Kortlægningsdimensioner

Myndigheden skal redegøre for it-systemernes evne til at understøtte forretningens behov og processer. Dette omfatter kortlægning af, om myndighedens it-systemer stiller den nødvendige funktionalitet til rådighed set fra brugernes og ledelsens perspektiv.

Myndighedens kortlægning af it-systemernes forretningsunderstøttelse giver et overblik over og en forståelse af anvendeligheden af det enkelte it-system og den samlede it-systemportefølje. Myndigheden skal anvende denne indsigt til at identificere og prioritere tiltag i it-handlingsplanen med udgangspunkt i forretningens behov. I dybdekortlægningen skal der desuden redegøres for, hvordan forretningsunderstøttelsen forventes at være fremadrettet.

Myndigheden skal etablere et overblik over den tekniske tilstand på tværs af it-systemporteføljen på baggrund af flere parametre, herunder om it-systemerne kan vedligeholdes, videreudvikles, tilpasses, skaleres til myndighedens fremtidige behov og er baseret på standardadaptere.

Spørgsmålene retter sig blandt andet mod den fortsatte mulighed for opfyldelse af eventuelle udviklings- og vedligeholdelsesbehov. Kortlægningen giver dermed et billede af mulighederne for at opretholde den fremadrettede understøttelse af væsentlige forretningsprocesser.

I dybdekortlægningen skal der redegøres for, om it-systemets komponenter forventes vedligeholdt af leverandørmarkedet fremadrettet.

Myndigheden skal kortlægge, i hvilket omfang den er i besiddelse af aktuel, retvisende og fyldestgørende dokumentation af it-systemerne. Myndigheden skal endvidere forholde sig til, om varetagelsen af it-systemet er afhængigt af enkelte personers viden.

Kortlægningen giver et billede af tilstanden og myndighedens dokumentation af og viden om sine it-systemer, og af omfanget af afhængighed af nøglepersoner.

I dybdekortlægningen spørges der ind til, hvilke rettigheder myndigheden har i forhold til it-systemet, og om der findes processer for overdragelse af viden.

Myndighederne skal etablere og fremstille et transparent overblik over myndighedens it-systemomkostninger. Dette overblik giver mulighed for at prioritere og styre it-systemporteføljen effektivt samt giver bedre forudsætninger for en langsigtet prioritering af investeringerne. Dette gøres ved at kortlægge myndighedens samlede it-omkostninger, og herudover kortlægge de it-omkostninger, som knytter sig til de enkelte it-systemer i myndigheden. Hvis ikke der kan opnås en præcis fordeling på it-systemer, kan data udfyldes via en skønsmæssig fordeling. Hvis der anvendes en skønsmæssig vurdering, skal dette angives i it-handlingsplanen.

For de dybdekortlagte it-systemer skal omkostninger fordeles på omkostningstyperne it-drift, vedligehold og udvikling, og de planlagte investeringer skal angives. Myndigheden skal angive, om den generelt har en tilfredsstillende økonomistyring af sin it-systemportefølje.

Myndigheden skal redegøre for kontraktuelle forhold i de tilfælde, hvor myndigheden har outsourcet arbejdet med it-systemet, for eksempel drift eller vedligehold.

Myndigheden skal angive, om kontrakter vedrørende it-systemet kan genudbydes. Dette kan eksempelvis bygge på vurderinger af, om dokumentationen og systemets tekniske tilstand gør det realistisk at kunne flytte systemet til en ny leverandør.

Kontrakter skal styres løbende for at reducere risici, optimere samarbejdsrelationer med leverandører, håndtere aftaleforhold og sikre, at lovgivning i forhold til udbud overholdes. Derfor er der i denne dimension også et spørgsmål på myndighedsniveau, hvor myndigheden vurderer sin generelle leverandørstyring.

For de dybdekortlagte it-systemer skal leverandørnavne angives, lige som myndigheden skal besvare, om de efterlever ”Katalog over kontraktbestemmelser for samfundskritiske it-systemer” (et resultat af den Nationale Strategi for Cyber- og Informationssikkerhed 2018-2021).

Myndigheden skal angive, om de efterlever ISO 27001-standarden, som det er besluttet for staten. Myndigheden skal derudover kortlægge, om it-systemerne er risikovurderede, og om de relevante sikkerhedsopdateringer og patches er implementeret.

For de dybdekortlagte it-systemer skal det angives, om der findes en beredskabsplan, og om logs monitoreres med henblik på at opdage sikkerhedshændelser.

Sikkerhed er centralt for vedligeholdelsen og udviklingen af statens it-systemer, der skal beskyttes, således at privatlivsbeskyttelse og informationssikkerhed sikres. Kortlægningen giver myndigheden et overblik over, om it-systemporteføljen er sikker og generelt lever op til sikkerhedskravene.