Model for porteføljestyring af statslige it-systemer

Denne side giver en overordnet introduktion til den obligatoriske model for porteføljestyring af statslige it-systemer.

Modellens formål

Model for porteføljestyring af statslige it-systemer skal understøtte den enkelte myndighed i at skabe det nødvendige indblik i it-systemporteføljens tilstand, så der kan træffes beslutninger om retning og prioritering i arbejdet med it-systemerne.

Modellens opbygning

På ovenstående billede ses modellens opdeling i kortlægningsdimensionerne og it-handlingsplanen.

Kortlægningsdimensionerne

Modellen består af seks kortlægningsdimensioner, som danner grundlag for udfærdigelsen af it-handlingsplanen og understøtter myndighederne i at skabe overblik over deres it-systemportefølje.

De seks kortlægningsdimensioner

Myndigheden skal redegøre for it-systemernes evne til at understøtte forretningens behov og processer. Dette omfatter kortlægning af, om myndighedens it-systemer stiller den nødvendige funktionalitet til rådighed set fra brugernes og ledelsens perspektiv.

Myndighedens kortlægning af it-systemernes forretningsunderstøttelse giver et overblik over og en forståelse af anvendeligheden af det enkelte it-system og den samlede it-systemportefølje. Myndigheden skal anvende denne indsigt til at identificere og prioritere tiltag i it-handlingsplanen med udgangspunkt i forretningens behov. I dybdekortlægningen skal der desuden redegøres for, hvordan forretningsunderstøttelsen forventes at være fremadrettet.

Myndigheden skal etablere et overblik over den tekniske tilstand på tværs af it-systemporteføljen på baggrund af flere parametre, herunder om it-systemerne kan vedligeholdes, videreudvikles, tilpasses, skaleres til myndighedens fremtidige behov og er baseret på standardadaptere.

Spørgsmålene retter sig blandt andet mod den fortsatte mulighed for opfyldelse af eventuelle udviklings- og vedligeholdelsesbehov. Kortlægningen giver dermed et billede af mulighederne for at opretholde den fremadrettede understøttelse af væsentlige forretningsprocesser.

I dybdekortlægningen skal der redegøres for, om it-systemets komponenter forventes vedligeholdt af leverandørmarkedet fremadrettet.

Myndigheden skal kortlægge, i hvilket omfang den er i besiddelse af aktuel, retvisende og fyldestgørende dokumentation af it-systemerne. Myndigheden skal endvidere forholde sig til, om varetagelsen af it-systemet er afhængigt af enkelte personers viden.

Kortlægningen giver et billede af tilstanden og myndighedens dokumentation af og viden om sine it-systemer, og af omfanget af afhængighed af nøglepersoner.

I dybdekortlægningen spørges der ind til, hvilke rettigheder myndigheden har i forhold til it-systemet, og om der findes processer for overdragelse af viden.

Myndighederne skal etablere og fremstille et transparent overblik over myndighedens it-systemomkostninger. Dette overblik giver mulighed for at prioritere og styre it-systemporteføljen effektivt samt giver bedre forudsætninger for en langsigtet prioritering af investeringerne. Dette gøres ved at kortlægge myndighedens samlede it-omkostninger, og herudover kortlægge de it-omkostninger, som knytter sig til de enkelte it-systemer i myndigheden. Hvis ikke der kan opnås en præcis fordeling på it-systemer, kan data udfyldes via en skønsmæssig fordeling. Hvis der anvendes en skønsmæssig vurdering, skal dette angives i it-handlingsplanen.

For de dybdekortlagte it-systemer skal omkostninger fordeles på omkostningstyperne it-drift, vedligehold og udvikling, og de planlagte investeringer skal angives. Myndigheden skal angive, om den generelt har en tilfredsstillende økonomistyring af sin it-systemportefølje.

Myndigheden skal redegøre for kontraktuelle forhold i de tilfælde, hvor myndigheden har outsourcet arbejdet med it-systemet, for eksempel drift eller vedligehold.

Myndigheden skal angive, om kontrakter vedrørende it-systemet kan genudbydes. Dette kan eksempelvis bygge på vurderinger af, om dokumentationen og systemets tekniske tilstand gør det realistisk at kunne flytte systemet til en ny leverandør.

Kontrakter skal styres løbende for at reducere risici, optimere samarbejdsrelationer med leverandører, håndtere aftaleforhold og sikre, at lovgivning i forhold til udbud overholdes. Derfor er der i denne dimension også et spørgsmål på myndighedsniveau, hvor myndigheden vurderer sin generelle leverandørstyring.

For de dybdekortlagte it-systemer skal leverandørnavne angives, lige som myndigheden skal besvare, om de efterlever ”Katalog over kontraktbestemmelser for samfundskritiske it-systemer” (et resultat af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021).

Myndigheden skal angive, om de efterlever ISO 27001-standarden, som det er besluttet for staten. Myndigheden skal derudover kortlægge, om it-systemerne er risikovurderede, og om de relevante sikkerhedsopdateringer og patches er implementeret.

For de dybdekortlagte it-systemer skal det angives, om der findes en beredskabsplan, og om logs monitoreres med henblik på at opdage sikkerhedshændelser.

Sikkerhed er centralt for vedligeholdelsen og udviklingen af statens it-systemer, der skal beskyttes, således at privatlivsbeskyttelse og informationssikkerhed sikres. Kortlægningen giver myndigheden et overblik over, om it-systemporteføljen er sikker og generelt lever op til sikkerhedskravene.

It-handlingsplanen

På baggrund af myndighedernes kortlægning af it-systemporteføljen skal der udarbejdes en it-handlingsplan. It-handlingsplanen er et fremadskuende dokument, der skal sætte retning for myndighedens strategiske styring af it-systemporteføljen. 

It-handlingsplanen beskriver den fremadrettede strategiske prioritering af it-systemporteføljen, og det er også her konkrete initiativer for det videre arbejde med it-systemporteføljen beskrives. Myndigheden skal redegøre for, om de nødvendige ressourcer er til stede til at realisere handlingsplanen. De opstillede initiativer skal kunne afholdes inden for myndighedens egen økonomiske ramme. Desuden skal myndigheden forholde sig til, om de opstillede initiativer er tilstrækkelige til at svare på de udfordringer, myndigheden har med sin systemportefølje.

Skabelon med syv kapitler

Til at støtte udarbejdelsen af handlingsplanen skal myndigheden anvende en obligatorisk skabelon, som indeholder syv kapitler.

Her giver myndigheden en kort status på implementeringen af den forrige it-handlingsplan og beskriver sammenhængen mellem den forrige og denne it-handlingsplan. Dette afsnit indeholder desuden en kort beskrivelse af udviklingen i it-porteføljens tilstand.

Her beskrives myndighedens forretningsstrategi eller kerneområder, så den forretningsmæssige forankring af planen fremgår tydeligt. Herudover beskrives myndighedens it-organisation og it-governance.

Her gives et samlet overblik over myndighedens it-portefølje, og det forklares, hvilke systemer der er en del af planen, og hvorfor dette fokus er valgt.

Her beskrives de udfordringer, kortlægningsdimensionerne har vist i datagrundlaget, og der opstilles initiativer i planen, som kan hjælpe myndigheden med at tage hånd om udfordringerne. Der er fire obligatoriske nedslagspunkter, men myndigheden kan medtage flere ved behov.

De fire nedslagspunkter er:

  1. Forretningsunderstøttelse
  2. It-systemtilstand og informationssikkerhed
  3. Kontrakter og sourcing
  4. Forsyningssikkerhed for samfundskritiske it-systemer (skal kun adresseres, hvis myndigheden har samfundskritiske it-systemer).

Her beskrives hvilke økonomiske, organisatoriske og kompetencemæssige fordele og udfordringer myndigheden har i forhold til at kunne implementere it-handlingsplanen. Implementeringen af it-handlingsplanens initiativer skal kunne realiseres inden for myndighedens egen økonomiske ramme.

Her oplistes it-handlingsplanens initiativer i tabelform, så der opnås overblik over de samlede initiativer og deres eventuelle sammenhænge.

Her kan der vedhæftes eventuelle ekstra bilag. Det er obligatorisk at vedlægge det bagvedliggende datagrundlag for it-systemporteføljen.

Review

Topledelsen i myndigheden skal hvert tredje år igennem et review ved Statens It-råd, som tager udgangspunkt i myndighedens it-handlingsplan. Det er obligatorisk for den øverste ledelse (styrelsesdirektøren eller lignende) at deltage i reviewet.

Forud for review ved Statens It-råd tilbyder It-rådets sekretariat at afholde møder med henblik på at supportere myndigheden i forberedelsen til reviewet. Desuden tilbydes der et rammesættende møde mellem medlemmer af It-rådet og myndighedens topledelse, som giver mulighed for en fælles forventningsafstemning forud for reviewet.

Review ved It-rådet tilrettelægges dialogbaseret og er henvendt til myndighedens øverste ledelse.

Dialogen mellem myndigheden og It-rådet sker på dialogmødet og tager afsæt i it-handlingsplanen, der omhandler myndighedens styring af it-systemporteføljen.

Som en del af reviewet modtager myndigheden efter dialogmødet et anbefalingsbrev fra It-rådet med anbefalinger til det fremadrettede arbejde med it-systemporteføljen. Efter reviewet pågår en opfølgning.

Vejledning

Der stilles to vejledninger til rådighed, som myndighederne kan bruge i forbindelse med review; Vejledning til model for porteføljestyring af statslige it-systemer og Vejledning til review og rådgivning ved Statens It-råd.

Vejledningerne har til formål at informere om og understøtte myndighedernes arbejde i forbindelse med review og forberedelsen hertil.

Vejledning til model for porteføljestyring af statslige it-systemer beskriver modellen og dens dimensioner.

Vejledning til review og rådgivning ved Statens It-råd beskriver reviewprocessen samt krav til materialer, obligatoriske møder, deadlines og tidshorisonter for arbejdet.

Se oversigt over alle dokumenter og værktøjer i modellen