gildandi lög og reglur.
Nota skal dulkóðun við flutning og geymslu upplýsinga þar sem við á.
Framkvæma skal reglulegt áhættumat og öryggisúttektir á kerfum og þjónustum.
Tryggja skal að öryggisatvik séu skráð, tilkynnt og meðhöndluð samkvæmt skilgreindu viðbragðsferli.
10. Rekstrarumhverfi
Fyrir aðkeyptan hugbúnað skal tryggja að rekstrarumhverfi og uppsetning uppfylli sambærileg viðmið um sjálfvirkni, öryggi og rekstrarhæfi og sá hugbúnaður sem þróaður er sérstaklega.
Stofnanir og aðrir opinberir aðilar bera ábyrgð á rekstrarumhverfi og skulu nýjar lausnir nýta nútímalegt rekstrarumhverfi, svo sem gámaumhverfi (e. Container based environment), þar sem það á við.
Nota skal innviðalausnir sem kóða (e. Infrastructure as Code – IaC) þar sem það á við.
Tryggja skal sjálfvirka uppsetningu og samræmda uppbyggingu rekstrarumhverfa þar sem það á við.
Nota skal sjálfvirk og stöðluð uppsetningarferli í rekstri sem auðvelda endurtekna uppsetningu þegar þess er þörf.
11. Þjónustustjórnun
Skilgreina skal þjónustustig (SLA) fyrir allar lykilþjónustur.
Skilgreina skal ábyrgðaraðila fyrir hverja þjónustu og rekstur hennar.
Tryggja skal skilgreint þjónustuferli fyrir rekstur, breytingar og atvikastjórnun.
Fylgjast skal reglulega með frammistöðu, aðgengi og þjónustugæðum lykilþjónusta.
Endurskoða skal þjónustustig reglulega með hliðsjón af þörfum notenda, öryggi og rekstrarreynslu.
12. Stjórnun og ábyrgð
Skilgreina skal ábyrgð á stefnumótun, arkitektúr, þróun, rekstri og endurnýjun hvers hugbúnaðarkerfis.
Stofna skal eða tilnefna arkitektúrstjórn sem ber ábyrgð á að meta samræmi nýrra lausna við tæknileg viðmið og framtíðarskipulag upplýsingatækni stofnunarinnar.
Allar nýjar lausnir og meiriháttar breytingar skulu fara í gegnum tæknilegt mat áður en þróun eða kaup hefjast.
Framkvæma skal öryggismat og persónuverndarmat þegar eðli verkefnis krefst þess.
Tryggja skal samræmi við tæknileg viðmið, stefnu og sameiginlega innviði Stafræns Íslands áður en fjárfest er í nýjum lausnum.
Endurskoða skal reglulega stöðu upplýsingakerfa og forgangsraða endurnýjun þeirra út frá áhættu, rekstrarþörfum og ávinningi.
13. Mælikvarðar
Skilgreina skal árangursmælikvarða í upphafi hvers endurnýjunarverkefnis.
Endurskoða skal mælikvarða reglulega og nýta niðurstöður við forgangsröðun endurnýjunarverkefna.
14. Notkun gervigreindar í hugbúnaðarþróun
Notkun gervigreindar í þróun, rekstri og endurnýjun hugbúnaðar skal vera í samræmi við gildandi viðmið Stafræns Íslands um notkun gervigreindar í hugbúnaðarþróun.
Meta skal áhrif notkunar gervigreindar á öryggi, persónuvernd, rekjanleika og gæði hugbúnaðar áður en hún er innleidd.
Notkun gervigreindar skal vera gagnsæ, rekjanleg og háð viðeigandi mannlegu eftirliti.
Gervigreindarlausnir skulu falla að skilgreindum arkitektúr, sameiginlegum innviðum og tæknilegum viðmiðum ríkisins.
Lokaorð
Markmið þessara viðmiða og meginreglna er að tryggja að endurnýjun upplýsingakerfa ríkisins fari fram á öruggan og hagkvæman hátt í vel skilgreindum áföngum. Með því er dregið úr áhættu, aukin samvirkni tryggð og lagður grunnur að sveigjanlegu og sjálfbæru stafrænu vistkerfi hins opinbera.
Þessi viðmið byggja á, styðja við og vísa til stefna, skilmála og tæknilegra viðmiða fjármála- og efnahagsráðuneytisins og Stafræns Íslands, eftir því sem við á. Þar sem slík viðmið eru fyrir hendi skal fylgja þeim, en þessi viðmið skilgreina jafnframt þær meginreglur sem sérstaklega styðja við endurnýjun eldri upplýsingakerfa hins opinbera.
Við endurskoðun þessara viðmiða skal taka mið af þróun sameiginlegra innviða, stefnum og tæknilegum viðmiðum Stafræns Íslands þannig að þau haldist í takt við þróun stafrænnar stjórnsýslu og upplýsingatækni ríkisins.
Sjá önnur viðmið, stefnur og skilmála Stafræns Íslands.
