Embed Size (px)
Citation preview
UDKAST: Standard for beskrivelse af it-systemerVersion 0.8.5August 2019
UDKAST til Standard for beskrivelse af it-systemer
Indhold
1. Introduktion 41.1 Formål 41.2 Baggrund 41.3 Metode 4
2. Standardens anvendelse og afgrænsning 52.1 Afgivelse af systemoplysninger til Rigsarkivet 52.2 Standardisering af deling af systemoplysninger til andre formål 52.3 Potentiel master data management 62.4 Afgrænsning 6
3. Udfordringer 73.1 Forskellige indfaldsvinkler 73.2 Modenhed ift. beskrivelse af processer, services og datasæt 73.3 Hver specifik anvendelse kræver klar formålsbeskrivelse 8
4. Centrale begreber 94.1 System, informationssystem og it-system 94.2 IT-systemer og systemkomponenter 114.3 Implementering og anvendelse 11
5. Standardens emneområder 125.1 Afgivelse af it-systemoplysninger 135.2 Basisinformation 135.3 Opgaver 145.4 Styring 155.5 Jura 165.6 Information 175.7 Sikkerhed 195.8 Applikation 205.9 Infrastruktur 21
6. Fælles datamodel og udvekslingsformat 226.1 Fælles datamodel 226.2 Skabelon til registrering i regneark 226.3 Maskinfortolkeligt format 23
7. Mapning til eksisterende modeller 24
8. Perspektiver 278.1 Rigsarkivets interesse i it-systemer 278.2 Registreringsopgaven hos myndighederne 278.3 Potentialet i sammenhængende data på tværs 28
UDKAST til Standard for beskrivelse af it-systemer Side 3 af 67
9. Referencer 29
10. Bilag 31Bilag A: Overblik over relevante klassifikationer 31Bilag B: Skabelon til registrering i regneark 39Bilag C: Eksempel på tom webformular 43Bilag D: Eksempel på udfyldt webformular 44Bilag E: Eksempel maskinlæsbart format (RDF/XML) 46Bilag F: Om datamodellen 47Bilag G: UML-diagram: Standardens generelle anvendelsesprofil 48Bilag H: UML-diagram: Anvendelsesprofil til indmelding til Rigsarkivet 49Bilag I: Begrebsliste til IT System AP 50
Læsevejledning:Dette dokument ’Standard for beskrivelse af it-systemer’ indeholder 8 kapitler samt en referenceliste og bilag.
Kapitel 1 introducerer standardens formål, baggrund og den metode, hvormed standarden er blevet udarbejdet. Kapitel 2 og 3 beskriver dels den første specifikke anvendelse af standarden til myndigheders afgivelse af oplysninger om it-systemer i forbindelse med arkivering samt dels skitserer øvrige potentielle anvendelser og udfordringerne ved at etablere et fælles sprog på området.
Kapitel 4 definerer standardens helt centrale begreb, ’it-system’, og Kapitel 5 præsenterer indledningsvist en oversigt over standardens underliggende emneområder, og hver sektion i dette kapitel dykker ned i et af emneområder. I Kapitel 4 og 5 vil udvalgte begreber være markeret med fed skrifttype – disse modelleres i den underliggende datamodel som klasser eller egenskaber og kan også ses i fx regnearksskabelon (Bilag B), webformular (Bilag C) og UML-model (Bilag G).
Kapitel 6 beskriver kort selve datamodellen. For en dybere gennemgang henvises til det selvstændige dokument ’Anvendelsesprofil for beskrivelse af it-systemer”, som er selve datastandarden bag dette dokument målrettet dataarkitekter. Dette kapitel fortæller også, hvordan beskrivelser af it-systemer udarbejdet i henhold til standarden kan udveksles – dels via regneark - dels via et maskinfortolkeligt format. Kapitel 7 indeholder en liste over eksisterende modellering på området og introducerer en overordnet mapning fra de eksisterende modeller til denne standard.
UDKAST til Standard for beskrivelse af it-systemer Side 4 af 67
Kapitel 8 beskriver øvrige perspektiver ved anvendelsen af standarden, herunder potentialet ved sammenhængende modellering af data på tværs.
Bilagene kan inddeles i tre kategorier. Bilag A viser de klassifikationer/kontrollerede udfaldsrum, der anvendes i standarden, Bilag B-E giver eksempler på skabeloner/webformularer til udfyldelse af oplysninger om it-systemer, og Bilag F-I omhandler den bagvedliggende begrebs- og datamodel.
UDKAST til Standard for beskrivelse af it-systemer Side 5 af 67
1. Introduktion
Dette dokument udgør en fællesoffentlig standard for beskrivelse af offentlige myndigheders it-systemer. Standarden omfatter basisoplysninger om it-systemer, som fx it-systemnavn, it-systemejer, anvendelsesformål, ibrugtagningsdato mv., samt en ensartet struktur for disse oplysninger i et fælles udvekslingsformat, som gør det muligt at dele oplysninger om it-systemer på en effektiv måde.
1.1 FormålDer indsamles oplysninger om offentlige it-systemer mange steder. Derfor er der god værdi i at standardisere den måde, it-systemer beskrives på og dermed understøtte højere genbrug og kvalitet i de indsamlede oplysninger. Standarden skal eksempelvis gøre det nemmere for myndigheder at afgive relevante oplysninger om deres it-systemer til Rigsarkivet, så de kan overholde deres arkivmæssige forpligtelser. Standarden forventes desuden at have en bredere anvendelse hos offentlige organisationer ud over den rent arkivmæssige. En fælles standard vil endvidere kunne bidrage til at skabe et fælles sprog for tværgående overblik over anvendte it-systemer.
1.2 BaggrundStandarden er etableret på anbefaling fra Kulturministeriets Arkivudvalg og efter aftale med KL, Danske Regioner og Digitaliseringsstyrelsen. Standarden skal understøtte Rigsarkivets tilsyn med offentlige myndigheders digitale arkivdannelse, så det sikres, at it-systemer, der indeholder bevaringsværdige data, bliver identificeret og bevaret.
1.3 Metode Standarden er blevet udarbejdet på baggrund af research- og udviklingsaktiviteter kombineret med feedback fra og sparring med en projektgruppe med medlemmer fra følgende interessentorganisationer: Rigsarkivet, KL, Danske Regioner, Organisationen Danske Arkiver, OS2Kitos og Digitaliseringsstyrelsen med repræsentanter fra Ministeriernes Kontor for it-styring og Center for Teknologi og Datastrategi. I
UDKAST til Standard for beskrivelse af it-systemer Side 6 af 67
forbindelse med researchaktiviteterne er flere eksisterede modeller og værktøjsunderstøttelse til registrering af it-systemer undersøgt nærmere, fx Model for porteføljestyring af statslige it-systemer, OS2Kitos og Rigsarkivets anmeldelses- og tilsynsskemaer. Læs mere om dette i Kapitel 6 Mapning til eksisterende modeller.
Selve udviklingsarbejdet er foretaget i henhold de Fællesoffentlige regler for begrebs- og datamodellering, og dette dokument er i overensstemmelse med bagvedliggende begrebsmodeller, vokabularer og anvendelsesprofil.
2. Standardens anvendelse og afgrænsning
Denne standard kan anvendes til at beskrive oplysninger omkring it-systemer inden for en række emneområder og indeholder derfor et bredt felt af oplysningstyper. Fra samlingen af oplysningstyper kan specifikke anvendelsesprofiler sammensættes til netop dén profil, en given anvendelse kræver. Den første anvendelsesprofil, som etableres, er til afgivelse af systemoplysninger til Rigsarkivet.
2.1 Afgivelse af systemoplysninger til RigsarkivetStandarden skal anvendes i forbindelse med afgivelse af systemoplysninger til Rigsarkivet. Standarden skal således standardisere afgivelsen og opdateringen af systemoplysninger i relation til regionernes og kommunernes arkivmæssige forpligtelser. Derfor vil den indeholde en anvendelsesprofil for netop det sæt af oplysningstyper, der er påkrævet ifm. afgivelse af it-systemoplysninger til Rigsarkivet, samt yderligere anvendelsesspecifikke præciseringer.
Eksempelvis vil anvendelsesprofilen angive, hvilke af de udvalgte oplysningstyper eller felter der skal udfyldes, og hvilke felter der kan udfyldes ifm. indmelding til Rigsarkivet.
2.2 Standardisering af deling af systemoplysninger til andre formålStandarden kan anvendes ifm. udveksling af systemoplysninger til andre formål. Oplysninger om offentlige it-systemer indsamles mange steder men på forskellig vis. Med det fælles sprog og tilhørende
UDKAST til Standard for beskrivelse af it-systemer Side 7 af 67
udvekslingsformat, som standarden præsenterer, lægges fundamentet for en mere ensartet og konsistent udveksling af disse data om it-systemer. Standarden vil ikke betyde, at eksisterende modeller eller interne registreringer skal laves om, men at de med fordel kan mappes til et fælles sprog, så data kan deles digtalt og på en effektiv måde via et maskinlæsbart format uden behov for manuel behandling. Det modulære og udvidelige udvekslingsformat kan tilføjes flere oplysningstyper, hvis de vurderes relevante. Hvis den måde, hvorpå der spørges efter offentlige myndigheders it-systemoplysninger, standardiseres, vil myndighederne også opleve, at spørgsmålene er mere sammenhængende og letfortolkelige.
Eksempelvis kan standarden danne udgangspunkt for maskinlæsbar afgivelse af systemoplysninger til myndigheders interne it-systemoverblik og det statslige it-systemportefølgeoverblik jf. Strategi for it-styring i staten1, da basisinformationerne vil være omfattet af standarden allerede. Standarden ville dog skulle suppleres med en udvidelse til håndtering af de specifikke vurderingsspørgsmål i modellens kortlægningsdimensioner, fx ”I hvilken grad er der omskiftelighed i forretningsgrundlaget for it-systemet?”. Der kan også arbejdes videre med disse systemoplysninger i forbindelse med udarbejdelse af fortegnelse over databehandlingsaktiviter, jf. Datatilsynets Vejledning om fortegnelse2.
2.3 Potentiel master datamanagementDenne standard kan potentielt danne grundlag for, at en myndighed internt vedligeholder masterdata omkring myndighedens it-systemer ét sted, og at disse sammenstilles med oplysninger fra andre relevante datakilder. Via sammenhængene modellering kan der udtrækkes forskellige datasæt til opfyldelse af forskellige indmeldingsforpligtelser og –krav. Ikke alle oplysningstyper vil være relevante til alle anvendelser, hvorfor yderligere profilering og udvælgelse af relevante oplysningstyper vil være nødvendig til øvrige anvendelser. Se også afsnit 8.3 om potentialet i sammenhængende data på tværs.
2.4 AfgrænsningAndre anvendelser afgrænses i nærværende standard til etablering af forskellige overblik over it-systemer ud fra et bestemt aspekt, som bestemmes af formålet. It-systemer kan beskrives ud fra flere forskellige aspekter eller emner, og denne standard dækker bredt med oplysningstyper for en lang række emner, men som udgangspunkt afgrænses de til at kunne opfylde informationsbehovet ifm. afgivelse af
1 https://digst.dk/strategier/strategi-for-it-styring-i-staten/2 https://www.datatilsynet.dk/media/6567/fortegnelse.pdf
UDKAST til Standard for beskrivelse af it-systemer Side 8 af 67
systemoplysninger til Rigsarkivet.
Andre anvendelser vil kunne basere sig på denne standard, og de vil formodentlig ikke kræve yderligere oplysninger, men hvis der er behov for andre oplysninger, kan standarden udvides med flere oplysningstyper inden for et eller flere emner.
Det er ikke meningen, at modellen skal rumme oplysninger, som bedre administreres i andre systemer, fx i et kontraktstyringssystem, et konfigurationsstyringssystem eller i et enterprisearkitektur-repositorium, men når der er behov for et overordnet overblik over it-systemer, som anvendes i organisation, samt mulighed for i forbindelse med tværgående it-styring at kunne sammenstille disse it-systemoverblik. Standardens model for it-systemer er således ikke tænkt som en altfavnende beskrivelse af alle aspekter omkring it-systemer. Modellen skal alene give en overordnet beskrivelse af de it-systemer, en organisation anvender.
Uddybende beskrivelse af emner som eksempelvis kontraktstyring, infrastruktur og sikkerhed vil kræve andre modeller. Standardens model er skabt med henblik på let at kunne integrere med øvrige it-systembeskrivende modeller, eksempelvis omkring organisationen it-infrastruktur.
Eksempelvis bidrager standarden med overordnede oplysninger om it-systemers tekniske indretning (jf afsnittet om teknisk indretning i Kapitel 4), men giver ikke umiddelbart mulighed for at udtrykke detaljerede oplysninger om fx hardwareinstanser eller lignende. Disse kan evt. udfoldes i standardsystemer til IT Service Management (ITSM) og Configuration Management DataBase (CMDB) eller tilføjes standarden ved udvidelse.
Denne standard præsenterer et fælles sprog og tilhørende udvekslingsformat for deling af data om it-systemer, men udgør ikke en kravspecifikation til et fællesoffentligt it-registreringssystem.
3. Udfordringer
Etableringen af et fælles sprog kan danne grundlag for effektiv udveksling af data om it-systemer, men standardisering har også nogle iboende udfordringer og kræver et overblik over eksisterende begreber og indfaldsvinkler
UDKAST til Standard for beskrivelse af it-systemer Side 9 af 67
3.1 Forskellige indfaldsvinklerDer indsamles oplysninger om offentlige it-systemer mange forskellige steder, men formålet og fokus kan variere meget, alt afhængig af om indfaldsvinklen er arkivering, forretnings- og samfundskritikalitet, drift og IT-service-management, kontraktstyring eller arkitekturbeskrivelse.
I forhold til basisoplysninger, som indgår i de eksisterende modeller, kan der for eksempel være mange lighedspunkter og identiske begreber, men flere er ikke defineret på helt samme måde, og selvom termerne ofte er enslydende, er der også stor variation. Terminologien og begreberne, som de findes i de forskellige modeller, afspejler typisk indfaldsvinklen og den formelle ramme, som har dannet grundlag for modellen, og det formål, modellen er udarbejdet med. Læs mere om dette i Kapitel 7 om mapning til eksisterende modeller.
3.2 Modenhed ift. beskrivelse af processer, services og datasætEt it-system yder en bestemt it-service for at understøtte en forretningsproces, og i den forbindelse skabes der ofte datasæt i den offentlige forvaltning.
I forbindelse med Rigsarkivets tilsyn med offentlige myndigheder er det konstateret, at det har været vanskeligt for myndighederne at vedligeholde et overblik over de systemer, som skal indberettes til Rigsarkivet i forbindelse med tilsyn.
Rigsarkivet har brug for at kunne identificere arkiveringspligtige datasæt på en pragmatisk måde, hvorfor det i de fleste tilfælde er mest hensigtsmæssig at begynde dialogen med de pågældende myndigheder på baggrund af et systemoverblik. Dette systemoverblik vil standarden danne basis for.
Der kan være perspektiver i, at myndigheder fremover vedligeholder et overblik over datasæt, forretningsprocesser og services med en kobling til understøttende it-systemer, og således at dialogen omkring arkivering kan begynde dér. Systemoverblikket skal kunne samarbejde med de mest udbredte overblikssystemer, som myndighederne allerede har3, således at de ikke skal vedligeholde flere overblik.
Det skal være muligt at opmærke den del af standarden, som er nødvendige for varetagelse af arkivmæssige hensyn, så der nemt kan 3 Som eksempel kan nævnes KITOS, som mange kommuner anvender som systemoverblik.
UDKAST til Standard for beskrivelse af it-systemer Side 10 af 67
produceres et systemoverblik.
3.3 Hver specifik anvendelse kræver klar formålsbeskrivelseSom førnævnt vil anvendelser ud over det arkivmæssige kunne basere sig på denne standard, dog vil det være nødvendigt i forbindelse med hver specifik anvendelse at undersøge, hvilket formål profileringen af standarden skal løfte, samt hvilken delmængde af en potentiel meget stor mængde af mulige it-systemer der ønskes beskrevet.
Formål, detaljeringsgrad eller granularitet og relevante klassifikationer skal vurderes nøje, så relevante oplysninger om relevante it-systemer kan registreres, og så det er muligt at danne et overblik over it-systemer der opfylder givne kriterier.
Eksempelvis begrænses mængden af relevante it-systemer ifm. indmelding af systemoplysninger til Rigsarkivet til de databærende it-systemer inden for netop de sagsområder, der er udpeges eksplicit i lovgivningen. Derudover har denne profil et naturligt fokus på it-systemets dataindhold og forretningsunderstøttelse, men it-systemets øvrige interessenter, tekniske indretning mv. er fx ikke relevant ifm. den arkivmæssige forpligtelse.
UDKAST til Standard for beskrivelse af it-systemer Side 11 af 67
4. Centrale begreberBegrebet ’it-system’ udgør det centrale element i denne standard og defineres bredt for at kunne favne mange anvendelser, men ved at koble dette begreb til relevante klassifikationer bliver det muligt med standarden at indsnævre mængden af de it-systemer, der skal skabes overblik over, til et givet formål
4.1 System, informationssystem og it-systemEt system defineres generelt som ”et system er en kombination af interagerende elementer, der er organiseret for at opnå et eller flere erklærende formål.” ligesom i [ISO/IEC 15288]4. Det bemærkes også, at ”Et system er i denne sammenhæng menneskeskabt og består ikke blot af hardware, software og data, men også af mennesker, processer, procedurer, faciliteter og materialer og naturlige genstande”.
Ser vi alene på systemer til indsamling, organisering, lagring og kommunikation af viden, har vi at gøre med informationssystemer, og når (computer)-teknologi anvendes til at behandle disse informationer eller data, har vi at gøre med it-systemer5.
Denne standard forventes at få bred anvendelse hos offentlige myndigheder til flere forskellige formål, hvorfor definitionen af
4 ISO/IEC 15288 (Systems and software engineering -- System life cycle processes)5 Begrebet ’it-system’ er altså en specialisering af ’system’ fra ISO 15288, idet der fokuseres på IT-aspektet. Det vurderes derudover at definitionen er tråd med ISO/IEC TR 10000-1:1998(en)Information technology — Framework and taxonomy of International Standardized Profiles og ISO/IEC TR 12182:2015 (Systems and software engineering -- -- Frame-work for categorization of IT systems and software, and guide for applying it .
Begrebet it-system defineres derfor i denne standard som
Figur 4.1: Klassifikation af it-systemer kan indsnævre antallet af instanser til et givet formål
UDKAST til Standard for beskrivelse af it-systemer Side 12 af 67
begrebet ’it-system’ har en så anvendelsesneutral og generel karakter som muligt inden for standardens rammer. Det betyder også, at definitionen som udgangspunkt favner mange flere instanser af it-systemer, end hvad et bestemt indmeldingsformål måtte have brug for. Derfor anvendes en række klassifikationer, som giver mulighed for at netop at udpege den delmængde af it-systemer, det er relevant at undersøge eller beskrive til et givet formål.
Klassifikationerne vil blive introduceret og defineret under de relevante emneområder i det følgende kapitel.6
Eksempelvis udpeger bekendtgørelserne om bevaring og kassation af digitalt skabte data i hhv. kommuner og regioner sagsområder og overordnede funktionalitetstyper for databærende it-systemer som arkiveringspligtige. Et udpeget sagsområde for regionerne er fx ’kliniske kvalitetsdatabaser’ under overkategorien ’Systemer på sundheds-, social og psykiatriområdet’.
I forhold til ibrugtagningen af et it-system i en organisation kan det i visse tilfælde være svært at vurdere, hvornår der er tale om at organisationen overgår fra ét it-system til et andet, eksempelvis ved overgangen fra én version af et kommercielt produkt til en anden version. Her kan vurderingen tage udgangspunkt i, om it-systemet leverer en anden service end den oprindelige, hvilket ofte er forbundet med etableringen af en ny kontrakt med rettighedshaveren af det kommercielle
6 Klassifikationer beskrives iht. anvendelsesprofil for klassifikation: https://arkitektur.digst.dk/rammearkitektur/datastandarder/anvendelsesprofil-klassifikationer
Begrebet it-system defineres derfor i denne standard som
sagsområde: kliniske
kvalitetsdatabaser
it-systemer
udviklingstype:
målgruppe:
databærende:
FORM: Sagshånd
UDKAST til Standard for beskrivelse af it-systemer Side 13 af 67
produkt. Ny kontrakt vil altså ofte betyde nyt it-system, modsat løbende opdateringer og fejlrettelser til kørende it-systemer. I forhold til databærende systemer kan det også være relevant at se på, om fx hele den bagvedliggende databasestruktur er skiftet ud.
Som det blev beskrevet i foregående kapitel, kan man have behov for at beskrive it-systemer ud fra forskellige indfaldsvinkler, og denne indfaldsvinkel er også afgørende for hvor hvad et it-systemoverblik skal indeholde. Tager man eksempelvis udgangspunkt i den overordnede it-service, som tilbydes slutbrugeren, kan det være tilstrækkeligt at se på it-systemet som et samlet hele, hvorimod i det i forhold til drift, vedligehold og kritikalitet typisk er nødvendigt at beskrive it-systemets underliggende applikationskomponenter og afhængigheder, som tilsammen udgør it-systemet.
4.2 It-systemer og systemkomponenterEt it-system kan have afhængighed til en eller flere applikationskomponenter7, som hver især indgår i it-systemet med en bestemt funktionalitet.
Et it-system kan anvende et eller flere softwareprodukter som applikationskomponenter. En applikationskomponent er i denne forbindelse en enhed, der kan implementeres, genbruges og erstattes som et selvstændigt hele, og som udfører en eller flere funktioner ved tilvejebringelse af fx brugergrænseflade, softwaregrænseflade og datasæt.
I en kompleks systemstruktur indgår mange applikationskomponenter.
Eksempelvis leverer Digitaliseringsstyrelsen servicen fællesoffentlig brugerstyring i form af it-systemet NemLog-in, der består af en sammensætning af en række applikationskomponenter fx WebSSO (selve login-tjenesten), brugeradministrationskomponenten (FBRS), tilslutningskomponenten (CSS), Secure Token Service (STS), Signeringstjenesten og Digital Fuldmagt. NemLog-in anvender også en række eksterne komponenter fra andre it-systemer, fx CVR, CPR og Nets’ RID/PID-service.
7 Bemærk at begrebet ’applikationskomponent’ i ArchiMate omfatter både it-systemet som hele samt de underliggende komponenter der indgår deri (http://pubs.opengroup.org/architecture/archimate3-doc/chap09.html)
UDKAST til Standard for beskrivelse af it-systemer Side 14 af 67
I en simpel systemstruktur har et it-system blot få applikationskomponenter. Et it-system kan fx alene udgøres af en CMS-komponent, der udstiller en hjemmeside.
4.3 Implementering og anvendelse Begrebet it-system udtrykker konkrete it-systemer i en organisation for – som førnævnt – at opnå et eller flere erklærede formål.
I teknologilaget sammensættes et it-system af systemkomponenter fra konkrete instanser af hardware- og softwareprodukter, som kan have tilknytning til produktserier. Ofte kan et it-system beskrives i kraft af den produktserie, som it-systemets primære softwareprodukt tilhører. En produktserie er en serie af relaterede produkter, der leverer den samme overordnede funktionalitet for brugeren.
Eksempelvis har forskellige offentlige organisationer implementeret og ibrugtaget Formpipes produktserie Acadre eller cBrains F2 ESDH, som sammen med den hardware, som de specifikke versioner er installeret på, udgør organisationernes respektive it-systemer til elektronisk sag- og dokumenthåndtering.
Hardware- og softwareprodukter udgør it-systemets tekniske infrastruktur. Selvom det med denne standard er muligt at udpege en produktserie, indgår der ikke detaljerede oplysninger om teknisk infrastruktur. I forbindelse med drift er det relevant i en myndigheds interne it-systemoverblik at beskrive de relationer, som it-systemer og dets applikationskomponenter har til fx specifikke softwareprodukter, hardwareprodukter, servere, databaser mv. I denne standard ligger fokus dog på de oplysninger, der typisk udveksles, hvorfor disse infrastrukturoplysninger ikke indgår her.
UDKAST til Standard for beskrivelse af it-systemer Side 15 af 67
5. Standardens emneområder
I det følgende gives en oversigt over standardens omfang og kapabilitet samt beskrivelse af hvert underliggende emneområde
It-systemer kan beskrives ud fra flere forskellige aspekter eller emner. De grundlæggende basisinformationer ses i midten af figuren herunder, og de øvrige syv emneområder afspejler arkitekturprincipperne fra rammearkitekturen: styring, jura, sikkerhed, opgaver, information, applikation og infrastruktur, som beskrives i Hvidbog om fællesoffentlig digital arkitektur (FDA)8 .
Disse otte emner dækker bredt og oplysninger herunder kan udvælges og sammensættes til forskellige formål da ikke alle emner vil være lige relevante til alle formål. I tillæg til de otte emneområder, eksisterer et metalag med informationer om selve myndigheden og indmeldingen af systemerne.
Figur 5.2: Illustration af standardens emneområder Markeringen af emnerne ’styring’, ’opgaver’ og ’information’ i 8 https://arkitektur.digst.dk/mandat-og-styring/hvidbog-om-faellesoffentlig-digital-arkitektur
UDKAST til Standard for beskrivelse af it-systemer Side 16 af 67
figuren ovenfor skal illustrere, at disse to områder er definerende for standardens anvendelse til at afgive oplysninger om it-systemer til Rigsarkivet.
UDKAST til Standard for beskrivelse af it-systemer Side 17 af 67
5.1 Afgivelse af it-systemoplysningerNår der skal afgives oplysninger om it-systemer, som en given myndighed anvender, angives myndighedens navn samt den emailadresse, hvormed myndigheden primært kan kontaktes (hovedmailadresse). Derudover angives en myndighedstype, dvs. en kategorisering af offentlige organisationer ift. styringsniveau (region, kommune, statslig myndighed, offentlig selvejende institution)9. Indberetningen forsynes også med en datoangivelse for, hvornår oplysningerne blev indberettet (afgivelsesdato). Det er den dataansvarlige myndighed, der er forpligtet til at angive it-systemoplysninger til Rigsarkivet, jf. afsnittet Styring.
5.2 BasisinformationEt it-system forsynes med en identifikator (et ID) der entydigt udpeger det konkrete it-system. Et it-system tilføjes en eller flere navne. Et af navnene vil være it-systemets primære eller foretrukne navn, men andre, fx kaldenavne, kan angives som alternative navne.
Hvor et it-system kan beskrives som en implementering og ibrugtagning af et softwareprodukt tilhørende en bestemt produktserie, som fx Acadre eller F2, vil it-systemnavnet typisk være lig navnet på produktserien, som producenten har markedsført eller som anført i hovedkontrakten med leverandøren, men it-systemet kan også have andre lokale navne.
En produktserie kan have en overordnet beskrivelse af produktseriens egenskaber, som det fx ses i SKI-kataloget10, men i forbindelse med ibrugtagning er det også muligt at angive en it-systembeskrivelse, som i fritekst redegør for formålet med it-systemets anvendelse eller it-systemets nøglefunktion i en organisation. Derudover bør et it-systems anvendelsesformål også beskrives ved opmærkning ift. offentlige opgaver med klassifikationerne FORM/KLE, som det beskrives under emnet ’forretningsunderstøttelse’. Supplerende bemærkninger eller oplysninger kan også tilføjes som en kommentar i fritekst
9 Myndigheder skal beskrives som organisationer iht. anvendelsesprofil for organisationer: https://arkitektur.digst.dk/rammearkitektur/datastandarder/anvendelsesprofil-organisationer10 https://skikataloget.ski.dk/ski-kataloget/
UDKAST til Standard for beskrivelse af it-systemer Side 18 af 67
Som en del af basisinformationerne hører ibrugtagningsdato og udfasningsdato, som tilsammen beskriver perioden fra den dato, hvor it-systemet blev taget i brug med delvis eller fuld funktionalitet, indtil den dato hvor it-systemet endeligt bliver afviklet. Datoangivelserne kan eventuelt suppleres med en operationel status, som angiver, hvilken tilstand systemet befinder sig i i forhold til ibrugtagning. Her er udfaldsrummet ibrugtaget (build), fuldt ibrugtaget (operational) og udfaset (retired).
For at kunne identificere, hvilken version af softwareproduktet der er taget i anvendelse, eksempelvis i forhold til en bestemt kontrakt med en leverandør, kan det være relevant at angive et versionsnummer. Hvis et versionsnummer er specificeret i kontrakten, bør dette anvendes.
Eksempelvis kan der ved anvendelse af cBrains F2 angives version 5.3 (og ikke 5.3.0.41112)
5.3 OpgaverEt it-system yder en given it-service, som understøtter forretningens opgaver.
Et it-system kan beskrives med et eller flere anvendelsesformål, der antages at være at understøtte en forvaltningsopgave. Til dette formål anvendes en klassifikation over offentlige opgaver eller såkaldte forvaltningsopgavetyper såsom Den Fællesoffentlige Referencemodel (FORM) eller KL Emnesystematik (KLE). KLE er en emnesystematik/journalplan, der dækker det kommunale område. FORM er en overordnet emnesystematik, der dækker opgaveporteføljen i hele den offentlige sektor – dvs. staten, kommunerne og regionerne. KLE er som regel mere detaljeret end FORM på det kommunale område. Det foreslås, at KLE anvendes af kommunerne, og FORM af regioner og statslige administrative enheder – som minimum på det øverste niveau (hhv. serviceområde i FORM og emnegruppe i KLE):
Klassifikation KLE: http://www.kle-online.dk/soegningKlassifikation FORM: http://www.form-online.dk/soegning
Eksempelvis kan en myndighed anvende Formpipes Acadre og cBrains F2 ESDH til at understøtte FORM-forvaltningsopgaven ”65.50.05.05 Sagshåndtering” (FORM v.2.14) el. KLE-emnet ”00.15.12. Kvalitetsstyringssystem, sagsbehandling” (KLE v.Aug. 2019)
UDKAST til Standard for beskrivelse af it-systemer Side 19 af 67
Bemærk, at produkter i SKI-kataloget allerede er opmærket med FORM samt internationale referencekoder såsom Common Procurement Vocabulary Codes (CPV)11 og United Nations Standard Product and Services Code (UNSPSC)12, som er klassifikationer for hhv. udbudte opgaver og varer og tjenesteydelser. Bemærk, at en sådan opmærkning angiver, at produktet har kapabilitet til at understøtte en given opgave. SKI anvender tillige STORM (Service- og Teknologireferencemodel)13 på trods af, at den ikke længere opdateres.
FORM og KLE indeholder henvisninger til de love og lovbekendtgørelser, som de offentlige opgaver udspringer fra, så ved at opmærke et it-system med FORM eksisterer der også indirekte en relation til retsgrundlaget for it-systemets anvendelse. Der er også muligt via FORM at se, hvilke myndigheder de forskellige opgaver tilhører. KLE indeholder, ud over love og lovbekendtgørelser, også bekendtgørelser. FORM mapper til paragraffer i finansloven og KLE, og KLE mapper til Social- og Indenrigsministeriets kontoplan.
Kommunale it-systemer kan tilknyttes én eller flere specifikke kommunale sagsområder i henhold til Bekendtgørelse om bevaring og kassation af digitalt skabte data og dokumenter fra kommunerne14. Ligeledes kan regionale it-systemer tilknyttes én eller flere specifikke regionale sagsområder iht. Bekendtgørelse om bevaring og kassation af arkivalier i regionerne15. I klassifikationen Sagsområde i Bilag A er klassifikationerne samlet med angivelse af, hvilken myndighedstype der anvender hvilke sagsområder.
Når en organisation skifter et it-system ud med et andet it-system til varetagelse af samme funktion, kan det tidligere it-system eksplicit angives som et såkaldt forgængersystem, se også afsnit om arkivering og datakonvertering fra sådanne forgængersystemer.
11 Common Procurement Vocabulary er et fælles referencesystem for udbudte opgaver i EU https://udbudsportalen.dk/cpv-koder/12 United Nations Standard Product and Services Code) er et internationalt klassifikationssystem for varer og tjenesteydelser. http://unspsc.gs1.dk/find-din-kode/13 STORM er en taksonomi over it-servicestyper. På samme måde som FORM kategoriserer og beskriver det offentliges opgaver, er STORM udviklet til at give en overordnet klassifikation og beskrivelse af de it-systemer, der bruges i den offentlige forvaltning. STORM vedligeholdes ikke pt. http://arkitekturguiden.digitaliser.dk/storm og det er projektgruppens vurdering at den ikke umiddelbart kan tages i anvendelse i denne standard. Flere interessenter har dog i forbindelse med standardens udarbejdelse udtrykt et behov for en sådan klassifikation ifm. øvrige anvendelser. Dette bør analyseres nærmere.14 https://www.retsinformation.dk/eli/lta/2018/18315 https://www.retsinformation.dk/eli/lta/2015/266
UDKAST til Standard for beskrivelse af it-systemer Side 20 af 67
Bemærk, at en organisations portefølje af it-systemer kan være sammensat af dels organisationens internt-rettede it-systemer (fx et sagsbehandlingssystem til organisationens egne medarbejdere) og dets eksternt-rettede it-systemer som eksempelvis af borgere, virksomheder og andre myndigheder. Med henblik på at kunne skelne mellem it-systemer med en snæver målgruppe og it-systemer med en bred målgruppe kan it-systemer klassificeres ift. en målgruppeklassifikation, se Bilag A. Her angives, om it-systemet har en intern eller ekstern målgruppe set ift. organisationen og herunder hvilken type af målgruppe, der er tale om. Det skal være muligt at angive flere forskellige målgrupper for samme it-system. Ud fra en sådan klassificering vil det være muligt at estimere, om it-systemet har få eller mange brugere – og om det er mennesker eller maskiner.
5.4 StyringEt it-system kan have mange forskellige relationer til aktører, som hver især har en særlig interesse i systemet, og som dermed udgør systemets interessenter. Aktørerne kan være personer eller organisationer, men det anbefales, i det omfang det er muligt ikke at registrere oplysninger om fysiske personer men derimod den relevante medarbejderolle eller organisatoriske enhed.
På overordnet niveau angives it-systemejeren – en person eller organisation med det overordnede ansvar for et givet it-systems drift, vedligehold og anvendelse. Ofte vil it-systemejeren være lig kontraktejeren og kan identificeres præcist i myndighedens kontraktstyring.
I en given organisations praktiske og tekniske forvaltning af et it-system er det også vigtigt at registrere it-systemforvalteren, dvs. den organisatoriske enhed eller medarbejder, som administrerer og træffer afgørelser vedrørende tekniske anliggender på vegne af systemejeren. I forbindelse med større it-systemer kan forvalterrollen være opdelt i en intern forretningsmæssig forvalterrolle og en teknisk forvalterrolle hos en leverandør.
Eksempelvis er Kontorchefen for Center for Systemforvaltning i Digitaliseringsstyrelsen it-systemejer for NemLog-in, mens it-systemet forvaltes af NemLogin-teamet.
For databærende it-systemer skal den dataansvarlige aktør også angives, dvs. den myndighed, som har dispositionsretten
UDKAST til Standard for beskrivelse af it-systemer Side 21 af 67
og træffer afgørelse om, hvordan data skal behandles, jf. GDPR16. Én myndighed kan være dataansvarlig for et system, mens det faktisk er databehandler, som behandler personoplysninger på den dataansvarliges vegne, der er i besiddelse af systemet og anvender det. Det kan være en fordel at registrere begge oplysninger. I nogle tilfælde er der forskel på dataansvarlig og databehandler. I det omfang, at leverandører har fået instruks af den dataansvarlige til at behandle personoplysninger, betragtes disse også som databehandlere, jf. Datatilsynets vejledning om databehandlere og dataansvarlige17. Det kan også være relevant at angive den konkrete dataskaber, dvs. den aktør, der har det primære ansvar for tilvejebringelsen af datasættet.
Et it-system kan dokumenteres ved hjælp af forskellige dokumenter, der hver har sit formål og målgruppe, fx arkitekturdokumentation, installationsvejledning og slutbrugervejledning. Se klassifikationen dokumentationstype i Bilag A, som kan beskrives nærmere og udvides efter behov.
5.5 JuraI forbindelse med ibrugtagning og anvendelse af et it-system kommer der typisk en lang række leverandørkontrakter i spil, men i denne standard fokuseres på leverandører, der leverer en ydelse ift. udvikling, vedligehold, drift og support af it-systemet. Disse oplysninger vil typisk være indsamlet og registreret i forbindelse med kontraktstyring. Derudover vil det i denne standard også være muligt helt overordnet at angive it-systemets primære udviklingspart, vedligeholdelsespart og driftspart.
Allerede inden en givet produktserie tages i anvendelse, har produktserien typisk allerede en række relationer, som fx er registreret i OS2Kitos. De intellektuelle rettigheder til produkter i en produktserien besiddes af en rettighedshaver, og myndighedens brugsret i forhold til it-systemets og dets komponenter kan variere i forhold til it-systemets type og aftalte kontraktforhold.
Et it-system kan være relateret til en lang række kontrakter, hvoraf der i denne standard fokuseres på de kontrakter, der vedrører it-systemets udvikling, vedligehold, drift og support. Som beskrevet ovenfor er det muligt blot at angive en overordnet relation fra et it-system til hhv. udviklingspart, 16 http://data.europa.eu/eli/reg/2016/679/oj: https://www.retsinformation.dk/eli/lta/2018/50217 https://www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf
UDKAST til Standard for beskrivelse af it-systemer Side 22 af 67
vedligeholdelsespart el. driftspart, men en mere præcis beskrivelse af leverandørforhold kan opnås ved at beskrive sammenhængen til de formelle it-kontrakter.
Til beskrivelse af kontrakter anvendes et vokabular for finansielle forretninger, Financial Industry Business Ontology (FIBO)18, som er et fælles produkt fra OMG og Enterprise Data Management (EDM) Council.
For et it-system kan der angives referencer til kontrakternes identifikation i et kontraktstyringssystem, eventuelt suppleret med en kontrakttypeopmærkning ved hjælp af en it-kontrakttypeklassifikation, se Bilag A.
Én kontrakt med en given leverandør kan også indeholde aftale om flere ydelser på én gang, fx en kombineret drifts- og vedligeholdelsesaftale. Softwarelicenskontrakter betragtes som værende af en særlig karakter. Anskaffelse af standardsoftware kræver typisk også, at de indkøbte licenser administreres, og at licensvilkår overholdes. Derfor kan det internt i en organisation kan være relevant at registrere mere detaljerede oplysninger om licenser. Derudover kan der efter behov tilføjes yderligere oplysninger vedrørende kontrakten såsom kontraktparter og kontraktperioder, som kan være særligt relevante ift. systemet forvaltning og vurdering af kontrakters udløbsdatoer etc. Disse masterdata vil dog typisk være at finde i et kontraktstyringssystem.
5.6 InformationDe data, som et it-system skaber, kan betragtes som et datasæt - en samling af oplysninger bestående af enkelte dele der forvaltes under et19, og beskrivelsen af datasæt følger i denne sammenhæng W3Cs Data Catalogue Vocabulary (DCAT)20. Et datasæt kan forsynes med en titel, og det kan angives, hvilken tidsperiode datasættet dækker.
I forhold til arkivering, er det vigtigt at vide, hvornår myndigheden er begyndt at tilføje data til it-systemet, og hvornår den er ophørt med at tilføje data til it-systemet. Til dette formål kan it-systemets generelle ibrugtagningsdato og udfasningsdato anvendes som pejlemærke, men datasættets 18 https://www.omg.org/hot-topics/finance.htm & https://spec.edmcouncil.org/fibo/FND/Agreements/Contracts19 https://arkitektur.digst.dk/sites/default/files/20180503_rad_v1.0_-_godkendt_af_sda.pdf20 https://www.w3.org/TR/vocab-dcat/ (Bemærk at DCAT anvender et snævrere datasætbegreb end det der defineres i ISO 19115-1:2014)
UDKAST til Standard for beskrivelse af it-systemer Side 23 af 67
dækningsperiode bør også fremgå eksplicit, altså første datatilføjelsesdato og sidste datatilføjelsesdato. Disse oplysninger er især relevante, når myndigheden har konverteret data fra andre systemer ind i systemet. Dvs. tilfælde, hvor ibrugtagningsdato, udfasningsdato og datering af oplysninger i systemet ikke er den samme.
Datasæt, som it-systemet udstiller og anvender, bør registreres ved reference til Datasætkataloget21. Det fællesoffentlige datasætkatalog er et katalog, der har til hensigt at samle metadata om alle myndigheders datasæt.
Arkiveringspligt
For at gøre det lettere for myndigheder at afgive oplysninger om deres it-systemer til Rigsarkivet og dermed overholde deres arkivmæssige forpligtelser kan it-systemer og de datasæt, de skaber ved hjælp af nærværende standard, forsynes med flere forskellige arkiveringsoplysninger.
I forhold til arkivering af data bestemt til bevaring er det offentlige databærende it-systemer, der er i fokus, dvs. it-systemer, der indeholder data og dokumenter digitalt skabt af den offentlige forvaltning og domstolene, jf. Arkivloven22. Udover at det skal angives, om it-systemet er databærende, altså indeholder datasæt, kan det også præciseres at nogle af disse data udgøres af dokumenter, ved at angive, at it-systemet også er dokumentbærende.
Hvorvidt den pågældende myndighed har pligt til at arkivere eller kassere data i it-systemet, kan angives med klassifikationen arkiveringspligttype, se Bilag A. Digitalt skabte data og dokumenter, som ikke skal bevares i henhold til gældende lovgivning, kasseres, når opbevaringspligten efter andre bestemmelser er opfyldt, og når de efter myndighedernes egen vurdering i øvrigt ikke længere har retlig eller administrativ betydning.
I forhold til aflevering af arkiveringsversioner skal det kunne angives, om data i it-systemet planlægges afleveret som et øjebliksbillede, en afgrænset periode eller ved afsluttet arkivperiode. Her anvendes klassifikationen Arkiveringsversionsperiodetype, se Bilag A, som defineres i Bekendtgørelse om arkiveringsversioner. Arkiveringsversioner af data fra et it-system afleveres enten til Rigsarkivet eller et
21 https://arkitektur.digst.dk/det-faellesoffentlige-datasaetkatalog22 https://www.retsinformation.dk/eli/lta/2016/1201
UDKAST til Standard for beskrivelse af it-systemer Side 24 af 67
kommunalt eller regionalt stadsarkiv som defineres i klassifikationen Arkiveringsinstitutionstype.
Det angives, om der manuelt eller automatisk er konverteret data og dokumenter fra forgængersystemet ind i det nuværende system, og om alle data eller udvalgte data er konverteret ind. Et forgængersystem er i denne forbindelse et andet it-system, der tidligere har varetaget samme funktion
Det kan også angives, om der tidligere er udarbejdet en arkiveringsversion af data i systemet. For arkiveringsversionen angives den periode, som den dækker. Dvs. det årstal, arkiveringsversionen først dækker, til det år, som arkiveringsversionen sidst dækker.
En arkiveringsfrekvens kan også registreres, dvs. den frekvens med hvilken en myndighed fremstiller arkiveringsversion af et givet datasæt i et it-system.
5.7 SikkerhedEmnet sikkerhed kan vedrøre mange forskellige aspekter, fx informationssikkerhed, persondatasikkerhed, forretnings- og samfundskritikalitet og fortrolighed.
I henhold til GDPR23 og Datatilsynets ’Vejledning om fortegnelse’24 er det for databærende it-systemer relevant at være opmærksom på datasletningsfristen, dvs. førstkommende dato for, hvornår bestemte data i systemet skal være slettet forinden.
It-systemet kan opmærkes med en personoplysningskategori, som er beskrevet i Datadatatilsynets vejledning, og på denne måde oplyses det, hvorvidt systemet indeholder følsomme personoplysninger eller almindelige personoplysninger, herunder personnummeroplysninger og oplysninger om strafbare forhold. Dertil tilføjes en angivelse af fraværet af personoplysninger, se Bilag A. De følsomme oplysninger er udtømmende oplistet i databeskyttelsesforordningen, og alle andre oplysninger er derfor almindelige personoplysninger. Oplysninger om strafbare forhold og personnumre betragtes som almindelige personoplysninger, men databeskyttelsesloven fastsætter særlige regler om disse oplysninger. Som en hjælp til præcisering kunne en klassifikation med personoplysningsunderkategorier eventuelt opstilles.23 http://data.europa.eu/eli/reg/2016/679/oj https://www.retsinformation.dk/eli/lta/2018/50224 https://www.datatilsynet.dk/media/6567/fortegnelse.pdf
UDKAST til Standard for beskrivelse af it-systemer Side 25 af 67
It-systemer skal kunne opmærkes ift. deres grad af kritikalitet ved hjælp af klassifikation for kritikalitetstyper. Se bilag A. Myndigheden kan vælge at tage udgangspunkt i følgende definitioner af hhv. et samfundskritisk og et forretningskritisk it-system. Et samfundskritisk it-system er et it-system, som enten er vigtigt for den nationale sikkerhed eller for vigtig infrastruktur, hvor misbrug af data vil have store konsekvenser, eller hvor driftsforstyrrelser kan have stor betydning for økonomien i staten eller for mange borgere eller virksomheder. Et forretningskritisk it-system er et it-system, hvor driftsforstyrrelser kan medføre, at størstedelen af myndighedens medarbejdere ikke kan udføre deres arbejde, eller at myndigheden vanskeligt kan overholde sine forvaltningsmæssige forpligtelser.
Data i it-systemet og data om it-systemet kan klassificeres med flere forskellige klassifikationer ift. fortrolighed., fx Fortrolighedsgrad iht. ISO2700225 eller Fortrolighedsgrad iht. sikkerhedscirkulæret (EU/NATO)26. Se Bilag A. I forhold til klassifikation iht. sikkerhedscirkulæret kan tilføjes ’uklassificeret’, så det kan angives, at der er taget stilling til fortrolighedsgraden.
Eksempelvis kan data i beredskabssystemer eventuelt være opmærket med fortrolighedsgrad, og fortrolighed kan være et relevant aspekt ved indmelding af it-systemoplysninger såsom kritikalitetstype og systemernes tekniske tilstand.
5.8 ApplikationEt it-system kan, som nævnt i Kapitel 4, anvende et eller flere softwareprodukter som applikationskomponenter, som hver især indgår i it-systemet med en bestemt funktionalitet, og det er med denne standard muligt at registrere navnene på disse applikationskomponenter.
Det er også muligt at udpege den produktserie, it-systemets primære softwareprodukt tilhører, og derudover kan it-systemanskaffelsestypen (se Bilag A) angives, dvs. om it-systemet er udviklet i egen organisation, er bestillingsudviklet (fx ved udbud) eller anskaffet som et kommercielt (Commercial-of-the-shelf, COTS) eller open source standardsystem.
Kommercielle produkter vil for eksempel ofte være beskrevet med metadata af producenten, som også kan indgå i SKI-25 ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of prac-tice for information security controls: https://www.iso.org/standard/54533.html26 Sikkerhedscirkulæret https://www.retsinformation.dk/eli/retsinfo/2014/10338
UDKAST til Standard for beskrivelse af it-systemer Side 26 af 67
kataloget, og dertil kan være tilknyttet særlige leverandørforhold. Standardsystemer kunne eventuelt yderligere opdeles i standardsystemer, som umiddelbart kan anvendes til et givet formål, og standardsystemer hvortil der er blevet udviklet lokale tilføjelser eller moduler.
For snitflader skelnes der mellem menneskelige snitflader (brugerinterfaces) og tekniske snitflader - også benævnt programmeringsinterfaces eller APIer (Application Programming Interface).
Det skal kunne angives gennem hvilke snitflader, et givet it-system udstiller og/eller anvender data. I forhold til tekniske snitflader eller Application Programming Interface (API) af typen RESTful APIs er publikationen ’Retningslinjer for webservices’27 under udarbejdelse, og denne er baseret på The Open API Specification28 og SMARTapi29.
En snitflade forsynes med en identifikator, der entydigt udpeger den konkrete snitflade, og derudover forsynes snitfladen med en betegnelse, beskrivelse og versionsnummer. Selve adgangspunktet, som anvendes ved interaktion med tekniske snitflader, angives med en URI og svarer til Smart API-elementet ’base path’. Det kan angives om en given snitflade har status som værende aktiv eller inaktiv. Det kan også være relevant at registrere, hvilken API-type der er tale om fx SOAP, REST.
Snitfladen kan opmærkes med personfølsomhedskategori, så det fremgår, om sammensætningen af de data snitfladen udstiller, indeholder følsomme personoplysninger eller almindelige personoplysninger, herunder personnummeroplysninger og oplysninger om strafbare forhold. Læs mere om klassifikationen Personfølsomhedskategori i det foregående afsnit om sikkerhed.
5.9 InfrastrukturDenne standard bidrager med overordnede oplysninger om it-systemers tekniske indretning og infrastruktur. Efterfølgende kan udvikles en udvidet beskrivelse af den generelle anvendelsesprofil for it-system, samt anvendelsesprofil for it-infrastruktur. Anvendelsesprofilen for it-infrastruktur forventes primært at fokusere på software, hardware og dataservices på 27 https://arkitektur.digst.dk/metoder/retningslinjer-webservices28 https://github.com/OAI/OpenAPI-Specification29 https://github.com/SmartAPI
UDKAST til Standard for beskrivelse af it-systemer Side 27 af 67
et generaliserende niveau, med mulighed for yderligere specialiseringer og udvidelser.
It-systemer kan være taget i anvendelse i forskellige miljøer iht. systemets udviklingsforløb30, fx udvikling, afprøvning, præproduktion, produktion, se klassifikationen it-miljøtype i Bilag A. I forhold til arkivering er kun instanser af it-systemer i produktion relevante.
I en myndigheds interne it-systemoverblik er det i forbindelse med drift relevant at beskrive de relationer, som it-systemer og dets applikationskomponenter har til fx specifikke softwareprodukter, hardwareprodukter, servere, databaser mv, men her ligger fokus på de oplysninger, der typisk udveksles, hvorfor disse infrastrukturoplysninger ikke indgår.
30 https://dltj.org/article/software-development-practice/
UDKAST til Standard for beskrivelse af it-systemer Side 28 af 67
6. Fælles datamodel og udvekslingsformat
Denne standard præsenterer et udvekslingsformat i to repræsentationer til deling af oplysninger om it-systemer.
6.1 Fælles datamodelStandardens bagvedliggende datamodel udgør den fælles specifikation, hvortil eksisterende it-systembeskrivelser kan mappes. Det er også ud fra denne datamodel, at det maskinfortolkelige format er blevet udviklet.
Der gives en overordnet beskrivelse af dennes indhold og sammensætning i bilaget ’Om datamodellen’. Her kan også ses to UML-diagrammer, for henholdsvis standardens generelle anvendelsesprofil og anvendelsesprofilen til indmelding til Rigsarkivet. UML-modellerne er udstillet og kan tilgås via en webbrowser, hvor det er muligt at klikke sig gennem modellen. Bemærk, at modelelementernes metadata er registreret som tagged values.
Link til webudgivelse af UML-modellerne: https://data.gov.dk/test/udkast/ITSystemAP_UDKAST/index.htm
Rapporten, der beskriver datamodellen (anvendelsesprofildokumentet) i detaljer, kan downloades via nedenstående link, og der findes også en oversigt oversigt over modellens elementer online.
Link til download af anvendelsesprofildokumentet: https://data.gov.dk/test/udkast/ITSystemAP_UDKAST/Anvendelsesprofil_for_beskrivelse_af_it-systemer.docx
Link til oversigt over modellens elementer: https://data.gov.dk/rdf2html/index.htm?model=http%3A%2F%2Fdata.gov.dk%2Fmodel%2Fprofile%2Fitsystemap.rdf&sheet=transform2RDFreport_da-en.xsl
6.2 Skabelon til registrering i regnearkDer er blevet udarbejdet en skabelon til registrering af oplysninger om it-systemer i et regneark. Overskrifterne vil
UDKAST til Standard for beskrivelse af it-systemer Side 29 af 67
svare til egenskaberne, som de er præsenteret i denne standard, og hver element vil entydigt kunne mappes til den bagvedliggende datamodel. Dette betyder også, at det vil være muligt fx at konvertere data eksporteret i csv-format til et maskinfortolkeligt format.
Regnearket har den fordel, at det er let at anvende, men regneark har også den store ulempe, at det ofte kræver manuel oprettelse og videre import. Det kan også være svært at repræsentere den kompleksitet, der faktisk kan være tilstede i den bagvedliggende datamodel. Eksempelvis kan et givet it-system godt skabe flere forskellige datasæt, som hver især kan dække forskellige periode og have forskellige dataansvarlige tilknyttet. I den aktuelle skabelon er det kun muligt at registrere ét datasæt per it-system. Et it-system kan også udstille flere forskellige datasæt, og disses id’er må registreres i samme felt, selvom dette ikke er ideelt.
I bilaget ’Skabelon til registrering i regneark’ kan ses en visning af et sådant regneark, men det kan også downloades fra:
https://data.gov.dk/test/udkast/ITSystemAP_UDKAST/Excelformular_til_indtastning_af_it-systemoplysninger.xlsx
6.3 Maskinfortolkeligt format Hvis data skal deles på tværs – bør det være digitalt understøttet i de systemer, der anvendes til registrering af systemoplysninger. Systemerne bør bygge på samme logik og standard, så systemerne er i stand til at udveksle data om it-systemer på tværs af organisatoriske skel. Det kan lade sig gøre, hvis data er maskinfortolkelige. Datamodellen er derfor udtrykt med UML med en bagvedliggende semantik med Resource Description Framework (RDF), der kan fortolkes af både mennesker og maskiner. Alle elementerne i datamodellen er derfor defineret inden for rammerne af RDF og har entydig identifikation, der kan anvendes direkte som metadatabeskrivelse af data. Data udtrykt med det maskinlæsbare udvekslingsformat kan også let valideres op i mod den bagvedliggende datamodel og dermed sikre højere datakvalitet i de registrerede data.
Eksempeldata i maskinlæsbart format (RDF/XML) kan ses i bilag E. Bemærk, at der også umiddelbart kan konverteres til andre serialiseringer såsom JSON-LD, Turtle, m.fl.
UDKAST til Standard for beskrivelse af it-systemer Side 30 af 67
7. Mapning til eksisterende modeller
Som baggrund for udviklingen af denne standard er eksisterede modeller og værktøjsunderstøttelse til registrering af it-systemer blevet undersøgt.
I dette kapitel præsenteres en mapning til en række eksisterende modeller herunder bl.a. Kommunernes IT OverbliksSystem (OS2Kitos), Model for porteføljestyring af statslige it-systemer, Statens It Systemkort samt udvalgte oplysningstyper fra Rigsarkivets anmeldelses- og tilsynskemaer.
Terminologien og begreberne, som de optræder i de forskellige modeller, afspejler typisk den formelle ramme, som har dannet grundlag for modellen, og det formål, modellen er udarbejdet til.
Eksempelvis anvender Rigsarkivets anmeldelses- og tilsynsskema termer og begreber omkring (databærende) it-systemer, som de optræder i de relevante bekendtgørelser ift. arkiveirng. Det statslige it-systemportefølgeoverblik tager afsæt i Strategi for it-styring i staten og har fokus på samfundskritiske og forretningskritiske it-systemer. Statens-it har udarbejdet en indberetningsformular for it-systemer i forbindelse med ”etablering af nye løsninger”, der skal driftes af Statens IT, og i deres CMDB-system betragtes hele it-systemer som business services. I forhold til arkitekturbeskrivelse anvendes ofte betegnelse applikationskomponent fra TOGAF/ArchiMate om it-systemet som hele samt de komponenter, der indgår deri.
Flere af de eksisterende modeller indeholder oplysninger til beskrivelse af it-systemer. Derudover har flere af dem en række oplysninger, som er specifikke for netop det anvendelsesformål, de hver især løfter.
Der er ikke hensigten, at denne standard som udgangspunkt skal kunne rumme alle disse specifikke oplysninger, men centrale oplysningstyper er blevet udvalgt med baggrund i standardens forventede anvendelse som beskrevet i Kapitel 2. Flere af de eksisterende modeller indeholder mange af de samme begreber eller oplysningstyper, selvom de ikke nødvendigvis er blevet kaldt det samme. Termerne varierer, og med denne standard gives et bud på foretrukne samt accepterede termer.
UDKAST til Standard for beskrivelse af it-systemer Side 31 af 67
Oplysningstyperne i denne standard er mappet eller gennemgået ift. til følgende modeller.
Udkast til mapningskema i form at et regneark kan downloades her:https://data.gov.dk/test/udkast/ITSystemAP_UDKAST/Mapning_it-system_oplysninger.xlsx
Rigsarkivets anmeldelses- og tilsynsskemaerSkemaer vedr. statslige myndigheders, kommuner og regioners bevaring, kassation og aflevering af arkivalier https://www.sa.dk/da/offentlig-forvaltning/ (her mappes til egenskaber udvalgt af Rigsarkivet)
Datatilsynets vejledning om fortegnelse jf. GDPR.Datatilsynet har offentliggjort en skabelon for en databehandleraftale, der lever op til persondataforordningens minimumskrav. – Datatilsynet 2018https://www.datatilsynet.dk/media/6567/fortegnelse.pdf
Kommunernes IT OverbliksSystem (OS2Kitos)OS2Kitos er en cloud-baseret løsning, der anvendes af 78 kommuner. OS2Kitos skaber overblik over den samlede kommunale it-portefølje. OS2Kitos består af 5 moduler: IT understøttelse af organisation, IT Projekter, IT Systemer, IT Kontrakter og IT Rapporter. – OS2Kitos Sekretariatet 2018https://www.kitos.dk, https://github.com/os2kitos/kitos
Model for porteføljestyring af statslige it-systemer Regeringen har i efteråret 2017 ved ”Et solidt it-fundament – Strategi for it-styring i staten” indført en ny model for porteføljestyring af statslige it-systemer. - Ministeriernes kontor for it-styring 2017https://digst.dk/styring/systemstyring/model-for-portefoeljestyring-af-statslige-it-systemer/ (her mappes til udvalgte egenskaber fra Datagrundlag v2.0)
Specifikation af Model for Organisation Version 2.0 Formålet med Organisationsmodellen er at tilbyde et fælles sprog for beskrivelse af formelle organer og de elementer, som indgår heri. https://arkitektur.digst.dk/sites/default/files/organisationsmodellen_version_2.0.pdf - OIO 2017 (revideret 2018):(her mappes til egenskaber fra kapitlet It-system samt implementering ved støttesystemerne KOSDY 2.0)
UDKAST til Standard for beskrivelse af it-systemer Side 32 af 67
KOMBIT IT-system-overblik Et overblik over de it-systemer der udvikles/forvaltes under kontrakt med KOMBIT, samt systemer der berører disse. KOMBITs systemoverblik er logisk set en delmængde af OS2Kitos.(Datamodel ikke offentligt tilgængelig, modtaget på mail - mapning undersøges>
Systemindberetningsformular (Systemkort ServiceNow)– IT systemerVed etablering og installation af nye løsninger hos Statens-It sender myndigheden oplysninger om it-systemet til Statens-IT via en systemindberetningsformular (ServiceNow Systemkort). – Statens-IT 2018:(materiale ikke tilgængelig online men modtaget på mail)
SKI-katalogetStaten og Kommunernes Indkøbsservice (SKI) laver indkøbsaftaler, der samler indkøb på tværs af det offentlige og afløfter udbudspligten, og via SKI-kataloget udstilles oplysninger om hardware- og softwareprodukter – SKI 2018https://skikataloget.ski.dk/ski-kataloget/
Configuration Management DataBase (CMDB) /IT Service Management (ITSM)Datamodeller for eksempelvis ServiceNow og BMC er overordnet blevet undersøgt for genbrugelige elementer.
Arkitekturdokumentation, TOGAF-ArchiMate Archimate er en international notationsstandard på enterprise arkitekturniveau, som er optaget som en åben standard under The Open Group. Der indgår forskellige såkaldte lag, hvor applikationslaget (Application Layer) anvendes til at modellere en organisations informationssystemarkitekturer, som det defineres i TOGAF-rammeværket Archimate.
Den overordnede mapning går her ikke på egenskaberne, men på klasserne. Det primære element i applikationslaget (Application Layer) er applikationskomponenten. Dette element anvendes til både at modellere hele it-systemer og de komponenter, der indgår i deri. Standardens ’datasæt’ kan mappes til ArchiMates ’dataobjekt’, og ’snitflade’ kan mappes til ’application interface’.
Fællesoffentlig Digital Arkitektur I den Fællesoffentlige Digitale Arkitektur (FDA) indgår grundlæggende arkitekturperspektiver, som udgør de
UDKAST til Standard for beskrivelse af it-systemer Side 33 af 67
tematiske emneområder og kapitler i denne standard. Dog er der pt. ikke medtaget oplysningstyper under perspektivet ’Strategi’.
UDKAST til Standard for beskrivelse af it-systemer Side 34 af 67
8. Perspektiver
I dette kapitel beskrives øvrige perspektiver ved anvendelsen af standarden.
8.1 Rigsarkivets interesse i it-systemer Rigsarkivet vil anvende standarden i forbindelse med tilsyn med offentlige myndigheders it-systemer. Det betyder, at myndighederne ved at opmærke deres systemer med oplysningerne fra standarden vil få nemmere ved at besvare et tilsyn og kan få et overblik, hvilke it-systemer hos dem som indeholder bevaringsværdige data. Det gør det lettere at sikre, at de arkivmæssige forpligtelser overholdes.
En udfordring for brug af standarden og for afgivelse af oplysninger er de tilfælde, hvor et it-system ikke bruges, som det er tiltænkt. Det kan både medføre, at et system, som normalt vil skulle bevares, alligevel ikke indeholder bevaringsværdige data, men også betyde, at et system, som normalt ikke skal arkiveres, vil indeholde bevaringspligtige data. Med standarden kan det registreres, hvilke typer af oplysninger der indgår i systemerne, hvorved det er muligt at identificere bevaringspligtige data.
8.2 Registreringsopgaven hos myndighederne Den offentlige sektor har mange administrative registreringsopgaver. Nye registreringsopgaver bør derfor kun indføres efter afvejning af værdi kontra administrativ byrde/tidsforbrug.
Det gælder også de registreringsopgaver, som er afledt af dette af denne standard.
Standarden kan minimere tidsforbruget, hvis beskrivelsesopgaven bliver en del af projekt/proces omkring anskaffelse af nye it-systemer, og flettes ind i allerede eksisterende registreringer af it-systemer, fremfor at der etableres en ny separat registreringsopgave. Det vil endvidere højne sandsynligheden for, at beskrivelse og systemoversigt vedligeholdes på sigt.
UDKAST til Standard for beskrivelse af it-systemer Side 35 af 67
Kommunerne registrerer i stadig større omfang deres væsentlige it-systemer i OS2Kitos-databasen. Det er ofte større databærende systemer, der registreres. Registreringerne i OS2Kitos anvendes også i GDPR-sammenhæng, og har umiddelbart allerede i dag en karakter, som ikke ligger fjernt fra de registreringer, der arbejdes med standarden (basisinfo, aktøroplysninger, klassifikationstyper mv).
Regionerne har ikke en tilsvarende tværregional registrering. I regionerne er tendensen, at de systematiske og vedligeholdte registreringer foregår i regionale databaser opbygget som driftsdokumentation for it-systemer.
Registreringerne foregår af teknisk-driftsmæssige grunde, og har typisk en karakter, som ligger længere væk fra de registreringer, der arbejdes med i standarden (Der registreres serveroplysninger, SLA, tekniske afhængigheder, osv. og ikke klassifikation, sikkerhedsoplysninger etc som der arbejdes med i projektet). Derudover registreres typisk alle applikationer, og altså ikke kun de større databærende systemer (dvs. både Adobe, Pexip videokonference o.lign, men også røntgensystemer, patientjournalsystemer, ESDH, kvalitetsdatabaser o. lign).
Værdi af registreringsarbejdet må stå mål med forbrugt arbejdstid, og det må være udgangspunktet for overvejelser om, hvordan registreringsopgaver afledt af standarden skal håndteres hos myndigheden: inkorporering i eksisterende registreringer, etablering af separate registreringer eller evt. en mellemting, hvor separate registreringer etableres som subset af eksisterende, med synkronisering af oplysninger til/fra eksisterende registreringer.
Ift. det noget længere perspektiv er det en mulighed, at der aftales en økonomi mellem parterne, så de registrerede oplysninger via en websnitflade kan trækkes ud til Rigsarkivets "tilsynssystem" (og Datatilsynets tilsynssystem ift GDPR), hvis it-systemerne er opmærket med de oplysningstyper, som standarden definerer. Så vil Rigsarkivet (og Datatilsynet mfl) få det bedre og smidigere overblik, som de som tilsynsmyndighed efterlyser.
UDKAST til Standard for beskrivelse af it-systemer Side 36 af 67
8.3 Potentialet i sammenhængende data på tværsStandarden giver offentlige myndigheder et fælles sprog til at beskrive it-systemer med samt mulighed for at definere et standardiseret udvekslingsformat for disse oplysninger.
Den model og det fælles sprog, standarden definerer, kan danne grundlag for oprettelse af oversigtssystemer omkring den enkelte myndigheds it-systemer. Fra disse oversigtssystemer kan myndigheden udtrække forskellige rapporter til opfyldelse af forskellige indmeldingsforpligtelser og –krav.
Med en standardiseret model og format vil myndigheder også kunne dele informationer på tværs. Denne deling kan eksempelvis ske i form af et fælles it-systemregister, hvor myndigheder kan finde informationer om it-systemer samt svar på en række spørgsmål som:
o Hvilke andre myndigheder anvender system X?o Hvor mange it-systemer har borgere som
målgruppe?o Hvilke it-systemer understøtter myndighedernes
interne it-udvikling (FORM-opgave)?o Hvilke databærende it-systemer skaber og eventuelt
udstiller datasæt, der skal registreres i et fællesoffentligt datasætkatalog?
o Hvilke system-til-system integrationer findes der, og kan de kritiske afhængigheder identificeres?
o Hvilke it-systemer indeholder fortrolige eller personfølsomme data?
UDKAST til Standard for beskrivelse af it-systemer Side 37 af 67
9. ReferencerStandarder
ISO/IEC CD 15288 “Systems Engineering— System Life Cycle Processes” ISO/IEC 16350:2015(en) Information technology — Systems and software
engineering — Application management ISO/IEC TR 10000-1:1998(en) “Information technology — Framework and
taxonomy of International Standardized Profiles — Part 1: General princi-ples and documentation framework”
ISO/IEC TR 12182:2015 “Systems and software engineering -- Framework for categorization of IT systems and software, and guide for applying it”
ISO/IEC/IEEE 42010 “Systems and software engineering — Architecture description “
ISO/IEC/IEEE DIS “42020 Enterprise, systems and software — Architec-ture processes”
ISO/IEC/IEEE DIS 42030 “Systems and Software Engineering — Architec-ture Evaluation”
ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security controls: https://www.iso.org/stan-dard/54533.html
ITIL - The Information Technology Infrastructure Library The TOGAF® Standard, Version 9.2, https://publications.opengroup.org/
standards/togaf/specifications/c182 ArchiMate® 3.0.1 Specification https://publications.opengroup.org/stan-
dards/archimate/c179
Datamodeller / klassifikationer / retningslinjer
Datamodellen for OS2Kitos (inkl. klassifikation af applikationstyper og forretningstyper)
OIO specifikation af it-system i modellen for Organisation KMD KOSDY-datamodel) Datamodellen for ServiceNow (IT Service Management-delen) /ITILs
(CMDB) Statens-IT systemkort Datamodellen for BMC Retningslinjer for dokumentation og formidling af arkitektur i
digitaliseringsprojekter. (baseret på ISO) Fællesoffentlig Referencemodel (FORM),
https://arkitektur.digst.dk/rammearkitektur/klassifikationer/form Kommunernes Emnesystematik (KLE) Service- og Teknologireferencemodel (STORM) KOMBIT Rollegalleri:
https://www.kombit.dk/sites/default/files/user_upload/documents/Videnscenter/Eksempel%20fra%20KOMBIT_Rollegalleri%20implementering.pdf
Referencearkitektur for deling af data og dokumenter:
UDKAST til Standard for beskrivelse af it-systemer Side 38 af 67
https://arkitektur.digst.dk/sites/default/files/20180503_rad_v1.0_-_godkendt_af_sda.pdf
Lovgrundlag og tilhørende vejledninger:
Bekendtgørelse nr. 183 af 26. januar 2018 om bevaring og kassation af digitalt skabte data og dokumenter https://www.retsinformation.dk/eli/lta/2018/183
Bekendtgørelse nr. 266 af 23. marts 2015 om bevaring og kassation af arkivalier i regionernehttps://www.retsinformation.dk/eli/lta/2015/266
Vejledning til bekendtgørelse om bevaring og kassation af digitalt skabte data og dokumenter fra kommunernehttps://www.sa.dk/wp-content/uploads/2018/04/2007_IT_Vejledning-til-bekendtg%C3%B8relse_h%C3%B8ring-1.pdf
Vejledning om bevaring og kassation af arkivalier hos regionernehttps://www.sa.dk/wp-content/uploads/2015/06/Vejledning-til-regionsbekendtg%C3%B8relsen_juni-2015.pdf
Bekendtgørelse nr. 1007 af 20. august 2010 om arkiveringsversioner https://www.retsinformation.dk/eli/lta/2010/1007
Vejledning om kvalitetssikring i it-systemer – Rigsarkivets minimumskrav og anbefalingerhttps://www.sa.dk/wp-content/uploads/2016/02/Vejledning-om-kvalitetssikring.pdf
Arkivhåndbog for statslige myndigheder https://www.kbharkiv.dk/images/files/Arkivering/Arkivhandbogen.pdf Datatilsynets ’Vejledning om fortegnelse’
https://www.datatilsynet.dk/media/6567/fortegnelse.pdf Sikkerhedscirkulæret (Cirkulære om sikkerhedsbeskyttelse af
informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelsesinteresse i øvrigt) https://www.retsinformation.dk/eli/retsinfo/2014/10338
Databeskyttelsesloven (Lov om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger ) https://www.retsinformation.dk/eli/lta/2018/502
GDPR (generel forordning om databeskyttelse): https://eur-lex.europa.eu/legal-content/DA/TXT/HTML/?uri=CELEX:32016R0679&from=EN
UDKAST til Standard for beskrivelse af it-systemer Side 39 af 67
UDKAST til Standard for beskrivelse af it-systemer Side 40 af 67
10. Bilag
Bilag A: Overblik over relevante klassifikationer
class Overview of classifications for IT System AP (view 2)
(it-system)sys:ITSystem
(kritikalitetstype)CriticalityType
(anskaffelsestype)ITSystemAquisitionType
(arkiveringspligttype)ArchivalObligationType
(personoplysningskategori)PersonalDataCategory
(målgruppe)TargetGroup
(kommercielt standardsystem)Commercial-off-the-shelf
(egenudviklet)InHouseDevelopment
(bestillingsudviklet)OrderedDevelopment
(FORMopgave)FORMtask
(KLE-emne)KLETheme
(samfundskritisk)CriticalForSociety
(forretningskritisk)CriticalForBusiness
(ikke kritisk)NotCritical
(region)Region
(miljøtype)EnvironmentType (afprøvning)
Testing
(udvikling)Development
(præproduktion)Staging
(produktion)Production
(bevaring)Archival
(kassation)Disposal
(ved ikke)Unknown
(almindelige personoplysninger)GeneralPersonalData
(oplysninger om strafbare forhold)DataAboutCriminalOffences
(følsomme personoplysninger)SensitivePersonalData
(registertype)RegisterType
(indeholder dokumenter)ContainsDocuments
(indeholder ikke dokumenter)DoesNotContainDocuments
(datasæt)dcat:Dataset
(sagsområde )CaseArea
(forvaltningsopgavetype )PublicAdministrativeTaskType
(produktserie)comp:ProductSeries
(open source standardsystem)Open source
FORM-online
KLE-online
(arkiveringsversionsperiodetype)ArchiveType
(arkiveringsfrekvens)ArchivalFrequencyType
(arkivinstitutionstype)ArchiveOrganisationType
(offentlig organisationstype)PublicOrganizationType
(offentlig selvejende institution)SelfGoverningInstitution
(kommune)Municipality
(statslig administrativ enhed)GovermentalAdministrativeUnit
(fortrolighedsgrad)ConfidentialityType
(fortrolighedsgrad iht. ISO27002)ConfidentialityTypeISO27002
(fortrolighedsgrad iht.sikkerhedscirkulære)ConfidentialityTypeNatoEu
(afsluttede sager og dokumenter)ClosedCasesAndDocuments
(øjebliksbillede)Snapshot
(afgrænset periode)SpecificPeriod
(datakonverteringsstatus)DataConversionStatus
(organisation)org:Organization
(ekstern målgruppe)external target group
(internal target group)internal target group
(personnummeroplysninger)CivilRegistrationNumberData
(ingen personoplysninger)NoPersonalData
(træning)Training
(demonstration)Demonstration
(disaster recovery)DisasterRecovery
(datakonvertering)archv:DataConversion
(type)rdf:type
(type)rdf:type
(type)rdf:type
0..*
(har anvendelsesformål)sys:hasApplicationPurpose
0..*
(type)rdf:type
(type)rdf:type
(type)rdf:type
0..*
(instans af produkt i serie)comp:instanceOfProductInSeries
0..1
0..*
(arkiveringsregistertype)archivalRegisterType 0..1
(type)rdf:type
0..1
(blev dannet ved)prov:wasGeneratedBy
0..1
0..*
(har målgruppe)sys:hasTargetGroup
0..*
0..*(personoplysningskategori)
dcat-dk:personalDataCategory
0..1
(type)rdf:type
0..1
(skaber datasæt)sys:producesDataset
0..*
(type)rdf:type
(type)rdf:type
0..*
(har kritikalitet)sys:hasCriticality
0..1
0..*
(organisationens formål)ovx:purpose
0..*
0..*
(klassificeres som)org:classification
0..1
(type)rdf:type
0..*
(anvendt i organisation)sys:usedInOrganization
0..*
(type)rdf:type
0..*
(planlagt arkiveringsfrekvens)archv:plannedArchivalFrequency
0..1
(type)rdf:type
(type)rdf:type
(type)rdf:type
0..*
(har kapabilitet til at understøtte formål)sys:hasCapabilityForPurpose
0..*
0..*
(it-systemejer)sys:hasITSystemOwner
0..1
0..*
(plaglagt arkiveringsperiodetype)archv:plannedArchiveType
0..*
rdf:type
(type)rdf:type
(type)rdf:type
(datakonverteringsstatus)archv:dataConversionStatus
0..1
0..*
(har anskaffelsestype)sys:hasAquisitionType
0..1
0..*
(har arkiveringspligttype)archv:archivalObligationType
0..1
(type)rdf:type
0..*
(sagsområde)archv:caseArea
0..*
(personoplysningskategori )dcat-dk:personalDataCategory
(type)rdf:type
0..*
(fungerer som)sys:actsAs
1
0..*
(fortrolighedsgrad)dcat-dk:confidentialityType
0..1
0..*
(tilknyttet arkivorganisationstype)archv:associatedArchiveOrganisationType
0..1
(type)rdf:type
(type)rdf:type
UDKAST til Standard for beskrivelse af it-systemer Side 41 af 67
Klassifikation KLE:Se klassifikationen her: http://www.kle-online.dk/soegning
Klassifikation FORM: Se klassifikationen her: http://www.form-online.dk/soegning Se de overordnede emner herunder:
FORM SERVICEOMÅRDER KLE EMNEOMRÅDER
2 Internationale aftaler 0 Kommunens styrelse
3 Udenrigstjeneste 1 Fysisk planlægning og naturbeskyttelse
5 Samfundsstruktur 2 Byggeri
6 Samfundsøkonomi, samfundsdigitalisering og statistik 3 Boliger
8 Borgerskab 4 Parker, fritids-/idrætsanlæg og landskabspleje mv.
10 Uddannelse og undervisning 5 Veje og trafik
12 Forskning 6 Spildevand og vandløb
14 Arbejdsmarked 7 Affald og genanvendelse
16 Kultur 8 Havne og lufthavne
17 Fritid og idræt 9 Miljøbeskyttelse
18 Kirke 13 Forsyning
20 Sundhed 14 Beredskab
24 Dagtilbud 15 Arbejdsmarked og beskæftigelsesindsats
26 Social service og omsorg 17 Folkeskoleundervisning
30 Skatter og afgifter 18 Folkeoplysning og ungdomsskoler
34 Erhverv 19 Kulturhistoriske institutioner
37 Miljø 20 Kulturvirksomhed
38 Natur og klima 21 Biblioteker
40 Politi 22 Regulering af private erhverv
42 Retspleje og domstole 23 Borgerlige forhold
44 Straffuldbyrdelse 24 Erhvervsforhold
46 Forsvar 25 Beskatning
47 Redningsberedskab 27 Social service
52 Fysisk planlægning og geodata 28 Dagtilbud
54 Ejendomme og byggeri 29 Sundhed
56 Energi- og vandforsyning 30 Andre myndigheders opgaver
58 Trafikinfrastruktur 32 Kontante ydelser
59 Trafik og transport 54 Uddannelse
60 Myndighedens personale og frivillige 81 Kommunens personale
62 Myndighedens bygninger og arealer 82 Kommunens ejendomme og lokaler
63 Myndighedens driftsmateriel, varer og tjenesteydelser 83 Kommunens driftsmidler og inventar
65 Myndighedens kommunikation og dokumentation 84 Offentlige valg
67 Myndighedens økonomi 85 Kommunens administrative systemer
68 Myndighedens it 86 Kommunens selvforsyning og fremstillingsvirksomhed
87 Kommunens arbejdsmiljø
88 Kommunens indkøb og udbud
UDKAST til Standard for beskrivelse af it-systemer Side 42 af 67
Klassifikation Sagsområde:Klassifikation efter sagsområde i henhold til 'Bekendtgørelse om bevaring og kassation af digitalt skabte data og dokumenter fra kommunerne' og 'Bekendtgørelse om bevaring og kassation af arkivalier i regionerne' 31
Forretningsområde: http://www.form-online.dk/opgavenoegle/65/#65.50.05.10 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2003/591 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2015/266 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2018/183Kilde: https://www.sa.dk/da/offentlig-forvaltning/kommuner-og-regioner/bevaring-kassation-it-systemer/
Administrative systemer o ESDH-systemer med journalsager (kommune og region)o Elektroniske journaler (kommune og region)o Elektroniske sagshenvisnings- og advissystemer
(kommune) Systemer på økonomiområdet
o Økonomisystemer (kommune og region) Systemer på social- og sundhedsområdet
o ESDH-systemer med personsager (kommune)o Daginstitutions- og børnepasningssystemer (kommune)o Omsorgssystemer (kommune)o Systemer vedr. institutioner for handicappede herunder
døgninstitutioner, klientsystemer (kommune og region)
o Systemer vedr. social- og psykiatribehandling herunder døgninstitutioner, klientsystemer (kommune og region)
o Systemer vedr. forebyggelse og genoptræning (kommune)o Sundhedsplejesystemer (kommune)o Systemer vedr. misbrugsbehandling (kommune)
Systemer på miljø- og teknikområdet (kommune)o ESDH-systemer med byggesager (kommune) o ESDH-systemer med sager vedr. miljøgodkendelser og
miljøtilsyn (kommune) Systemer på undervisningsområdet
o Elevadministrationssystemer (kommune og region)o Systemer vedr. specialundervisning (kommune)o PPR-systemer (kommune)
Byggeprojektstyringssystemero Byggeprojektstyringssystemer (kommune og region)
Systemer på social- og psykiatriområdeto Elektroniske patientjournaler, der ikke indberetter til den fælles
E-journal SUP (region). o Forskningsdata (region)o Kliniske kvalitetsdatabaser (region)
Systemer på natur- og miljøområdet31 Der er taget udgangspunkt i gældende lovgivning. Der kan ske udvidelse og ændringer, hvis lovgivningen ændrer sig.
UDKAST til Standard for beskrivelse af it-systemer Side 43 af 67
o Jordforureningssystemer, der ikke indberetter til et overordnet statsligt it-system (region)
Klassifikationen Offentlig organisationstype: Klassifikation af offentlige organisationer i forhold til styring og forvaltning i dansk administrativ og fællesoffentlig kontekstForretningsområde: http://www.form-online.dk/opgavenoegle/05/#05.05 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2019/47 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2017/319 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2006/653 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2014/433
Foretrukken term Definition
kommune mindste offentlige forvaltningsenhed der styres af en kommunalbestyrelse som bekendtgjort i kommunebestyrelsesloven
region regional forvaltningsenhed der styres af et regionsråd og som er bekendtgjort i regionsloven
statslig myndighed statslig forvaltningsenhed som administrerer lovgivning eller forvaltning af et bestemt område
offentlig selvejende institution
selvejende institutioner, foreninger, fonde m.v., der1) er oprettet ved lov eller i henhold til lov, og2) er oprettet på privatretligt grundlag, og som udøver offentlig virksomhed af mere omfattende karakter og er undergivet intensiv offentlig regulering, intensivt offentlig tilsyn og intensiv offentlig kontrol
Klassifikation: KritikalitetstypeKlassifikation efter, hvorvidt et it-systems anvendelse er forretningskritisk, samfundskritisk eller ikke kritiskForretningsområde: http://www.form-online.dk/opgavenoegle/#68.55.15.15 Kilde: https://digst.dk/styring/systemstyring/model-for-portefoeljestyring-af-statslige-it-systemer/
Foretrukken term Definitionforretningskritisk it-system, hvor driftsforstyrrelser kan medføre, at størstedelen af myndighedens
medarbejdere ikke kan arbejde, eller at myndigheden vanskeligt kan overholde sine forvaltningsmæssige forpligtelser.
samfundskritisk it-system, hvor større driftsforstyrrelser resulterer i væsentlige udfordringer for samfundet som helhed i form af økonomiske tab hos stat, virksomheder eller borgere, større misbrug af personfølsomme data og rettigheder, længerevarende nedbrud af kritisk infrastruktur eller reelle trusler for den nationale sikkerhed
ikke kritisk it-system, hvor større driftsforstyrrelser ikke resulterer i væsentlige udfordringer for samfundet eller for myndighedens forvaltningsmæssige forpligtelser
Klassifikationen It-systemmålgruppe: Klassifikation efter gruppe af brugere, som et givet it-system henvender sig tilForretningsområde: http://www.form-online.dk/opgavenoegle/68/
Foretrukken term Definitionborgere ekstern målgruppe, som udgøres af borgerevirksomheder ekstern målgruppe, som udgøres af virksomhederandre myndigheder ekstern målgruppe, som udgøres af andre myndighederekstern API-anvender ekstern målgruppe, som udgøres af eksterne it-systemer, som anvender et APImyndighedens medarbejdere internt
intern målgruppe, som udgøres af myndighedens egne medarbejdere
UDKAST til Standard for beskrivelse af it-systemer Side 44 af 67
specifikke medarbejderroller internt
intern målgruppe, som udgøres af specifikke medarbejderroller i en myndighed
intern API-anvender intern målgruppe, som udgøres af interne it-systemer, som anvender et API
Klassifikation: ArkiveringspligttypeKlassifikation efter hvorvidt det kan angives om data skal bevares eller kasseres iht. gældende arkiveringsbestemmelserForretningsområde: http://www.form-online.dk/opgavenoegle/65/#65.50.05 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2016/1201
Foretrukken term Definitionbevaring arkiveringspligt til at sikre bevaringen af arkivalier, der har historisk værdi eller
tjener til dokumentation af forhold af væsentlig administrativ eller retlig betydning for borgere og myndigheder iht. gældende arkiveringsbestemmelser
kassation arkiveringspligt til at kassere ikkebevaringsværdige offentlige arkivalier iht. gældende arkiveringsbestemmelser
ved ikke angivelse af, at arkiveringspligten er ukendt
Klassifikation: ArkiveringsversionsperiodetypeKlassifikation efter hvorvidt data i et it-system afleveres som et øjebliksbillede, en afgrænset periode eller ved afsluttet arkivperiode Forretningsområde: http://www.form-online.dk/opgavenoegle/65/#65.50.05Juridisk kilde: https://www.retsinformation.dk/eli/lta/2010/1007
Foretrukken term Definitionafgrænset periode Arkiveringsversion, der indeholder data fra en afgrænset periode, hvor der ikke
længere rettes i eller tilføjes data
øjebliksbilledeArkiveringsversion, der indeholder samtlige bevaringsværdige data og eventuelle dokumenter på et bestemt tidspunkt
afsluttede sager og dokumenter
Arkiveringsversion, der indeholder afsluttede sager og dokumenter
Klassifikation: ArkivinstitutionstypeKlassifikation af offentlige institutioner, der har til opgave at bevare arkivalierForretningsområde: http://www.form-online.dk/opgavenoegle/65/#65.50.05.10 Juridisk kilde: https://www.retsinformation.dk/eli/lta/2016/1201 Kilde: https://ec.europa.eu/isa2/sites/isa/files/isa2_action_2017_01_standard_based_archival_data_manage-ment_final_report_v1.00.pdf
Foretrukken term Definitionstadsarkiv arkivinstitution oprettet af kommune eller regionrigsarkiv statslig arkivinstitution, som bistår myndigheder omfattet af arkivloven i arkivmæssig
henseende
Klassifikation: Konverteringsstatusklassifikation af status ift. omfanget af et (manuelt eller automatisk) datakonverterings- og import forløb Forretningsområde: http://www.form-online.dk/opgavenoegle/65/#65.50.05Kilde: https://www.sa.dk/da/offentlig-forvaltning/
Foretrukken term Definitionalle konverteret ind alle data konverteret og importeretudvalgte data konverteret ind udvalgte data konverteret og importeretukendt omfang af import data er konverteret og importeret, men omfanget er ukendt
UDKAST til Standard for beskrivelse af it-systemer Side 45 af 67
Klassifikation: It-systemdokumentationstype Klassifikation af it-systemdokumentation ift. formålKilde: https://arkitektur.digst.dk/rammearkitektur
Foretrukken term Definitionarkitekturdokumentation Beskrivelse, som udtrykker en arkitekturinstallationsvejledning <definition udestår>administratorvejledning <definition udestår>slutbrugervejledning <definition udestår>
Klassifikation: It-kontrakttyperKlassifikation af it-kontrakter direkte relevante for it-systemers udvikling, vedligehold, drift og support. Forretningsområde: http://www.form-online.dk/opgavenoegle/68/#68.55.15 Kilde: https://digst.dk/styring/systemstyring/dokumenter-vejledninger-og-vaerktoejer/ Kilde: https://www.fm.dk/~/media/files/nyheder/pressemeddelelser/2018/10/kommunerne-kan-frigoere-ressourcer-til-velfaerd/5-inspirationskatalog.ashx?la=da
Foretrukken term Definitionudviklingskontrakt it-kontrakt, som omfatter udvikling af software, inklusive større tilpasninger af
standardsystemer og udviklingsopgaver defineret som leveranceprojektervedligeholdelseskontrakt it-kontrakt, som omfatter vedligeholdelse af softwaredriftskontrakt it-kontrakt, som omfatter driftsydelser f.eks. serverdriftsupportkontrakt it-kontrakt, som omfatter supportydelser udover alm. applikationsvedligeholdlicensaftale it-kontrakt, som omfatter køb eller leje af softwarelicenser inkl. løbende abonnement
ifm. standardsoftware
Klassifikationen It-systemanskaffelsesstypeklassifikation efter hvorledes et it-system er blevet anskaffet, herunder om det er udviklet i egen organisation, bestillingsudviklet (fx ved udbud) eller er anskaffet som et kommercielt (Commercial-of-the-shelf, COTS) eller open source standardsystem.Forretningsområde: http://www.form-online.dk/opgavenoegle/68/#68.55.15 Kilde: https://docs.servicenow.com/bundle/london-it-business-management/page/product/application-portfolio-management/task/manage-business-appln.html
Foretrukken term Definitionspecialudviklet in-house udviklet i egen organisationspecialudviklet ved bestilling udviklet af eksterne leverandører på baggrund af bestillingkommercielt standardsystem anskaffet som kommercielt standardsystemopen-source standardsystem anskaffet som open source standardsystem
Klassifikationen It-miljøtypeKlassifikation efter miljø som et it-system kan ibrugtages iForretningsområde: http://www.form-online.dk/opgavenoegle/68/#68.55.15 Kilde: https://en.wikipedia.org/wiki/Deployment_environment Kilde: Statens-it SystemkortKilde: http://priocept.com/2018/01/30/software-environment-naming/Kilde: https://docs.microsoft.com/en-us/biztalk/technical-guides/planning-the-development-testing-staging-and-production-environments
Foretrukken term Definitiondemonstration miljø, der anvendes til at præsentere udviklingsmuligheder som et proof-of-conceptudvikling miljø, hvor den initiale softwareudvikling finder stedtest miljø, der anvendes til afprøvning og kvalitetssikring af ny eller opdateret kode
UDKAST til Standard for beskrivelse af it-systemer Side 46 af 67
præproduktion miljø, der anvendes til sidste test inden ibrugtagning i det miljøet præcist afspejler det endelige produktionsmiljø
produktion miljø, hvor it-systemet går live og kan anvendes af slutbrugernedisaster recovery miljø, som er et spejl af produktionsmiljøet, og som anvendes ifm. systemgendannelsetræning miljø, der alene anvendes til oplæring af brugere af it-system
Klassifikationen Operationel statusKlassifikation af tilstande et it-system kan have i forhold til ibrugtagningForretningsområde: http://www.form-online.dk/opgavenoegle/68/#68.55.15 Kilde: https://www.hci-itil.com/ITIL_v3/books/3_service_transition/service_transition_ch4_3.htmlKilde: Statens-it Systemkort
Foretrukken term Definitiondelvist ibrugtaget tilstand, hvor it-system er under opbygning, men allerede delvist ibrugtagetfuldt ibrugtaget tilstand, hvor it-systemet er i anvendelseudfaset tilstand, hvor it-systemet ikke længere anvendes
Klassifikation: PersonoplysningskategoriKlassifikation efter personoplysningers følsomhed idet der gælder forskellige betingelser og procedurer for behandling af oplysningerne Forretningsområde: http://www.form-online.dk/opgavenoegle/05/#05.05.12.60 Juridisk kilde: http://data.europa.eu/eli/reg/2016/679/oj Juridisk kilde: https://www.retsinformation.dk/eli/lta/2018/502 Kilde: https://www.datatilsynet.dk/media/6567/fortegnelse.pdf Kommentar: De følsomme oplysninger er udtømmende oplistet i databeskyttelsesforordningen, og alle andre oplysninger er derfor almindelige personoplysninger. Bemærk, at oplysninger om strafbare forhold og personnumre betragtes som almindelige personoplysninger, men databeskyttelsesloven fastsætter særlige regler om disse oplysninger.
Foretrukken term Definition1. almindelige personoplysninger
personoplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger).
1.1 personnummeroplysninger almindelig personoplysning, om personnummer, som har selvstændigt behandlingshjemmel i databeskyttelseslovens § 11
1.2 oplysninger om strafbare forhold
almindelig personoplysning der vedrører straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger (oplysninger om strafbare forhold er ikke følsomme oplysninger i databeskyttelsesforordningens forstand.)
2. følsomme personoplysninger personoplysninger om:o Race og etnisk oprindelseo Politisk overbevisningo Religiøs eller filosofisk overbevisningo Fagforeningsmæssige tilhørsforholdo Genetiske datao Biometriske data med henblik på entydig identifikationo Helbredsoplysningero Seksuelle forhold eller seksuel orientering
3. ingen personoplysninger Personoplysningskategori, der angiver, at der ikke er informationer om identificerbare fysiske personer tilstede
Klassifikation: Kategori af registrerede Klassifikation af registrerede personer hvis oplysninger behandlesForretningsområde: http://www.form-online.dk/opgavenoegle/05/#05.05.12.60 Juridisk kilde: http://data.europa.eu/eli/reg/2016/679/oj Juridisk kilde: https://www.retsinformation.dk/eli/lta/2018/502 Kilde: Statens-ITKilde: https://www.datatilsynet.dk/media/6567/fortegnelse.pdf
Foretrukken term Definition
UDKAST til Standard for beskrivelse af it-systemer Side 47 af 67
BorgereKontaktpersonerPersoner der er eller har været ansat hos myndighedenAnsøgere til stillinger i myndighedenPersoner ansat hos private eller offentlige virksomheder/samarbejdspartnereUdenlandske borgereAnden kategori af registrerede personerKlassifikation: Fortrolighedsgrad iht. sikkerhedscirkulæret (EU/NATO)Klassifikation af grader af fortrolighed forstået som i hvilket omfang information kan videregives iht. sikkerhedscirkulæret (EU/NATO)Forretningsområde: http://www.form-online.dk/opgavenoegle/68/#68.55.20 Kilde: https://www.retsinformation.dk/eli/retsinfo/2014/10338
Foretrukken term Definitionyderst hemmeligt Denne klassifikationsgrad skal anvendes om informationer, hvis videregivelse uden
dertil indhentet bemyndigelse ville kunne forvolde Danmark eller landene i NATO eller EU overordentlig alvorlig skade.
hemmeligt Denne klassifikationsgrad skal anvendes om informationer, hvis videregivelse uden dertil indhentet bemyndigelse ville kunne forvolde Danmark eller landene i NATO eller EU alvorlig skade.
fortroligt Denne klassifikationsgrad skal anvendes om informationer, hvis videregivelse uden dertil indhentet bemyndigelse ville kunne forvolde Danmark eller landene i NATO eller EU skade.
til tjenestebrug Denne klassifikationsgrad anvendes om informationer, der ikke må offentliggøres eller komme til uvedkommendes kendskab.
må offentliggøres Denne klassifikationsgrad anvendes om informationer, som ikke er fortrolige, og som umiddelbart må offentliggøres
Klassifikation: Fortrolighedsgrad iht. ISO27002Klassifikation af grader af fortrolighed forstået som i hvilket omfang information kan videregives iht. informationssikkerhedsstandarden ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls.Forretningsområde: http://www.form-online.dk/opgavenoegle/68/#68.55.20Kilde: https://www.iso.org/standard/54533.htmlKilde: https://di.dk/SiteCollectionDocuments/DI.Web/Vejledning%20-%20Dataklassifikation%20-%20Final.pdf
Foretrukken term Definitionalvorlig indvirkning Offentliggørelse har en alvorlig indvirkning på langsigtede strategiske målsætninger
eller sætter organisationens overlevelse på spilvæsentlig indvirkning Offentliggørelsen har en væsentlig kortsigtet indvirkning på driften eller taktiske
målsætningermindre væsentlig indvirkning Offentliggørelse forårsager mindre væsentlige problemer for drifteningen indvirkning Offentliggørelse forårsager ingen skade
UDKAST til Standard for beskrivelse af it-systemer Side 48 af 67
UDKAST til Standard for beskrivelse af it-systemer Side 49 af 67
Bilag B: Skabelon til registrering i regneark
Skabelon med udvalgte oplysninger (profil) der afgives til Rigsarkivet
MyndighedsoplysningerKontaktperson for afgivelse af informationermyndighedens navn: * myndighedstype: * myndighedens hovedmailadresse: * afgivelsesdato YYYY-MM-DD *
UDKAST til Standard for beskrivelse af it-systemer Side 50 af 67MED
EKSEMPELDATA
UDKAST til Standard for beskrivelse af it-systemer Side 51 af 67
Oversigt over samtlige generelle oplysninger i standarden (kun til overblik)
UDKAST til Standard for beskrivelse af it-systemer Side 52 af 67
Vejledning til udfyldelse af skabelon:
Myndighedsoplysninger
myndighedens navn formel betegnelse for myndigheden
myndighedens hovedmailadresse emailadresse, hvormed myndigheden primært kontaktes
myndighedstype klassifikation af myndigheden ift. styringsniveau (regional, kommunal, statslig)
afgivelsessdato dato for, hvornår oplysningerne blev afgivet
Basisinformation
it-systemidentifikator angiv det ID, som entydigt identificerer it-systemet
it-systemnavn angiv it-systemets foretrukne betegnelse (fx navn som anført i hovedkontrakten)
alternativt it-systemnavn angiv eventuelt øvrige betegnelser eller kaldenavne for it-systemet
it-systembeskrivelse beskriv, til hvilket formål it-systemet er taget i brug i organisationen
operationel status angiv dato, hvor it-systemet blev taget i brug med fuld eller delvis funktionalitet
udfasningsdato angiv dato, hvor it-systemet blev endeligt blev afviklet
ibrugtagningsstatus angiv, hvilken tilstand it-systemet har i forhold til ibrugtagning
version angiv eventuelt, hvilken version der er taget i anvendelse
kommentar angiv, eventuelt supplerende bemærkninger eller oplysninger
indeholder dataangiv om it-systemet indeholder data digitalt skabt af den offentlige forvaltning og domstolene
indeholder dokumenterangiv, om it-systemet indeholder dokumenter digitalt skabt af den offentlige forvaltning og domstolene
dokumentationsreference angiv reference(r) til dokumentation af it-systemet
Opgaver
FORM-opgave(r)(for regioner og statslige administrative enheder) angiv FORM-opgave(r), som it-systemet understøtter (fx 65.50.05.10 Sagsarkivering) el. overordnet serviceområde
KLE-emne(r)(for kommuner) angiv KLE-emne(r) som it-systemet understøtter (fx 85.08.00 arkivering i almindelighed) el. overordnet emnegruppe
UDKAST til Standard for beskrivelse af it-systemer Side 53 af 67
lovgrundlag angiv reference(r) til juridisk ressource, som danner grundlag for systemets anvendelse
sagsområde(r)angiv, hvilket sagsområde iht. bekendtgørelser for bevaring og kassation af digitale arkivalier it-systemet tilhører
forgængersystem angiv it-system, der tidligere har varetaget samme funktion
målgruppe(r) angivelse af, hvilken gruppe af brugere it-systemet henvender sig til
kritikalitetstype angiv, om it-systemets anvendelse er samfundskritisk, forretningskritisk eller ikke kritisk
Styring
it-systemforvalterangiv organisatorisk enhed eller medarbejder, som administrerer og træffer afgørelser vedrørende tekniske anliggender på vegne af systemejeren
it-systemejerangiv person eller organisation med det oveordnede ansvar for et givet it-systems drift, vedligehold og anvendelse
dataansvarligangiv den organisation, som har dispositionsretten og træffer afgørelse om hvordan data skal behandles
databehandler angiv organisation(er), som behandler personoplysninger på vegne af den dataansvarlige
dataskaber angiv den organisation, der har det primære ansvar for tilvejebringelsen af datasættet
Jura
kontraktreference(r)angiv reference(r) til kontrakt relateret til it-systemets udvikling, vedligehold, drift eller support.
rettighedshaverOrganisation, der ejer eller har dispositionsretten over de intellektuelle rettigheder over it-systemets primære softwareprodukt
udviklingsleverandørangiv den primære organisation, der har leveret udviklingsydelser ift. et it-system - herunder udvikling af software, inklusiv større tilpasninger af standardsystemer
vedligeholdelsesleverandør angiv den primære organisation, der leverer vedligeholdelsesydelser ift. et it-system
driftsleverandør angiv den primære organisation, der leverer driftsydelser ift. et it-system
Information
datasætID angiv datasættes unikke ID
titel angiv datasættets navn (det eller de ord der navngiver datasættet)
beskrivelsebeskriv datasættets formål og indhold (fx datasættet indeholder journalsager fra kommune x)
versionsnummer angiv eventuelt datasættets versionsnummer
dækningsperiode: startdato angiv dato for første datatilføjelse
dækningsperiode: slutdato angiv dato for sidste datatilføjelse
personoplysningskategori
angiv, om it-systemet indeholder almindelige personoplysninger, følsomme personoplysninger eller oplysninger om strafbare forhold (flere skal kunne vælges - udestår pt)
næste datasletningsfristangiv førstkommende dato for, hvornår bestemte data i it-systemet forventes at skulle være slettet forinden, iht. GDPR
fortrolighedsgrad iht. sikkerhedscirkulæret angiv, i hvilket omfang information kan videregives iht. sikkerhedscirkulæret (EU/NATO)
fortrolighedsgrad iht. ISO 27001angiv, i hvilket omfang information kan videregives iht. informationssikkerhedsstandarden ISO 27002
arkiveringspligttypeangiv, hvorvidt data skal bevares eller kasseres iht. gældende arkiveringsbestemmelser (for data bestemt til bevaring skal der afleveres arkiveringsversioner til et offentligt arkiv)
arkiveringsfrekvens angiv, hvor ofte der fremstilles arkiveringsversioner af datasættet
arkiveringsperiodetypeangiv, hvorvidt data afleveres som et øjebliksbillede, en afgrænset periode eller ved afsluttet arkivperiode
data konverteret fra it-systemhvis der manuelt eller maskinelt er blevet konverteret data ind fra et andet it-system, så angiv navnet på dette it-system
datakonverteringstatus angiv, om alle eller udvalgte data er konverteret ind fra forgængersystem
tidligere arkivering angivelse af, om data fra it-systemet tidligere er blevet arkiveretseneste arkiversionsperiode: startårstal angiv det årstal, seneste arkiveringsversion først dækker
UDKAST til Standard for beskrivelse af it-systemer Side 54 af 67
seneste arkiversionsperiode: slutårstal angiv det årstal, seneste arkiveringsversion sidst dækker
Applikation
produktserie angiv den formelle betegnelse for produktserien
it-systemdokumentation angiv reference(r) til dokumentation, der beskriver systemet ud fra et bestemt perspektiv
applikationskomponent(er) angiv eventuelt it-systemets centrale applikationskomponenter
udstiller (datasætID)angiv det unikke ID for det eller de datasæt, som it-systemet udstiller (reference til Datasætkataloget)
anvender (datasætID)angiv det unikke ID for det eller de datasæt, som it-systemet anvender (reference til Datasætkataloget)
Infrastruktur
miljøtype angiv miljøtypen it-systemet er ibrugtaget i
UDKAST til Standard for beskrivelse af it-systemer Side 55 af 67
Bilag C: Eksempel på tom webformular Eksempel på tom formular til afgivelse af it-systemoplysninger til Rigsarkivet
INDTASTNING AF IT-SYSTEMOPLYSNINGER I WEBFORMULAREKSEMPEL:
OPGAVER
INFORMATION BASISOPLYSNINGER
UDKAST til Standard for beskrivelse af it-systemer Side 56 af 67
Bilag D: Eksempel på udfyldt webformular VISNING AF IT-SYSTEMOPLYSNINGER I WEBFORMULAREKSEMPEL:
EKSEMPELDATA
UDKAST til Standard for beskrivelse af it-systemer Side 57 af 67
(Acadre anvendt i kommune x)
(Nexus anvendt i kommune y)
UDKAST til Standard for beskrivelse af it-systemer Side 58 af 67
EKSEMPELDATA
UDKAST til Standard for beskrivelse af it-systemer Side 59 af 67
Bilag E: Eksempel maskinlæsbart format (RDF/XML)
(flere andre serialiseringer mulige, inkl. JSON-LD) OUTPUT I RDF/XML VIA WEBFORMULAR (Acadre anvendt i kommune X)
<?xml version="1.0" encoding="utf-8"?>
<rdf:RDF xmlns:xsd="http://www.w3.org/2001/XMLSchema#" xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns:rdfs="http://www.w3.org/2000/01/rdf-schema#" xmlns:owl="http://www.w3.org/2002/07/owl#" xmlns:dc11="http://purl.org/dc/elements/1.1/" xmlns:voaf="http://purl.org/vocommons/voaf#" xmlns:dcterms="http://purl.org/dc/terms/" xmlns:dc="http://purl.org/dc/terms/" xmlns:dct="http://purl.org/dc/terms/" xmlns:dcat="http://www.w3.org/ns/dcat#" xmlns:skos="http://www.w3.org/2004/02/skos/core#" xmlns:prov="http://www.w3.org/ns/prov#" xmlns:adms="http://www.w3.org/ns/adms#" xmlns:cv="http://data.europa.eu/m8g/" xmlns:eli="http://data.europa.eu/eli/ontology#" xmlns:schema="http://schema.org/" xmlns:dcat-dk="https://data.gov.dk/model/core/dcat-dk#" xmlns:sys="https://data.gov.dk/model/core/itsystem#" xmlns:archv="https://data.gov.dk/model/core/digitalarchival#" xmlns:comp="https://data.gov.dk/model/core/computer#" >
<rdf:Description rdf:about="https://data.gov.dk/itsystem/6d850748-044c-4b89-8985-7ed91101164f "> <rdf:type rdf:resource="https://data.gov.dk/model/core/itsystem#system"/> <skos:prefLabel xml:lang="da">Acadre </skos:prefLabel> <schema:identifier rdf:resource="https://data.gov.dk/itsystem/6d850748-044c-4b89-8985-7ed91101164f "/> <skos:altLabel xml:lang="da">Acadre CM</skos:altLabel> <dct:identifier rdf:resource="https://data.gov.dk/itsystem/6d850748-044c-4b89-8985-7ed91101164f "/> <dct:description xml:lang="da">Acadre anvendes i kommune X til sagsstyring og ledelsesrapportering</dct:description> <sys:inUseFromDate rdf:datatype="http://www.w3.org/2001/XMLSchema#date">2019-01-01</sys:inUseFromDate> <sys:hasApplicationPurposeFORM rdf:resource="http://www.form-online.dk/opgavenoegle/65/#65.50.05"/> <sys:hasApplicationPurposeKLE rdf:resource="http://www.kle-online.dk/emneplan/85/#_85.02.10"/> <archv:applicableCaseArea rdf:resource="https://data.gov.dk/model/classification/ArchivalCaseArea#ESDH-systemMedJournal-sager"/> <sys:hasTargetGroup rdf:resource="https://data.gov.dk/model/classification/itsystemcriticalitytype#employees"/> <sys:hasCriticality rdf:resource="https://data.gov.dk/model/classification/itsystemcriticalitytype#CriticalForBusiness"/> <sys:hasAquisitionType rdf:resource="https://data.gov.dk/model/classification/itsystemaquisitiontype#Commercial-off-the-shelf"/> <comp:instanceOfProductInSeries rdf:datatype="http://www.w3.org/2001/XMLSchema#string">Acadre CM</comp:instanceOfPro-ductInSeries> <sys:actsAs rdf:resource="https://data.gov.dk/model/classification/itenvironmenttype#Production"/> <archv:containsData rdf:datatype="http://www.w3.org/2001/XMLSchema#boolean">True</archv:containsData> <archv:containsDigitalDocuments rdf:datatype="http://www.w3.org/2001/XMLSchema#boolean">True</archv:containsDigitalDocu-ments>
<sys:producesDataset> <rdf:Description rdf:about="https://data.gov.dk/itsystem/6d850748-044c-4b89-8985-7ed91101164f #vh45"> <rdf:type rdf:resource="http://www.w3.org/ns/dcat#Dataset"/> <dcat-dk:dataResponsibleOrganisation xml:lang="da">Kommune x</dcat-dk:dataResponsibleOrganisation> <dcat-dk:personalDataCategory rdf:resource="https://data.gov.dk/model/classification/PersonalDataCategory#Gener-alPersonalData"/> <dct:identifier rdf:resource="https://data.gov.dk/dataset/6d850748-044c-4b89-8985-7ed91101164f #gt18"/> <dct:description xml:lang="da">Journalsager fra komnune x</dct:description> <dct:temporal>
<rdf:Description rdf:about="https://data.gov.dk/itsystem/6d850748-044c-4b89-8985-7ed91101164f #5nn0"> <rdf:type rdf:resource="http://purl.org/dc/terms/PeriodOfTime"/> <schema:startDate rdf:datatype="http://www.w3.org/2001/XMLSchema#date">2002</schema:startDate> <schema:endDate rdf:datatype="http://www.w3.org/2001/XMLSchema#date">2012</schema:endDate> </rdf:Description> </dct:temporal> <archv:archivalObligationType rdf:resource="https://data.gov.dk/model/classification/ArchivalObligationType#Archival"/> <archv:plannedArchiveType rdf:resource="https://data.gov.dk/model/classification/ArchivalFrequencyType#SpecificPe-riod"/> <archv:plannedArchivalFrequency rdf:resource="https://data.gov.dk/model/classification/ArchivalFrequencyType#5"/> <archv:archivalObligationType rdf:resource="https://data.gov.dk/model/classification/ArchivalObligationType#Archival"/>
<archv:previousArchiving rdf:datatype="http://www.w3.org/2001/XMLSchema#boolean">True</archv:previousArchiving> <archv:lastArchivePeriod> <rdf:Description rdf:about="https://data.gov.dk/itsystem/6d850748-044c-4b89-8985-7ed91101164f #eaif">
<rdf:type rdf:resource="http://www.w3.org/ns/dcat#Dataset"/> <schema:startDate rdf:datatype="http://www.w3.org/2001/XMLSchema#date">2002</schema:startDate> <schema:endDate rdf:datatype="http://www.w3.org/2001/XMLSchema#date">2007</schema:endDate> </rdf:Description>
EKSEMPELDATA
UDKAST til Standard for beskrivelse af it-systemer Side 60 af 67
</archv:lastArchivePeriod> </rdf:Description> </sys:producesDataset>
</rdf:Description> </rdf:RDF>
Bilag F: Om datamodellenDatamodelrapporten i form af et anvendelsesprofildokument kan downloades her:https://data.gov.dk/test/udkast/ITSystemAP_UDKAST/Anvendelsesprofil_for_beskrivelse_af_it-systemer.docx
Selve UML-modellerne er også udstillet her: https://data.gov.dk/test/udkast/ITSystemAP_UDKAST/index.htm (Såfremt standarden godkendes, vil UML-modellerne blive udstillet som XMI og RDF/XML.
UML-modeller udstilles efterfølgende i xmi-format.
To anvendelsesprofil(er) samt tilhørende kernemodeller og klassifikationer o IT System AP (General Profile) - den generelle profil o IT System AP (National Archives Profile) - en del (af den
generelle profil) til afgivelse af oplysninger til Rigsarkivet
Tilhørende nye og genbrugte vokabularer o Vokabular for it-system (SYS) *nyt* o Vokabular for digital arkivering (ARCHV) *nyt* o Data Catalog Vocabulary (DCAT) *elementer genbrugt*o Simple Knowledge Organization System (SKOS)
*elementer genbrugt*o European Legislation Identifier (ELI) *elementer
genbrugt*o Financial Industry Business Ontology (FIBO) *ele-
menter genbrugt*o Dublin Core Terms (DCT) *elementer genbrugt*o Organization Ontology (ORG) *elementer genbrugt*o Core Public Service Vocabulary (CPOV) *elementer
genbrugt*o Friend of A Friend (FOAF) *elementer genbrugt*o SCHEMA.org (SCHEMA) *elementer genbrugt*
Tilhørende nye og genbrugte klassifikationer o Arkiveringsfrekvens (Archical Frequency Type)o Arkiveringspligttype (Archival Obligation Type)o Fortrolighedsgrad (Data Confidentiality Type)o Forvaltningsopgavetype (Public Administrative Task
Type) – (FORM & KLE)o Operationel status (Operational Status)
class 1a) IT System AP (General Profile)
(offentlig organisationstype)PublicOrganizationType
(it-system)sys:ITSystem
(it-systemID) dct:identifier: xsd:anyURI [0..1](foretrukken betegnelse) skos:prefLabel: rdf:langString [1..*](alternativ betegnelse) skos:altLabel: rdf:langString [1..*](it-systembeskrivelse) dct:description: rdf:langString [0..*]prov:generatedAtTime: xsd:dateTime(ibrugtagningsdato) sys:inUseFromDate: xsd:date [0..1] {subsets prov:generatedAtTime}prov:invalidatedAtTime: xsd:dateTime(udfasningsdato) sys:inUseUntilDate: xsd:date [0..1] {subsets prov:invalidatedAtTime}(kommentar) rdfs:comment: rdf:langString [0..*](databærende) sys:containsData: xsd:boolean(dokumentbærende) archv:containsDigitalDocs: xsd:boolean
(datasæt)dcat:Dataset
(titel) dct:title: rdf:langString [0..1](datasætID) dct:identifier: xsd:anyURI [0..1](beskrivelse) dct:description: rdf:langString [0..*](versionsnummer) owl:versionInfo: rdfs:Literal [0..1](tidligere arkivering) archv:previousArchiving: xsd:boolean(næste datasletningsfrist) archv:nextDataErasureDeadline: xsd:date
(arkiveringspligttype)ArchivalObligationType
(personoplysningskategori)PersonalDataCategory
Prefix Namespace Vocabularyrdf http://www.w3.org/1999/02/22-rdf-syntax-ns#The RDF Concepts Vocabulary (W3C)rdfs http://www.w3.org/2000/01/rdf-schema# RDF Schema 1.1 (W3C)owl http://www.w3.org/2002/07/owl# Web Ontology Language (W3C)xml http://www.w3.org/XML/1998/namespace XML Namespace (W3C)xsd http://www.w3.org/2001/XMLSchema# XML Schema (W3C)skos http://www.w3.org/2004/02/skos/core# Simple Knowledge Organization System (W3C)org http://www.w3.org/ns/org# The Organization Ontology (W3C)foaf http://xmlns.com/foaf/0.1/ Friend of a Frienddcat https://www.w3.org/ns/dcat# Dataset Catalogue Vocabulary (W3C)dcat-dk https://data.gov.dk/model/core/dcat-dk# DCAT DKprov http://www.w3.org/ns/prov# The PROV Ontology (W3C)vann http://purl.org/vocab/vann/ A Vocabulary for Annotating Vocabulary Descriptiondct http://purl.org/dc/terms/ Dublin Core Termsfoaf http://xmlns.com/foaf/0.1/ Friend of a Friendeli http://data.europa.eu/eli/ontology# European Legislation Identifier cpov http://purl.org/vocab/cpsv# Core Public Service Vocabulary (ISA) schema https://schema.org/ Schema.orgfibo-fnd-agr-ctr https://spec.edmcouncil.org/fibo/FND/Agreements/Contracts Financial Industry Business Ontology (OMG)sys https://data.gov.dk/model/core/itsystem# Vocabulary for IT System archv https://data.gov.dk/model/core/digitalarchival# Vocabulary for Digital Archival comp https://data.gov.dk/model/core/computer# Vocabulary for Computer proc https://data.gov.dk/model/core/process# Vocabulary for Cross Domain Processes
(sagsområde )CaseArea
(organisation)org:Organization
(it-systemdokumentationstype)ITSystemDocumentationType
(systemdokumentation)sys:SystemDocumentation
(dokumentationsID) dct:identifier: xsd:anyUri
(juridisk ressource)eli:LegalResource
(tidsperiode)dct:PeriodOfTime
(startdato) schema:startDate: xsd:date(slutdato) schema:endDate: xsd:date [0..1]
(ITsystemkontrakttype)ITSystemContractType
(kontrakt)fibo-fnd-agr-ctr:Contract
(kontraktID) dct:identifier: xsd:anyURI [0..1]
(forretningsproces)proc:BusinessProcess
(kritikalitetstype)CriticalityType
(kapabilitet)Capability
(anskaffelsestype)ITSystemAquisitionType
(målgruppe)TargetGroup
(it-systemindberetning)sys:ITSystemReport
(afgivelsesdato) dct:dateSubmitted: xsd:date
(produktserie)comp:ProductSeries
(identifikator) schema:identifier: xsd:anyURI(foretrukken betegnelse) skos:prefLabel: rdf:langString(beskrivelse) dct:description: rdf:langString
(brugergrænseflade)sys:UserInterface
(komponentanvendelse)sys:ComponentUsage
(startede på tidspunkt) prov:startedAtTime: xsd:dateTime(sluttede på tidspunkt) prov:endedAtTime: xsd:dateTime [0..1]
(dataservice)dcat:DataService
(URL for adgangspunkt) dcat:endpointURL: xsd:anyURI(beskrivelse af adgangspunkt) dcat:endpointDescription: xsd:string
(afhængighedstype)DependencyType
(komponentrolle)ComponentRole
(person)foaf:Person
(arkiveringsfrekvens)ArchivalFrequencyType
(softwareapplikation)schema:SoftwareApplication
(forvaltningsopgavetype )PublicAdministrativeTaskType
Beskrivelse: Denne generelle anvendelsesprofil vil kunne anvendes til etablere et overblik over en it-systemer på forskellige organisatoriske niveauer og dermed standardisere indsamlingen af oplysninger. Ikke alle oplysningstyper vil være relevante til alle anvendelser, hvorfor yderligere profilering og udvælgelse af relevante oplysningstyper vil være nødvendig.
(miljøtype)EnvironmentType
(arkiveringsversionsperiodetype)ArchiveType
(datakonvertering)archv:DataConversion
(importeret fra forgængersystem) archv:dataImportedFromPredessorSystem: rdfs:Literal [0..1]
(datakonverteringsstatus)DataConversionStatus
(kontaktpunkt)schema:ContactPoint
(email) schema:email: xsd.string [0..1](telefon) schema:telephone: xsd:string [0..1](kontakttype) schema:contactType: xsd:string [0..1](supporteret produkt) schema:productSupported: xsd:string [0..1]
(arkivinstitutionstype)ArchiveOrganisationType
(fortrolighedsgrad iht. ISO27002)ConfidentialityTypeISO27002
(fortrolighedsgrad iht.sikkerhedscirkulære)ConfidentialityTypeNatoEu
0..*
(forgængersystem)sys:predecessorSystem 0..1
0..*
(tilknyttet arkivorganisationstype)archv:associatedArchiveOrganisationType
0..1
1..*
(leverandør)fibo-fnd-agr-ctr:hasCounterparty
1..*
(personoplysningskategori )dcat-dk:personalDataCategory
(anvendte)prov:used
1..*
0..*
(dataskaber)dct:creator 0..1
1
(anvenderafhængighed)sys:usageDependency
0..*
0..*
(udstiller )sys:provides
0..*
(har kontaktpunkt)schema:contactPoints
0..*
0..*
(databehandler)dcat-dk:dataProcessor
0..*
0..*
(it-systemejer)sys:hasItSystemOwner
0..1
0..*
(personoplysningskategori)dcat-dk:personalDataCategory
0..1
0..*
(har funktionalitetskapabilitet)sys:hasFunctionalityCapability
0..*
0..*
(instans af produkt i serie)comp:instanceOfProductInSeries
0..1
1
(dækker periode)dct:temporal
0..1
0..*
(har kapabilitet til at understøtte formål)sys:hasCapabilityForPurpose
0..*
0..1
(blev dannet ved)prov:wasGeneratedBy
0..1
0..*
(servicekomponent)sys:serviceComponent
0..1
0..1
(udstiller)sys:provides
0..*
0..*
(it-systemejer)sys:hasITSystemOwner0..1
0..1
(skaber datasæt)sys:producesDataset
0..*
0..*
(dataansvarlig)dcat-dk:dataResponsibleOrganisation
0..1
0..*
(klassificeres som)org:classification
0..1
0..*
(har fortrolighedsgrad)dcat-dk:hasConfidentialityType
0..1
0..*
(brugergrænsefladekomponent)sys:userInterfaceComponent
0..1
0..*
(anvendt i organisation)sys:usedInOrganization
0..*
1
(levereranceafhængighed)sys:provisionDependency
0..*
0..*
(anvender )sys:uses
0..*
(kontrakt vedrørende)sys:contractRegarding
0..*
0..*
(type)dct:type
0..*
0..*
(udvikler)schema:creator
0..*
0..*
(handlede på vegne af)prov:actedOnBehalfof
0..1
0..*
(anvender)sys:uses
0..*
0..*
(rettighedshaver)dct:rightsHolder0..1
1..*
(ordregiver)fibo-fnd-agr-ctr:hasPrincipal
1
0..*(handlede på vegne af)prov:actedOnBehalfOf
0..1
0..*
(har systemdokumentation)sys:hasSystemDocumentation
0..*
0..*
(har anvendelsesformål)sys:hasApplicationPurpose
0..*
(forvaltningsopgavens lovgrundlag)cv:hasLegalResource
0..*
(vedligeholdelsespart)sys:maintainedBy
0..*
(har kontraktpart)fibo-fnd-agr-ctr:hasContractParty
2..*
0..*
(har målgruppe)sys:hasTargetGroup
0..*
0..*
(sagsområde)archv:caseArea
0..*
0..*
(har kritikalitet)sys:hasCriticality
0..1
0..*
(driftspart)sys:operatedBy
0..*
0..*
(plaglagt arkiveringsperiodetype)archv:plannedArchiveType
0..*
(ansvarlig aktør)frbr:responsibleEntity
1
0..*(har relateret kontrakt)sys:relatedContract
0..*
*
(har afhængighedstype)sys:hasDependencyType
0..1
0..*
(it-systemforvalter)sys:hasITSystemManager
0..1
0..*
(udstiller )sys:provides
0..*
0..*
(tidligere arkivversion)archv:prevArchiveInformationPackage
0..1
1
(seneste arkivversionperiode)archv:lastArchivePeriod
0..1 0..*(rolle)
sys:role
0..1
0..*
(har arkiveringspligttype)archv:archivalObligationType
0..1
0..*
(datakomponent)sys:dataComponent
0..1
(datakonverteringsstatus)archv:dataConversionStatus
0..1
0..*
(it-systemforvalter)sys:hasITSystemManager0..1
0..*
(anvender)sys:uses
0..*
0..*
(it-system udvalgt til indberetning)sys:selectedITsystemForReport
0..*
0..*
(har fortrolighedsgrad)dcat-dk:hasConfidentialityType
0..1
0..*
(leverer kapabilitet)sys:providesCapability
0..*
0..*
(fungerer som)sys:actsAs
1
0..*
(systemets lovgrundlag)cv:hasLegalResource
0..*
0..*
(relateret til)skos:related
0..*
0..*
(understøtter process)sys:enablesProcess
0..*
0..*
(type)dct:type
0..*
0..*
(applikationskomponent)sys:applicationComponent
0..1
0..*
(planlagt arkiveringsfrekvens)archv:plannedArchivalFrequency
0..1
0..*
(har anskaffelsestype)sys:hasAquisitionType
0..1
(dannede)prov:generated
1
UDKAST til Standard for beskrivelse af it-systemer Side 61 af 67
o IT-anskaffelsestype (ITAquisition Type)o IT-miljøtype (IT Environment Type)o IT-systemdokumentationstype (IT System
Documentation Type)o IT-systemkontrakttype (IT System Contract Type)o Kritikalitetstype (Criticality Type)o Målgruppe (Target Group)o Personoplysningskategori (Personal Data Category)o Registertype (Register Type)o Sagsområde (Case Area)
Bilag G: UML-diagram: Standardens generelle anvendelsesprofil Namespace: https://data.gov.dk/model/profile/itsystemap#, Modelnavn (label): Anvendelsesprofil for it-systemerModelansvarlig (responsibleEntity): DigitaliseringsstyrelsenVersionnummer (versionInfo): 0.8.5Seneste opdateringsdato (dateModified): 08-08-2019Modelstatus (modelStatus): developmentGodkendelsesstatus (approvalStatus) : afventer godkendelseForretningsområde (theme): 06.38.10.10 Arkitektur for den digitale infrastrukturAfledt af (wasDerivedFrom): https://data.gov.dk/model/concept/itsystem# Kommentar (comment): Denne generelle anvendelsesprofil vil kunne anvendes til etablere et overblik over it-systemer på forskellige organisatoriske niveauer og dermed standardisere indsamlingen af oplysninger. Ikke alle oplysningstyper vil være relevante til alle anvendelser, hvorfor yderligere profilering og udvælgelse af relevante oplysningstyper vil være nødvendig.
class 2a) IT System AP (National Archives Profile)
(offentlig organisationstype)PublicOrganizationType
(it-systemindberetning)sys:ITSystemReport
(afgivelsesdato) dct:dateSubmitted: xsd:date
(it-system)sys:ITSystem
(it-systemID) dct:identifier: xsd:anyURI [0..1](foretrukken betegnelse) skos:prefLabel: rdf:langString [1..*](alternativ betegnelse) skos:altLabel: rdf:langString [1..*](it-systembeskrivelse) dct:description: rdf:langString [0..*]prov:generatedAtTime: xsd:dateTime(ibrugtagningsdato) sys:inUseFromDate: xsd:date [0..1] {subsets prov:generatedAtTime}prov:invalidatedAtTime: xsd:dateTime(udfasningsdato) sys:inUseUntilDate: xsd:date [0..1] {subsets prov:invalidatedAtTime}(kommentar) rdfs:comment: rdf:langString [0..*](databærende) sys:containsData: xsd:boolean(dokumentbærende) archv:containsDigitalDocs: xsd:boolean
(datasæt)dcat:Dataset
(titel) dct:title: rdf:langString [0..1](datasætID) dct:identifier: xsd:anyURI [0..1](beskrivelse) dct:description: rdf:langString [0..*](versionsnummer) owl:versionInfo: rdfs:Literal [0..1](tidligere arkivering) archv:previousArchiving: xsd:boolean(næste datasletningsfrist) archv:nextDataErasureDeadline: xsd:date
(arkiveringspligttype)ArchivalObligationType
(personoplysningskategori)PersonalDataCategory
(sagsområde )CaseArea
(it-systemdokumentationstype)ITSystemDocumentationType
(systemdokumentation)sys:SystemDocumentation
(dokumentationsID) dct:identifier: xsd:anyUri
(juridisk ressource)eli:LegalResource
(tidsperiode)dct:PeriodOfTime
(startdato) schema:startDate: xsd:date(slutdato) schema:endDate: xsd:date [0..1]
(kontaktpunkt)schema:ContactPoint
(email) schema:email: xsd.string [0..1](telefon) schema:telephone: xsd:string [0..1](kontakttype) schema:contactType: xsd:string [0..1](supporteret produkt) schema:productSupported: xsd:string [0..1]
(arkivinstitutionstype)ArchiveOrganisationType
(datakonvertering)archv:DataConversion
(importeret fra forgængersystem) archv:dataImportedFromPredessorSystem: rdfs:Literal [0..1]
(datakonverteringsstatus)DataConversionStatus
(arkiveringsfrekvens)ArchivalFrequencyType
(fortrolighedsgrad iht. ISO27002)ConfidentialityTypeISO27002
(fortrolighedsgrad iht.sikkerhedscirkulære)ConfidentialityTypeNatoEu
(forvaltningsopgavetype )PublicAdministrativeTaskType
Prefix Namespace Vocabularyrdf http://www.w3.org/1999/02/22-rdf-syntax-ns# The RDF Concepts Vocabulary (W3C)rdfs http://www.w3.org/2000/01/rdf-schema# RDF Schema 1.1 (W3C)owl http://www.w3.org/2002/07/owl# Web Ontology Language (W3C)xml http://www.w3.org/XML/1998/namespace XML Namespace (W3C)xsd http://www.w3.org/2001/XMLSchema# XML Schema (W3C)foaf http://xmlns.com/foaf/0.1/ Friend of a Friendskos http://www.w3.org/2004/02/skos/core# Simple Knowledge Organization System (W3C)org http://www.w3.org/ns/org# The Organization Ontology (W3C)dcat https://www.w3.org/ns/dcat# Dataset Catalogue Vocabulary (W3C)dcat-dk https://data.gov.dk/model/core/dcat-dk# DCAT DKprov http://www.w3.org/ns/prov# The PROV Ontology (W3C)vann http://purl.org/vocab/vann/ A Vocabulary for Annotating Vocabulary Descriptiondct http://purl.org/dc/terms/ Dublin Core Termsfoaf http://xmlns.com/foaf/0.1/ Friend of a Friendeli http://data.europa.eu/eli/ontology# European Legislation Identifier cpov http://purl.org/vocab/cpsv# Core Public Service Vocabulary (ISA) schema https://schema.org/ Schema.orgfibo https://spec.edmcouncil.org/fibo/FND/Agreements/Contracts Financial Industry Business Ontology sys https://data.gov.dk/model/core/itsystem# Vocabulary for IT System archv https://data.gov.dk/model/core/digitalarchival# Vocabulary for Digital Archival comp https://data.gov.dk/model/core/computer# Vocabulary for Computer
Beskrivelse: Anvendelsesprofil for det sæt af oplysningstyper der er påkrævet ifm. afgivelse af it-systemoplysninger til Rigsarkivet
(organisation)org:Organization
0..*
(har anvendelsesformål)sys:hasApplicationPurpose
0..*
(dannede)prov:generated
1
0..* (planlagt arkiveringsfrekvens)archv:plannedArchivalFrequency
0..1
(anvendte)prov:used
1..*1
(dækker periode)dct:temporal
0..1
0..*
(har systemdokumentation)sys:hasSystemDocumentation
0..*
0..*
(anvendt i organisation)sys:usedInOrganization
0..*
(datakonverteringsstatus)archv:dataConversionStatus
0..1
(har kontaktpunkt)schema:contactPoints
0..*
0..1
(skaber datasæt)sys:producesDataset
0..*
(forvaltningsopgavens lovgrundlag)cv:hasLegalResource
1
(seneste arkivversionperiode)archv:lastArchivePeriod
0..1
0..*
(tidligere arkivversion)archv:prevArchiveInformationPackage
0..1
(ansvarlig aktør)frbr:responsibleEntity
1
0..* (type)dct:type0..*
0..*
(har fortrolighedsgrad)dcat-dk:hasConfidentialityType
0..1
0..*
(dataansvarlig)dcat-dk:dataResponsibleOrganisation
0..1
0..*
(personoplysningskategori)dcat-dk:personalDataCategory 0..1
0..*
(tilknyttet arkivorganisationstype)archv:associatedArchiveOrganisationType
0..1
0..*
(it-systemejer)sys:hasITSystemOwner
0..1
0..*(sagsområde)
archv:caseArea
0..*
(personoplysningskategori )dcat-dk:personalDataCategory
0..*
(har fortrolighedsgrad)dcat-dk:hasConfidentialityType
0..1
0..*(it-system udvalgt til indberetning)sys:selectedITsystemForReport
0..*
0..*
(har arkiveringspligttype)archv:archivalObligationType
0..1
0..*
(relateret til)skos:related
0..*
0..*
(rettighedshaver)dct:rightsHolder
0..1
0..*
(systemets lovgrundlag)cv:hasLegalResource
0..*
0..*
(dataskaber)dct:creator 0..1
0..1
(blev dannet ved)prov:wasGeneratedBy
0..1
0..*
(klassificeres som)org:classification
0..1
0..*
(forgængersystem)sys:predecessorSystem
0..1
0..*
(anvender)sys:uses
0..*
UDKAST til Standard for beskrivelse af it-systemer Side 62 af 67
Bilag H: UML-diagram: Anvendelsesprofil til indmelding til RigsarkivetNamespace: https://data.gov.dk/model/profile/itsystemapnationalarchives#, Modelnavn (label): Indmeldelse af it-systemoplysninger til RigsarkivetModelansvarlig (responsibleEntity): Rigsarkivet (projektgruppen)Versionnummer (versionInfo): 0.8.5Seneste opdateringsdato (dateModified): 01-05-2019Modelstatus (modelStatus): developmentGodkendelsesstatus (approvalStatus) : afventer godkendelseForretningsområde (theme): 65.50.05.10 Sagsarkivering Afledt af (wasDerivedFrom): https://data.gov.dk/model/concept/digitalarchival# Kommentar (comment): Anvendelsesprofil for det sæt af oplysningstyper, der er påkrævet ifm. afgivelse af it-systemoplysninger til Rigsarkivet
UDKAST til Standard for beskrivelse af it-systemer Side 63 af 67
Bilag I: Begrebsliste til IT System APForetrukken dansk term
Definition Juridisk kilde Kilde Tilhører emneområde
Foretrukken engelsk term
arkiveringsfrekvens frekvens med hvilken arkiveringsversioner af datasæt fremstilles
https://os2.eu/sites/default/files/documents/notat_om_felter_til_registrering_af_arkiveringsdata_i_kitos.pdf
https://data.gov.dk/model/concept/digitalarchival#
archiving frequency
arkiveringsleverandør
leverandør som varetager fremstillingen af arkiveringsversionen
https://os2.eu/sites/default/files/documents/notat_om_felter_til_registrering_af_arkiveringsdata_i_kitos.pdf
https://data.gov.dk/model/concept/digitalarchival#
archiving supplier
arkiveringspligttype klassifikation efter hvorvidt et it-system er arkiveringspligtigt eller ikke skal arkiveres
https://www.retsinformation.dk/eli/lta/2016/1201
https://os2.eu/sites/default/files/documents/notat_om_felter_til_registrering_af_arkiveringsdata_i_kitos.pdf
https://data.gov.dk/model/concept/digitalarchival#
archival obligation type
arkiveringstestinstitution
organisation som tester arkiveringsversionen
https://os2.eu/sites/default/files/documents/notat_om_felter_til_registrering_af_arkiveringsdata_i_kitos.pdf
https://data.gov.dk/model/concept/digitalarchival#
archive test organisation
arkiveringsversion data eller dokumenter fra it-systemer skabt i en afgrænset periode af den offentlige forvaltning og domstolene, og som af Rigsarkivet er bestemt til arkivering
https://www.retsinformation.dk/eli/lta/2010/1007
https://data.gov.dk/model/concept/digitalarchival#
archive information package
arkiveringsversionperiode
periode med angivelse af startdato og slutdato i hvilken de afleverede data er skabt
https://os2.eu/sites/default/files/documents/notat_om_felter_til_registrering_af_arkiveringsdata_i_kitos.pdf
https://data.gov.dk/model/concept/digitalarchival#
archive version periode
arkiveringsversionsgodkendelsesstatus
status som indikerer at arkiveringsversionen er blevet godkendt af den modtagende arkivinstitution
https://os2.eu/sites/default/files/documents/notat_om_felter_til_registrering_af_arkiveringsdata_i_kitos.pdf
https://data.gov.dk/model/concept/digitalarchival#
archive version approval status
arkiveringsversionsperiodetype
angivelse af, om der er tale om en afsluttet arkivperiode/årgang, eller om der er tale om et øjebliksbillede
https://www.retsinformation.dk/eli/lta/2010/1007
https://data.gov.dk/model/concept/digitalarchival#
archive type
arkivinstitution offentlig institution der har til opgave at bevare arkivalier
https://ec.europa.eu/isa2/sites/isa/files/isa2_action_2017_01_standard_based_archival_data_management_final_report_v1.00.pdf
https://data.gov.dk/model/concept/digitalarchival#
archive organisation
arkivserie samlet gruppe af arkivalier https://www.ica.org/sites/default/files/CBPS_2000_Guidelines_ISAD%28G%29_Second-edition_EN.pdf
https://data.gov.dk/model/concept/digitalarchival#
archive series
arkivskaber den eller de myndigheder, der har skabt arkivaliet. Kan også være organisatoriske enheder inden for en myndighed eller andre bidragydere til arkivaliet
https://www.retsinformation.dk/eli/lta/2010/1007
https://data.gov.dk/model/concept/digitalarchival#
archive creator
brugergrænseflade adgangspunkt til et it-system for brugere https://data.gov.dk/model/concept/itsystem#
user interface
dataansvarlig organisation som har dispositionsretten og træffer afgørelse om hvordan data skal behandles (her ikke kun persondata)
http://data.europa.eu/eli/reg/2016/679/oj
data responsible organisation
databehandler en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne
http://data.europa.eu/eli/reg/2016/679/oj
https://data.gov.dk/model/concept/dataprotection#
data processor
datakonvertering konvertering af data fra et format til et andet
https://data.gov.dk/model/concept/digitalarchival#
data conversion
datakonverteringsstatus
klassifikation af status ift. datakonverterings- og import forløb
https://data.gov.dk/model/concept/digitalarchival#
data conversion status
dataservice site eller adgangspunkt hvorigennem data og relaterede ressourcer kan spores, tilgås eller behandles
https://www.w3.org/TR/vocab-dcat/
https://data.gov.dk/model/concept/dataset#
data service
dataskaber organisation der har det primære ansvar for tilvejebringelsen af datasættet
https://joinup.ec.europa.eu/solution/dcat-application-profile-data-portals-europe
https://data.gov.dk/model/concept/dataset#
data creator
datasletning sletning af alle link til eller kopier eller gengivelser af de pågældende personoplysninger
http://data.europa.eu/eli/reg/2016/679/oj
https://data.gov.dk/model/concept/digitalarchival#
data erasure
datasletningsfrist dato for hvornår data i systemet forventes https:// https://os2.eu/sites/default/ https://data.gov.dk/ data erasure
UDKAST til Standard for beskrivelse af it-systemer Side 64 af 67
Foretrukken dansk term
Definition Juridisk kilde Kilde Tilhører emneområde
Foretrukken engelsk term
at skulle være slettet forinden www.datatilsynet.dk/media/6560/dataansvarlige-og-databehandlere.pdf
files/documents/notat_om_felter_til_registrering_af_arkiveringsdata_i_kitos.pdf
model/concept/digitalarchival#
deadline
datasæt samling af data sammenstillet af en enkelt aktør
https://www.w3.org/TR/vocab-dcat/,
https://data.gov.dk/model/concept/dataset#
dataset
dataansvarlig en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger
http://data.europa.eu/eli/reg/2016/679/oj
https://w3id.org/GDPRtEXT#Processor
https://data.gov.dk/model/concept/dataprotection#
controller
den registrerede person om hvem oplysninger behandles http://data.europa.eu/eli/reg/2016/679/oj
Referencearkitektur for deling af data og dokumenter
https://data.gov.dk/model/concept/dataprotection#
data subject
forgængersystem system der tidligere har varetaget samme funktion
https://www.retsinformation.dk/eli/lta/2010/1007
https://data.gov.dk/model/concept/itsystem#
predessor system
fortrolighedsgrad grad af fortrolighed forstået som i hvilket omfang information kan videregives
https://data.gov.dk/model/concept/informationsecurity#
confidentiality type
fortrolighedsgrad iht. ISO 27002
fortrolighedsgrad forstået som i hvilket omfang information kan videregives iht. informationssikkerhedsstandarden ISO/IEC 27002
https://www.iso.org/standard/54533.html
https://data.gov.dk/model/concept/informationsecurity#
ISO 27002 Data Classification
fortrolighedsgrad iht. Sikkerhedscirulæret
fortrolighedsgrad forstået som i hvilket omfang information kan videregives iht. Sikkerhedscirkulæret (Nato & EU Dataklassifikation)
https://www.retsinformation.dk/eli/retsinfo/2014/10338
https://data.gov.dk/model/concept/informationsecurity#
Nato & EU Data Classification
informationssystem system til indsamling, organisering, lagring og kommunikation af viden
https://data.gov.dk/model/concept/itsystem#
information system
it-leverandør aktør som leverer it-tjenester https://data.gov.dk/model/concept/itsystem#
IT supplier
it-miljøtype klassifikation efter miljø som et it-system kan ibrugtages i
https://en.wikipedia.org/wiki/Deployment_environmentStatens-IT Systemkort
https://data.gov.dk/model/concept/itsystem#
environment type
it-system system der består af digitale informationsteknologier
https://www.iso.org/standard/63711.html
https://data.gov.dk/model/concept/itsystem#
IT system
it-system målgruppe klassifikation efter gruppe af brugere som et givet it-system henvender sig til
https://data.gov.dk/model/concept/itsystem#
IT system target group
it-systemejer person eller organisation med det overordnede ansvar for et givet it-systems drift, vedligehold og anvendelse
https://digst.dk/styring/systemstyring/model-for-portefoeljestyring-af-statslige-it-systemer/
https://data.gov.dk/model/concept/itsystem#
IT system owner
it-systemforvalter organisatorisk enhed eller medarbejder som administrerer og træffer afgørelser vedrørende tekniske anliggender på vegne af systemejeren
https://data.gov.dk/model/concept/itsystem#
IT system manager
juridisk ressource intellektuelt værk der fastsætter juridiske regler og retsbestemmelser
https://publications.europa.eu/en/web/eu-vocabularies/model/-/resource/dataset/eli
https://data.gov.dk/model/concept/legalresource#
legal resource
kontrakt frivillig juridisk gældende aftale mellem to eller flere parter
https://spec.edmcouncil.org/fibo/FND/Agreements/Contracts/
https://data.gov.dk/model/concept/contract#
contract
kritikalitetstype klassifikation efter hvorvidt et it-systems anvendelse er forretningskritisk, samfundskritisk eller ikke kritisk
https://digst.dk/styring/systemstyring/model-for-portefoeljestyring-af-statslige-it-systemer/
https://data.gov.dk/model/concept/itsystem#
criticality type
leverandør kontraktpart der har rollen som leverandør
https://spec.edmcouncil.org/fibo/FND/Agreements/Contracts/
https://data.gov.dk/model/concept/contract#
counter party
offentlig forvaltningsopgavetype
klassifikation efter opgave der udføres af offentlige organisationer
https://arkitektur.digst.dk/rammearkitektur/datastandarder/anvendelsesprofil-organisationer
https://data.gov.dk/model/concept/organisation#
public administrative task type
ordregiver kontraktpart der har rollen som ordregiver https://spec.edmcouncil.org/fibo/FND/Agreements/Contracts/
https://data.gov.dk/model/concept/contract#
principal party
organisation samling mennesker, der er organiseret i et fællesskab eller anden social, kommerciel eller politisk struktur
http://www.w3.org/ns/org#;https://arkitektur.digst.dk/rammearkitektur/datastandarder/anvendelsesprofil-organisationer
https://data.gov.dk/model/concept/organisation#
organization
personoplysningskategori
klassifikation efter personoplysningers følsomhed idet der gælder forskellige betingelser og procedurer for behandling af oplysningerne
http://data.europa.eu/eli/reg/2016/679/oj
https://www.datatilsynet.dk/media/6567/fortegnelse.pdf
https://data.gov.dk/model/concept/dataprotection#
personal data category
UDKAST til Standard for beskrivelse af it-systemer Side 65 af 67
Foretrukken dansk term
Definition Juridisk kilde Kilde Tilhører emneområde
Foretrukken engelsk term
personoplysningsunderkategori
præcisering af hvilken underkategori af persondata systemet indeholder
notat om GDPR-modul i KITOS
https://data.gov.dk/model/concept/dataprotection#
personal data subcategory
produktserie serie af relaterede produkter der leverer den samme overordnede funktionalitet for brugeren
https://data.gov.dk/model/concept/itsystem#
product series
sagsområde klassifikation af sagsområde iht. bekendtgørelser for bevaring og kassation af digitale arkivalier på det regionale eller kommunale område
https://www.retsinformation.dk/eli/lta/2003/591;https://www.retsinformation.dk/eli/lta/2015/266; https://www.retsinformation.dk/eli/lta/2018/183;
https://www.sa.dk/da/offentlig-forvaltning/kommuner-og-regioner/bevaring-kassation-it-systemer/
https://data.gov.dk/model/concept/digitalarchival#
case area
softwareapplikation softwareprodukt designet til at udføre en række koordinerede funktioner, opgaver eller aktiviteter for slutbrugeren
schema.org, https://en.wikipedia.org/wiki/Appli-cation_software
https://data.gov.dk/model/concept/itin-frastructure#
software application
softwareprodukt software som tilbydes som produkt https://data.gov.dk/model/concept/itinfrastructure#
software product
system kombination af interagerende elementer der er organiseret for at opnå et eller flere erklærede formål
ISO/IEC 15288: https://www.iso.org/standard/63711.html
https://data.gov.dk/model/concept/sys-tem#
system
systemdokumentation
skriftligt materiale der redegør for et bestemt aspekt af it-systemet, herunder forretningskrav, funktionalitet, arkitektur, drift, vedligeholdelse og anvendelse
https://data.gov.dk/model/concept/itsystem#
system documentation
udviklingstype klassifikation efter hvorledes et it-system er blevet anskaffet, herunder om det er udviklet i egen organisation, bestillingsudviklet (fx ved udbud) eller er anskaffet som et kommercielt (Commercial-of-the-shelf, COTS) eller open source standardsystem.
https://docs.servicenow.com/bundle/london-it-business-management/page/product/application-portfolio-management/task/manage-business-appln.html
https://data.gov.dk/model/concept/itsystem#
IT system aquisition type
(se metadata og diagrammer online: https://data.gov.dk/test/udkast/ITSystemAP_UDKAST/index.htm )
UDKAST til Standard for beskrivelse af it-systemer Side 66 af 67
Dette dokument udgør en fællesoffentlig standard for beskrivelse af offentlige myndigheders it-systemer. Der indsamles oplysninger om offentlige it-systemer mange steder, så der er god værdi i at standardisere den måde hvorpå it-systemer beskrives og dermed understøtte højere genbrug og kvalitet i de indsamlede oplysninger.
digst.dk
