Stefna um notkun skýjalausna
Tilefni stefnumótunar
Tilgangur skýjastefnu hins opinbera er að setja fram og ná samræmdum
markmiðum í notkun skýjalausna og útfærslum þeirra. Skýjalausnir eru nú þegar í notkun hjá mörgum opinberum aðilum og því brýnt að unnið sé að samræmingu þessara verkefna til hagræðingar og aukins öryggis.
Áherslur í stafrænni þjónustu og notendamiðaðri þjónustuhönnun
hafa gert auknar kröfur til stofnana um hraða og skilvirka þjónustu. Skýjalausnir stytta afhendingartíma upplýsingatækniþjónusta og stuðla að hraðari, hagkvæmari og öruggari þróun og stafrænni þjónustu.
Skýjaþjónusta opnar einnig fyrir nýja notkunarmöguleika, m.a. á sviði
gervigreindar og dýpri gagnagreininga, sem annars væri erfitt eða ómögulegt að hagnýta.
Mikilvægt er að nálgast stýringar og notkun skýjalausna með þeim hætti
að eiginleikar þjónustunnar rýrni ekki, þ.m.t. sveigjanleiki, samningsstaða og nýsköpun. Sé ekki hugað að þessum eiginleikum í útfærslu og samningagerð
er hætta á auknum óþarfa kostnaði, meiri áhættu og að tækifæri til nýsköpunar glatist.
Skýjaþjónusta
Með skýjaþjónustu (e. cloud computing / cloud services) er átt við þjónustu
þar sem notandi getur sjálfur afgreitt sig á netinu eftir þörfum hverju sinni, hvað varðar notkun á tölvukerfum, tölvuumhverfum eða tölvuinnviðum.
Þannig er skýjaþjónusta sveigjanleg, aðgengileg, mælanleg, samnýtt og
sjálfstýrð upplýsingatækniþjónusta. Notendur eru óháðir hver öðrum en samnýta tæknilega innviði sem eru á ábyrgð þjónustuveitandans.
Skýjaþjónusta þýðir hvorki að gögn ótengdra viðskiptavina séu sameiginleg né að þau séu opin öllum án takmarkana.
Alþjóðleg skilgreining á skýjaþjónustu
Sýn
Ísland er meðal fremstu þjóða heims á sviði stafrænnar þjónustu
og hagnýtingar upplýsingatækni. Með því að nýta sveigjanlegar og fjölbreyttar skýjaþjónustur þar sem við á, veita opinberir aðilar örugga, áreiðanlega og skilvirka þjónustu þar sem almenningur og
fyrirtæki í landinu komast beint að efninu, hvar og hvenær sem er.
Nýsköpun er efld með að gera stofnunum mögulegt að nýta
upplýsingatækni á sveigjanlegan hátt, lágmarka áhættu í kostnaði og nýta fjármuni með því að aðlaga þjónustur að notkun í rauntíma.
Markmið
Með hagnýtingu staðlaðra rekstrarumhverfa og þróaðra skýjalausna hjá hinu opinbera er stutt við öruggari, hagkvæmari og skilvirkari rekstur upplýsingakerfa.
Aukið öryggi
Betri þjónusta sem er skilvirk og hröð
Meiri nýsköpun
Með aðgangi að stöðluðum rekstrarumhverfum byggðum á bestu mögulegu tækni, faglegum innkaupaaðferðum og aðgangi að sérfræðiþjónustu er hægt að gera þjónustu ríkisins framúrskarandi fyrir almenning og atvinnulíf.
Markmið 1 - Aukið öryggi
Hækka öryggisstig og viðhalda því fyrir þjónustur og gögn almennings, fyrirtækja og hins opinbera.
Heildstætt áhættumat og flokkun gagna styður við viðeigandi vernd upplýsinga og kerfa
Verja upplýsingar einstaklinga, fyrirtækja og stofnana gegn innri og ytri ógnum
Minnka áhættu með stöðlun upplýsingakerfa, sjálfvirknivæðingu og sífelldri vöktun
Tryggja að kerfi geti staðist álag, árásir og aðra netvá með að hafa aðgang að afköstum og öryggisúrræðum
Markmið 2 - Betri þjónusta sem er skilvirk og hröð
Veita betri þjónustu til almennings og fyrirtækja og bæta nýtingu opinberra fjármuna.
Samnýta gögn og einfalda samskipti við stafrænar lausnir
Efla stafræna þjónustu við almenning og fyrirtæki
Færa stofnunum og starfsfólki þeirra öflugri og betri lausnir til að sinna verkefnum á skilvirkari máta og fá aðgang að auðlindum eftir þörfum.
Aðgengi að bestu lausnum á hverjum tíma
Auka áherslu á þróun og eflingu stofnana á eigin starfssviði
Auka áherslu á samhæfingu stofnana, s.s. með ferlum og gögnum
Lágmarka tíma vegna innleiðingar með stöðluðum stafrænum lausnum.
Samnýta einingar og þekkingu
Stytta afhendingartíma á þjónustum
Lágmarka þróunartíma
Nota skal staðlaðar lausnir til að geta aukið sjálfvirknivæðingu og
skilvirkni stofnana og þjónustu við einstaklinga og atvinnulífið.
Markmið 3 - Meiri nýsköpun
Gera stofnunum mögulegt að auka nýsköpun í starfsemi sinni, t.d. með að nota nýjar þjónustur á sviði gervigreindar, sjálfvirknivæðingar og gagnagreininga.
Notkun nýrra aðferða
Færa stofnunum ný verkfæri til umbótastarfs
Nota skal virkni viðeigandi skýjalausna að fullu til að veita stofnunum aðgang að þróuðum og öflugum verkfærum.
Leiðir að markmiðum
Til að samræma verklag og notkun á skýjaþjónustu hjá hinu
opinbera skal fylgja eftirfarandi leiðum að markmiðum ólíkra þátta, s.s. ákvarðanatöku
um notkun, fýsileika lausna, stöðlunar,
kostnaðar og vals á birgjum auk þekkingaruppbyggingar. Leiðirnar
eru ætlaðar til leiðsagnar í þeim tilgangi að ná hámarksárangri í rekstri og opinberri þjónustu með því að hagnýta skýjaþjónustu.
Skýjalausnir nýttar á sem skilvirkastan hátt
Ákvarðanataka byggð á staðreyndum
Skýjalausnir notaðar þar sem við á
Traustir þjónustuaðilar og stjórn á kostnaði
Staðlaðar vörur og þjónusta til framtíðar
Verja upplýsingar og þjónustu
Stöðugar mælingar og umbætur
Samstarf og þjálfun
Leiðir að markmiðum - ítarlegri
Skýjalausnir nýttar á sem skilvirkastan hátt. Hanna skal og setja upp lausnir á þann hátt að þær nýti þau verkfæri og verkferla sem boðið er upp á til að straumlínulaga og nútímavæða þjónustu. Huga skal að samnýtingu gagna meðal opinberra aðila og fyrirtækja
frá upphafi til hagsbóta fyrir samfélagið, einstaklinga og fyrirtæki.Ákvarðanataka byggð á staðreyndum og virku áhættumati. Greina þarfir, tækifæri og áhættur út frá viðeigandi upplýsingum á hverjum tíma.
Skýjalausnir notaðar þar sem við á. Velja skal skýjaþjónustu í samræmi við heildstætt áhættumat sem uppfyllir öryggisstig og áhættuþol. Almenna skýjaþjónustu skal nota nema annað sé sérstaklega rökstutt.
Traustir þjónustuaðilar og stjórn á kostnaði. Eingöngu skal nota trausta og hæfa þjónustuaðila að loknu viðeigandi ferli við val og innkaup. Nauðsynlegt er að hafa stöðuga yfirsýn yfir kostnað til að nýta fjármagn á ábyrgan hátt. Samningar tryggi við samningslok fullan rétt á yfirfærslu og eignarhaldi gagna.
Staðlaðar vörur og þjónusta til framtíðar. Þjónustu skal nota á kvikan og skilvirkan hátt með sem minnstum áhrifum á umhverfið. Nýta skal alla möguleika skýjalausna til framþróunar. Ávallt skal sjálfvirknivæða eins og mögulegt er.
Verja upplýsingar og þjónustu. Fara skal með ábyrgum hætti með upplýsingar og öryggi þjónustu. Móta skal högun kerfa frá upphafi út frá kröfum um öryggi og persónuvernd. Virða skal persónuvernd og innleiða tæknileg og skipulagsleg úrræði til að ná ásættanlegu
áhættustigi og lágmarka notkun persónugreinanlegra upplýsinga.Stöðugar mælingar og umbætur. Fylgjast skal með ástandi, öryggi og kostnaði. Greina skal og uppfæra högun og lausnir svo hægt verði að hagnýta nýjar skýjaþjónustur þegar þær verða aðgengilegar.
Samstarf og þjálfun. Þekkingaröflun og miðlun skal vera stöðug. Stuðla þarf að virku samfélagi þeirra sem nýta sér skýjalausnir þar sem þeir geta leitað sér aðstoðar, fræðslu og stuðlað er að samstarfi hagaðila.
Áherslur
Til að ná markmiðum þessarar stefnu eru settar fram áherslur í eftirfarandi flokkum sem fylgja þarf á öllum stigum notkunar:
Stjórnskipulag og högun
Skipulag og hæfni stofnana
Öryggi, persónuvernd og áhættustýring
Innkaup og kostnaðarstýring
Val og hönnun lausna
Rekstur lausna
Áhersla 1 - Stjórnskipulag og högun
Samræming, umsjón, eftirlit og eftirfylgni með umgjörð um notkun
skýjalausna
skal vera á ábyrgð aðila sem styður við stofnanir og verkefni með ráðgjöf um högun og útfærslur og veitir leiðsögn um viðeigandi verklag við val, innkaup, uppsetningu og notkun skýjalausna.
Með þessu móti skal tryggja stöðugar umbætur án þess að upplýsingar eða tæknilausnir séu í hættu. Þannig geta stofnanir útfært eigin skýjaáætlanir og stefnur sem byggja á sameiginlegri aðferðafræði og forsendum svo tryggt sé að þær stuðli að þeim markmiðum stjórnvalda sem sett eru fram í þessari stefnu.
Áhersla 2 – Skipulag og hæfni stofnana
Stofnanir og opinberir aðilar skulu byggja upp nauðsynlegan skilning,
færni og skipulag til að nýta skýjalausnir á hagkvæman og öruggan hátt. Stofnanir skulu greina eigin upplýsingakerfi og verkefni og taka ákvarðanir um þróun og útskipti í samræmi við markmið
þessarar stefnu.
Inn- og útgönguleiðum gagna og veittra þjónusta verði fækkað,
út frá öryggissjónarmiðum,
og tilhögun skal vera til samræmis við best þekktar alþjóðlegar aðferðir.
Áhersla 3 – Öryggi, persónuvernd og áhættustýring
Öryggisstig skýjalausna í samanburði við hefðbundinn upplýsingatæknirekstur þarf að meta heildstætt með kerfisbundnu áhættumati til að meta núverandi rekstraráhættu og þá áhættu sem fólgin er í notkun skýjalausna.
Vernd kerfa og upplýsinga skal vera í samræmi við eðli, flokkun
og mikilvægi gagna og þjónustu, óháð rekstrarfyrirkomulagi.
Í áhættumati skal tekið tillit til mikilvægis þjónustu og gagna.
Byggja skal á lágmörkun aðgangs og heimilda á öllum stigum.
Innbyggt og sjálfgefið öryggi og persónuvernd skal vera
grundvallarskilyrði í hönnun upplýsingakerfa.
Tryggja skal viðnámsþol kerfa fyrir bilunum, árásum og öðrum ógnum.
Áhersla 4 – Innkaup og kostnaðarstýring
Stofnanir og aðrir opinberir aðilar skulu greina þarfir og kröfur í upphafi. Innkaup á þjónustum skulu vera sameiginleg, þar sem það á við, í hagræðingarskyni. Kostnaður skal vera fyrirsjáanlegur og sýnileiki tryggður fyrir kaupendur. Kostnaðarhvatar skulu reglulega rýndir og samningar geri ráð fyrir ítrun á högun á samningstíma.
Þjónustuaðili uppfylli viðeigandi skilyrði í samræmi við mikilvægi og flokkun þeirrar vinnslu sem um ræðir, þ.m.t. öryggisvottanir, vinnsluákvæði, þjónustustig, lögsögu og eignarhald upplýsinga og kerfa.
Samningar skulu tryggja fullt eignarhald kaupenda á gögnum sem
þeir setja í þjónustuna og að við lok samnings eða útleiðingu skal vera mögulegt að færa gögn til annars þjónustuaðila eða til kaupanda.
Innkaup skulu tryggja opinberum stofnunum aðgang að hæfum og til
þess bærum bjóðendum og gera stofnunum mögulegt að nota nýjustu mögulegu þjónustur og sérfræðiþekkingu á hverjum tíma.
Áhersla 5 – Val og hönnun lausna
Velja skal staðlaðar lausnir sem krefjast lágmarksaðlögunar til að uppfylla kröfur notenda og lágmarka þróunar- og afhendingartíma. Rekstrarumhverfi skal útfæra með eins stöðluðum og fullunnum þjónustum og hægt er og hámarka nýtingu á virkni innan umhverfisins.
Hönnun og aðlögun skal framkvæma í samræmi við kröfur notenda. Mæta skal breytingum í notkun og álagi með því að nota skalanleika í þjónustum og með sem sjálfvirkustum hætti.
Atburði, gögn og virkni skal vera hægt að samnýta á staðlaðan hátt af öðrum kerfum og þjónustum. Tryggja skal varðveislu gagna í samræmi við gildandi kröfur hverju sinni og tryggja að gögn séu skilahæf til viðeigandi aðila eftir því sem við á.
Áhersla 6 – Rekstur lausna
Rekstrarlegt hagræði og öryggi næst með stöðlun og sjálfvirknivæðingu. Tryggja skal stöðugar umbætur, vöktun og eftirlit með kostnaði, öryggi og samningsstöðu gagnvart þjónustuaðilum. Lausnir skulu vera rýndar með tilliti til þess hvort þær uppfylli og samræmist kröfum notenda og hagaðila.
Hluti af stöðugri vöktun skal snúa að hæfni og getu þjónustuaðilans til að sinna þeim verkefnum sem honum eru falin í samræmi við mikilvægi og áhættumat þeirra verkefna.
Sérhæfðir skýjaþjónustuaðilar eru gjarnan hæfari en minni aðilar í að innleiða og starfrækja tæknileg upplýsingaöryggisúrræði þar sem að upplýsingaöryggi er grunnþáttur í rekstri og orðspori þeirra.
Næstu skref
Skýjastefnu hins opinbera er ætlað að vera leiðarljós í áframhaldandi samræmdri uppbyggingu og skipulagi notkunar á skýjalausnum hjá opinberum aðilum á Íslandi.
Í kjölfar birtingar stefnunnar verður sett fram aðgerðaáætlun sem styður við markmið hennar og veitir opinberum aðilum leiðsögn og aðstoð við að byggja upp sínar eigin skýjaáætlanir. Slík leiðsögn er hluti af umgjörð stafrænnar þjónustu ríkisins sem stofnanir munu nota til að útbúa eigin stefnumótun í upplýsingatækni og stafrænum umbreytingum.
Fjármála- og efnahagsráðuneytið ber ábyrgð á stefnunni og heyrir hún undir málaflokk 5.3 og 6.1 í fjármálaáætlun. Framkvæmd stefnunnar og aðgerða er hjá fjármála- og efnahagsráðuneytinu í náinni samvinnu við stofnanir ríkisins og önnur ráðuneyti, sveitarfélög og fyrirtæki. Samband íslenskra sveitarfélaga hefur gerst aðili að stefnunni fyrir hönd sveitarfélaga og vinnur að framgangi hennar meðal sveitarfélaga landsins.