Denne side giver en overordnet introduktion til den obligatoriske model for porteføljestyring af statslige it-systemer.
Model for porteføljestyring af statslige it-systemer skal understøtte den enkelte myndighed i at skabe det nødvendige indblik i it-systemporteføljens tilstand, så der kan træffes beslutninger om retning og prioritering i arbejdet med it-systemerne.
Modellen består af seks kortlægningsdimensioner. Inden for hver dimension skal myndigheden besvare nogle spørgsmål i datagrundlaget. Kortlægningsdimensionerne understøtter myndighederne i at skabe overblik over deres it-systemportefølje.
De seks kortlægningsdimensioner
Myndigheden skal redegøre for it-systemernes evne til at understøtte forretningens behov og processer. Dette omfatter kortlægning af, om myndighedens it-systemer stiller den nødvendige funktionalitet til rådighed set fra brugernes og ledelsens perspektiv.
Myndighedens kortlægning af it-systemernes forretningsunderstøttelse giver et overblik over og en forståelse af anvendeligheden af det enkelte it-system og den samlede it-systemportefølje. Myndigheden skal anvende denne indsigt til at identificere og prioritere tiltag i it-handlingsplanen med udgangspunkt i forretningens behov. I dybdekortlægningen skal der desuden redegøres for, hvordan forretningsunderstøttelsen forventes at være fremadrettet.
Myndigheden skal etablere et overblik over den tekniske tilstand på tværs af it-systemporteføljen på baggrund af flere parametre, herunder om it-systemerne kan vedligeholdes, videreudvikles, tilpasses, skaleres til myndighedens fremtidige behov og er baseret på standardadaptere.
Spørgsmålene retter sig blandt andet mod den fortsatte mulighed for opfyldelse af eventuelle udviklings- og vedligeholdelsesbehov. Kortlægningen giver dermed et billede af mulighederne for at opretholde den fremadrettede understøttelse af væsentlige forretningsprocesser.
I dybdekortlægningen skal der redegøres for, om it-systemets komponenter forventes vedligeholdt af leverandørmarkedet fremadrettet.
Myndigheden skal kortlægge, i hvilket omfang den er i besiddelse af aktuel, retvisende og fyldestgørende dokumentation af it-systemerne. Myndigheden skal endvidere forholde sig til, om varetagelsen af it-systemet er afhængigt af enkelte personers viden.
Kortlægningen giver et billede af tilstanden og myndighedens dokumentation af og viden om sine it-systemer, og af omfanget af afhængighed af nøglepersoner.
I dybdekortlægningen spørges der ind til, hvilke rettigheder myndigheden har i forhold til it-systemet, og om der findes processer for overdragelse af viden.
Myndighederne skal etablere og fremstille et transparent overblik over myndighedens it-systemomkostninger. Dette overblik giver mulighed for at prioritere og styre it-systemporteføljen effektivt samt giver bedre forudsætninger for en langsigtet prioritering af investeringerne. Dette gøres ved at kortlægge myndighedens samlede it-omkostninger, og herudover kortlægge de it-omkostninger, som knytter sig til de enkelte it-systemer i myndigheden. Hvis ikke der kan opnås en præcis fordeling på it-systemer, kan data udfyldes via en skønsmæssig fordeling. Hvis der anvendes en skønsmæssig vurdering, skal dette angives i it-handlingsplanen.
For de dybdekortlagte it-systemer skal omkostninger fordeles på omkostningstyperne it-drift, vedligehold og udvikling, og de planlagte investeringer skal angives. Myndigheden skal angive, om den generelt har en tilfredsstillende økonomistyring af sin it-systemportefølje.
Myndigheden skal redegøre for kontraktuelle forhold i de tilfælde, hvor myndigheden har outsourcet arbejdet med it-systemet, for eksempel drift eller vedligehold.
Myndigheden skal angive, om kontrakter vedrørende it-systemet kan genudbydes. Dette kan eksempelvis bygge på vurderinger af, om dokumentationen og systemets tekniske tilstand gør det realistisk at kunne flytte systemet til en ny leverandør.
Kontrakter skal styres løbende for at reducere risici, optimere samarbejdsrelationer med leverandører, håndtere aftaleforhold og sikre, at lovgivning i forhold til udbud overholdes. Derfor er der i denne dimension også et spørgsmål på myndighedsniveau, hvor myndigheden vurderer sin generelle leverandørstyring.
For de dybdekortlagte it-systemer skal leverandørnavne angives, lige som myndigheden skal besvare, om de efterlever ”Katalog over kontraktbestemmelser for samfundskritiske it-systemer” (et resultat af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021).
Myndigheden skal angive, om de efterlever ISO 27001-standarden, som det er besluttet for staten. Myndigheden skal derudover kortlægge, om it-systemerne er risikovurderede, og om de relevante sikkerhedsopdateringer og patches er implementeret.
For de dybdekortlagte it-systemer skal det angives, om der findes en beredskabsplan, og om logs monitoreres med henblik på at opdage sikkerhedshændelser.
Sikkerhed er centralt for vedligeholdelsen og udviklingen af statens it-systemer, der skal beskyttes, således at privatlivsbeskyttelse og informationssikkerhed sikres. Kortlægningen giver myndigheden et overblik over, om it-systemporteføljen er sikker og generelt lever op til sikkerhedskravene.
På baggrund af myndighedernes kortlægning af it-systemporteføljen skal der udarbejdes en it-handlingsplan. It-handlingsplanen er et fremadskuende dokument, der skal sætte retning for myndighedens strategiske styring af it-systemporteføljen.
It-handlingsplanen beskriver den fremadrettede strategiske prioritering af it-systemporteføljen, og det er også her konkrete initiativer for det videre arbejde med it-systemporteføljen beskrives. Myndigheden skal redegøre for, om de nødvendige ressourcer er til stede til at realisere handlingsplanen. De opstillede initiativer skal kunne afholdes inden for myndighedens egen økonomiske ramme. Desuden skal myndigheden forholde sig til, om de opstillede initiativer er tilstrækkelige til at svare på de udfordringer, myndigheden har med sin systemportefølje.
Skabelon med fem kapitler
Til at støtte udarbejdelsen af handlingsplanen skal myndigheden anvende en obligatorisk skabelon, som indeholder syv kapitler.
Her angiver myndigheden, hvordan det er gået siden sidst, samt hvilke aktiviteter, der er de vigtigste lige nu.
Her redegør myndigheden for sine samlede it-ressourcer, dvs. it-økonomi og it-medarbejdere.
Her oplistes it-handlingsplanens initiativer i tabelform, så der opnås overblik over de samlede initiativer og deres eventuelle sammenhænge. Desuden skal der udfyldes en one pager for hvert større initiativ. Implementeringen af it-handlingsplanens initiativer skal kunne realiseres inden for myndighedens egen økonomiske ramme.
Her beskrives myndighedens kerneopgaver og organisation, samt hvilken it-styringsmodel og hvilket it-systemlandskab myndigheden har. Dette kapitel udfyldes hvert tredje år i forbindelse med et review eller ved ændringer.
Her kan der vedhæftes eventuelle ekstra bilag. Det er obligatorisk at vedlægge det bagvedliggende datagrundlag for it-systemporteføljen.
Myndigheden skal hvert tredje år igennem et review ved Statens It-råd, som tager udgangspunkt i myndighedens it-handlingsplan. Det er obligatorisk for den øverste ledelse (styrelsesdirektøren eller lignende) at deltage i reviewet.
Som en del af reviewet modtager myndigheden et anbefalingsbrev fra It-rådet med anbefalinger til det fremadrettede arbejde med it-systemporteføljen. Efter reviewet pågår en opfølgning.
Forud for review ved Statens It-råd tilbyder It-rådets sekretariat at afholde møder med henblik på at supportere myndigheden i forberedelsen til reviewet. Desuden tilbydes der et rammesættende møde mellem medlemmer af It-rådet og myndighedens topledelse, som giver mulighed for en fælles forventningsafstemning forud for reviewet.
Der stilles to vejledninger til rådighed, som myndighederne kan bruge i forbindelse med review; Vejledning til model for porteføljestyring af statslige it-systemer og Vejledning til review og rådgivning ved Statens It-råd.
Vejledningerne har til formål at informere om og understøtte myndighedernes arbejde i forbindelse med review og forberedelsen hertil.
Vejledning til model for porteføljestyring af statslige it-systemer beskriver modellen og dens dimensioner.
Vejledning til review og rådgivning ved Statens It-råd beskriver reviewprocessen samt krav til materialer, obligatoriske møder, deadlines og tidshorisonter for arbejdet.
Se oversigt over alle dokumenter og værktøjer i modellen
Hvis du har spørgsmål til model for porteføljestyring af statslige it-systemer, er du velkommen til at kontakte os.