Aftale om anvendelse af ITSM-værktøjer til understøttelse af processer i Datafordelerregi

Værktøjsunderstøttelse af processer

Bilag til datadistributionsaftale

Aftale om anvendelse af ITSM-værktøjer til understøttelse af processer i Datafordelerregi

Version	Dato	Ansvarlig
0.8	11-04-2018	Xxxxx Xxxxx
0.9	19-02-2019	Xxxxx Xxxxx
1.0	25-05-2020	Xxxxx Xxxxx

Indhold

Indledning 3

Beskrivelse af værktøjet 3

Adgang til værktøjet 4

Nøgleroller i værktøjet 4

Anvendere i værktøjet 5

Indmelding af sager i værktøjet 5

Prioritering af sager i værktøjet 5

Integrationen imellem operatørens og leverandørens ITSM-værktøjer 6

IT-sikkerhed i værktøjet 6

Links og views 8

Jira 8

Kontaktliste 8

Driftsforstyrrelser 8

Kendte fejl (known Error Database – KEDB) 9

Kommende ændringer 9

Indledning

Langt den største del af sagsbehandlingen af indkomne henvendelser fra anvendere, det vil sige incidents og requests, håndteres udelukkende af leverandøren i leverandørens servicedeskværktøj, i overensstemmelse med kontrakten. Leverandørens værktøj beskrives ikke i dette dokument, men det gør derimod:

- Datafordelermyndighedens ITSM-værktøj.

- Integrationen imellem datafordelereoperatørens ITSM-værktøj og leverandørens servicedeskværktøj.

- IT-sikkerheden i Datafordelerens ITSM-værktøj

- Links og views, der understøtter registermyndigheder og anvendere

Procedurer for hver enkelt proces gennemgås i særskilte bilag til Datadistributionsaftalen og behandles derfor ikke i dette bilag.

Beskrivelse af værktøjet

Datafordelermyndighedens ITSM-værktøj er p.t. Jira, der er udviklet af den australske virksomhed Atlassian, i en serverudgave, der er installeret i et AWS (Amazon) datacenter i Irland. Jira er suppleret med Atlassians system Confluence, der er effektivt i forhold til at dele viden og udstille sager fra Jira. Flere oplysninger om Jira og Confluence kan findes på xxxxx://xxx.xxxxxxxxx.xxx, mens links til datafordelermyndighedens installation af værktøjerne kan findes bagerst i dette dokument.

I datafordelermyndighedens ITSM-værktøj får hvert register sit eget projekt, hvor incidents, requests og problems der vedrører registret i produktionsmiljøet indmeldes og behandles. Hvert testmiljø får endvidere sit eget projekt i værktøjet, ligesom der oprettes særskilte projekter til at understøtte eksempelvis ændringshåndtering, CSI-processen og meddelelser til xxxxxxxxxxxx.xx. Her skelnes der ikke imellem hvilket register en given sag kommer fra, selvom dette selvfølgelig kan påføres sagen, hvis dette er relevant.

Der vil ikke kunne oprettes andre projekter i datafordelermyndighedens ITSM- værktøj, hvilket skyldes IT- og Datasikkerhedshensyn. Workflows vil ligeledes ikke vil kunne specialtilpasses til hvert enkelt register, hvilket skyldes integrationen til leverandørens servicedeskværktøj.

Den enkelte registermyndighed, som løser et incident fremsendt af supportleverandøren via datafordelermyndighedens ITSM-værktøj, kan anvende eget supportværktøj ind imod deres underleveradør. De er dog stadigt forpligtet til løbende at vedligeholde sagen i datafordelermyndighedens ITSM-værktøj, for at sikre at indberetter og øvrige parter til enhver tid har adgang til den opdaterede viden om sagen.

Adgang til værktøjet

Operatøren kan til enhver tid kontaktes med henblik på at oprette, ændre eller slette adgang til datafordelermyndighedens ITSM-værktøj, samt for support i forbindelse med brugen af værktøjet. Skriv til xxxxxxx@xxxxxxxxxxxx.xx.

Det er kun de kontaktpersoner, som registermyndigheden specificerer, samt datafordelermyndigheden og leverandøren, der har adgang til registrenes egne projekter.

Nøgleroller i værktøjet

For at sagsgangen skal glide så smidigt som muligt i datafordelermyndighedens ITSM-værktøj, så er det vigtigt at visse roller og kontaktpersoner, som skal håndtere produktionssager for et givent register, er kendt af alle parter. I praksis arbejdes der med følgende roller, der hver har tilknyttet en bruger i datafordelermyndighedens ITSM-værktøj:

• Incident Manager: Alle fejlsager for registret assignes til brugeren når de oprettes, og hvis der opstår spørgsmål eller andet i forbindelse med en fejlsag, så er det denne bruger, operatøren kontakter.

• Service Request Manager: Alle sager der vedrører service requests for registret

assignes til brugeren når de oprettes, og hvis der opstår spørgsmål eller andet i forbindelse med service requests, så er det denne bruger, operatøren kontakter.

• Change Manager: Hvis der opstår spørgsmål eller andet i forbindelse med

ændringer på Datafordeleren, der vedrører registret, så er det denne bruger, operatøren kontakter. Dette kan med fordel være den samme fysiske person, der indgår i Datafordelerens Change Advisory Board (CAB).

• Projektleder: Denne bruger har administrative rettigheder på registrets projekt.

• Almindelige registerbrugere: Dette kan være forretningsmæssige eller tekniske ressourcer fra registermyndgheden, der administrere registret, eller dennes underleverandører, som ikke skal have nogen af ovenstående roller

Den bagvedliggende e-mailadresse for procesebestyrerrollerne Incident Manager, Service Request Manager, Change Manager og projektleder kan med fordel være en funktionspostkasse eller lignende, så det det samlede setup bliver så lidt personafhængigt som muligt. Det er vigtigt at bemærke, at samme e-mailadresse eller fysiske person godt kan være tilknyttet flere roller.

Det samlede overblik over alle registres procesbestyrere kan til enhver tid ses i kontaktlisten, som der findes link til bagerst i dette bilag.

Anvendere i værktøjet

Der vil ikke være nogen almindelige anvendere i datafordelermyndighedens ITSM- værktøj, da disse serviceres igennem leverandørens servicedeskværktøj, som specificeret i kontrakten med leverandøren.

Eneste undtagelse hertil er de særlige tilfælde, hvor der køres struktureret anvendertest. Her får anvenderne adgang til at registrere og skrive på sager på det testmiljø, som knytter sig til den anvendertest der udføres. Når anvendertesten er gennemført, så slettes anvendernes adgang til værktøjet igen.

Indmelding af sager i værktøjet

Når en sag indmeldes, så skal den som udgangspunkt indeholde følgende information:

Prioritering af sager i værktøjet

Prioriteringen af incidents følger kontrakten med leverandøren, som er en skala fra A, som er den mest kritiske forstyrrelse, til E, som er den mindst kritiske forstyrrelse. Ved prioriteringen lægges der vægt på hvor kritisk en fejl er for løsningen af systemets opgaver samt om rimelig omgåelse er mulig. Link til prioriteringskriterierne for incidents findes til enhver tid som bilag til datafordelermyndighedens incidentproces.

For problem og requestsager er der ingen kontraktlige formuleringer omkring prioritering, så her benyttes en standard ITIL prioriteringsmekanisme, hvor man beskriver:

• Impact: Hvad er de forretningsmæssige konsekevenser af sagen?

• Urgency: Hvor mange er påvirket af sagen?

Nedenstående prioriteringsmatrice viser hvordan prioriteringen af problems og requests udregnes på baggrund af impact og urgency.

For både incidents, problemer og requests er det meget vigtigt at beskrive sagens impact, da det vil være denne der er den bedste rettesnor i forhold til hvordan og hvor hurtigt sagen vil blive behandlet.

Integrationen imellem operatørens og leverandørens ITSM-værktøjer Der udvikles en integration mellem leverandørens servicedeskværktøj og datafordelermyndighedens ITSM-værktøj, således at der til enhver tid vil være overensstemmelse imellem supportsagerne i de systemer. Integrationen tager højde for, når en sag:

• Oprettes

• Tildeles til en registermyndighed (business service)

• Tilføjes kommentarer eller vedhæftninger

• Skifter status

• Lukkes

Teknisk er integrationen etableret som en mail integration der går gennem leverandørens servicebroker.

I praksis betyder det, at leverandøren kun i begrænset omfang behøver arbejde i datafordelermyndighedens ITSM-værktøj, mens registermyndighederne ikke vil skulle forholde sig til leverandørens servicedeskværktøj. Dette vil gøre det nemmere for alle parter og vil sikre, at sagsopdateringer fra leverandørens 24/7 ressourcer, der ikke har adgang til datafordelermyndighedens ITSM-værktøj, på trods heraf sendes direkte til registermyndighederne.

IT-sikkerhed i værktøjet

Der skelnes imellem registerdata og brugerdata for dem der anvender systemet. Anvendere af systemet accepterer at deres brugernavn og den e-mail de har tilknyttet dette er kendt af systemets øvrige anvendere.

I det omfang, der er tale om et brud på persondatasikkerheden1, gælder der særlige regler om underretning af Datatilsynet og de registrerede. Disse regler gennemgås nærmere i bilag 5.d Procesdiagram, procesbeskrivelse og RASCI, pkt. 15.

Sagerne i supportværktøjet må ikke indeholde registerdata, der er personfølsomme, ikke er direkte relevante for løsning af en konkrete sag eller som kan forårsage et sikkerhedsbrud.

Eksempler på data der ikke må forekomme i operatørens supportværktøj er:

- Passwords til web- og tjenestebrugere

- CPR-numre

- Udtræk af registerdata, indeholdende personoplysninger

- Kontaktoplysninger (eller andre oplysninger) for brugere af Datafordeleren eller operatørens supportværktøj, der ikke er direkte relevante for løsningen af en konkret sag (fx adresseoplysninger)

Disse oplysninger skal maskeres i såvel klartekst som i billeder. Såfremt man i supportsammenhænge har behov for at dele disse oplysninger, så aftaler man i den konkrete sag, at disse sendes via sikker post.

Eksempler på data, der gerne må forekomme i datafordelermyndighedens ITSM- værktøj, såfremt der er nødvendigt for løsning af en konkret sag, er:

- Fornavn, efternavn, virksomhed, mailadresser og telefonnumre på teknikere, der skal bidrage med løsning af sagen.

- Fornavn, efternavn, virksomhed, mailadresser og telefonnumre for brugere, der skal bidrage til løsning af sagen.

- IP-adresser der kaldes fra i en konkret sag, som skal whitelistes eller lignende

- Brugernavne på web- og tjenestebrugere, der benyttes i en konkret sag

Leverandøren kontrollerer løbende indkomne sager i deres Servicedeskværktøj for data af ovennævnte type, og fjerner data af denne type før sagen sendes til datafordelermyndighedens ITSM-værktøj.

De mails der udsendes fra datafordelermyndighedens ITSM-værktøj er anonymiserede og indeholder ingen former for person- eller sagshenførebare oplysninger, ud over sagens nøgle, en beskrivelse af at der er nyt i sagen og et link til sagen i værktøjet.

1 Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Et brud på persondatasikkerheden er samtidig en informationssikkerhedshændelse.

Datafordelermyndigheden har ansvaret for løbende at sikre at data i deres supportværktøj lever op til ovenstående retningslinjer, og kan uden varsel rette i konkrete sager for at sikre at de gør det.

Registermyndigheder og deres underleverandører er forpligtede til at kontakte datafordelermyndigheden, såfremt de opdager at der er et brud på sikkerheden i datafordelermyndighedens ITSM-værktøj, herunder ovenstående regler for datasikkerhed.

Links og views

Nedenfor beskrives de views, som stilles til rådighed for Datafordelerens registre og anvendere, med henblik på at give alle et samlet overblik over de sager der findes i datafordelermyndighedens ITSM-system. Det er vigtigt at bemærke, at anvendere kun får adgang til det data som specificeres af operatørens procesejere, og altså ikke til underliggende data i registrenes projekter.

Jira

Jira – som er beskrevet i flere detaljer ovenfor – er det ITSM-system, hvor alle sager som registermyndigheder skal ind over, oprettes og behandles. Linket til værktøjet er:

xxxxx://Xxxx.xxxxxxxxxxxx.xx

Kontaktliste

Kontaktlisten er den autoritative liste over alle registermyndigheders, leverandørens og datafordelermyndighedens kontaktpunkter, dels i Jira (procesbestyrere og projektleder) og dels i forhold til support bredere set. Linket er:

xxxxx://xxxxxxxxxx.xxxxxxxxxxxx.xx/xxxxxxx/XXX/Xxxxxxxxxxxxxxxxxxxx Alle funktioner – det vil sige Registermyndigheder, leverandøren og

datafordelermyndigheden – forpligter sig til at holde denne kontaktliste opdateret. Dette gøres ved at sende en mail til xxxxxxx@xxxxxxxxxxxx.xx.

Driftsforstyrrelser

Fra en fejl opdages på Datafordeleren til den løses, har anvendere og registermyndigheder behov for at vide hvad status er på fejlen.

Datafordelermyndigheden vedligeholder denne status i ITSM-værktøjet, og de aktuelle driftsforstyrrelser kan altid følges på nedenstående link:

xxxxx://xxxxxxxxxxxx.xx/xxxxx/xxxxxxxxxxx

Kendte fejl (known Error Database – KEDB)

Registermyndigheder, leverandøren og datafordelermyndigheden vedligeholder sammen en Known Error Database, hvor kendte fejl og disses omgåelser kan findes. Procedurerne for dette er beskrevet i Bilag 7, Problemhåndteringsprocessen. Linket til KEDB’en er:

xxxxx://xxxxxxxxxxxx.xx/xxxxxxx/xxxxxx-xxxx

Kommende ændringer

Ændringsønsker behandles efter datafordelermyndighedens ændringshåndterings- proces, som er beskerevet i Bilag 8, Ændringsåndteringsprocessen. Så snart de er modtaget og kvalitetssikret hos datafordelermyndigheden, kan kommende ændringer ses på nedenstående link:

xxxxx://xxxxxxxxxxxx.xx/xxxxx/xxxxxxxxxxxxxxxx