Systemförvaltning, riktlinje
- Startsida
- Kommun och politik
- Planer och styrande dokument
- Författningssamling
- Interna riktlinjer
- Systemförvaltning, riktlinje
Riktlinje för systemförvaltning.
Antagen av Kommunstyrelsen den 11 juni 2024, § 117.
1. Inledning
Denna strategi gäller för hela Arvika kommun med dess bolag; alla anställda, förtroendevalda och andra som har behörighet att använda kommunernas resurser för IT-kommunikation.
Arvika kommunkoncern är beroende av kontinuerlig tillgång till ett flertal IT-baserade verksamhetssystem. För att säkerställa tillgången till informationen ska en modell för systemförvaltning användas. Modellen för systemförvaltning ska också möjliggöra ett proaktivt arbete för att planera, upprätthålla och utveckla IT-stödet utifrån ekonomi, säkerhet, verksamhetsnytta, arbetsmiljö och verksamhetsutveckling.
Med systemförvaltning avses förvaltning av Arvika kommunkoncerns verksamhetssystem. Med verksamhetssystem avses ett IT-stöd som samlar in, lagrar, bearbetar och distribuerar informationen och därigenom stödjer kommunikation och arbete inom och mellan verksamheter.
Verksamhetssystem kan också kallas informationstillgång, systemstöd eller IT-system. I den här riktlinjen används fortsättningsvis verksamhetssystem.
2. Syfte och mål
2.1. Syftet med riktlinjen
Syftet med riktlinjen är att beskriva hur Arvika kommunkoncern ska arbeta enligt en gemensam systemförvaltningsmodell. Riktlinjen har också till syfte att fastställa roller och ansvar i modellen för systemförvaltning.
2.2. Syftet med systemförvaltning
2.2.1. Ekonomi
Verksamheter investerar resurser i sina verksamhetssystem. För att säkerställa nyttan med investeringen krävs uppföljning och ett kontinuerligt underhåll av verksamhetssystemet enligt en systemförvaltningsmodell. Faktorer som kan bli kostsamma över tid är:
- om verksamhetssystemet inte underhålls eller uppdateras
- om verksamhetssystemet inte används som det är tänkt eller inte används alls
- om verksamhetssystemet inte upphandlas enligt gällande rutiner och lagstiftning
2.2.2. Säkerhet
Ett verksamhetssystem innehåller mängder av information, däribland personuppgifter. Information är värdefullt och ska skyddas efter behov. Den ska därför klassificeras efter de informationssäkerhetskrav som ställs avseende konfidentialitet, riktighet, tillgänglighet och spårbarhet. Det ska leda till att effektiva säkerhetsåtgärder kan vidtas, exempelvis behörighetsstyrning.
2.2.3. Verksamhetsnytta
Verksamhetssystemet ska stötta verksamhetens processer på bästa sätt för att säkerställa verksamhetsnyttan. Risken finns annars att verksamhetssystemet snarare blir ett hinder än ett stöd i det dagliga arbetet.
2.2.4. Arbetsmiljö
Ett väl fungerande verksamhetssystem ska vara till hjälp och underlätta det dagliga arbetet för våra medarbetare. Om verksamhetssystemet inte förvaltas korrekt finns en risk att det försvårar för medarbetare och blir ett arbetsmiljöproblem. Det är därför viktigt att säkerställa att drift och support fungerar samt att verksamhetens krav och synpunkter beaktas i utvecklingen av verksamhetssystemet.
2.3. Mål
Att genom att arbeta efter en kommungemensam modell för systemförvaltning säkerställa informationstillgångarna i Arvika kommunkoncern.
3. Övriga styrdokument, lagar och förordningar av relevans för riktlinjen
- Arkivlagen (1990:782)
- Dataskyddsförordningen (EU 2016/679)
- Dataskyddslagen (2018:218)
- Policy för informationssäkerhet
- Upphandlingspolicy
- Process för inköp och införande av nytt IT-
4. Ansvar och organisation
Kommunfullmäktige fastställer den riktlinje för systemförvaltning som ska gälla för Arvika kommun. Kommunstyrelsen ansvarar för att kommunens riktlinje för systemförvaltning samt att program och planer för denna riktlinje utarbetas och hålls aktuella.
Varje nämnd och bolagsstyrelse är, utifrån denna riktlinje och kommunstyrelsens program och planer, ansvarig för systemförvaltningen inom sitt verksamhetsområde. Ansvaret för systemförvaltning följer verksamhetsansvaret. Alla medarbetare har ett ansvar för att följa uppställda styrdokument. Det samma gäller när tillfällig personal eller extern aktör/ uppdragstagare anlitas.
Nedan beskrivna roller gäller för den systemförvaltning som sker inom Arvika kommunkoncern. Alla verksamhetssystem ska ha en ansvarig systemägare och en av systemägaren utsedd systemförvaltare. Rollen systemadministratör kan användas som ett komplement till systemförvaltaren om verksamhetens organisation behöver det.
4.1. Informationsägare
Informationsägare är den som äger och ansvarar för att informationen är riktig och tillförlitlig, samt för det sätt informationen sprids. Det är nämnder och bolagsstyrelser som är informationsägare inom ramen för sina verksamheter. Informationsägaren ska:
- i dialog med systemägaren sätta upp tillräckliga säkerhetskrav för verksamhetssystemet som hanterar informationen genom att ansvara för riskklassificering
- ansvara för att personuppgiftsbiträdesavtal upprättas
4.2. Systemägare
Systemägaren har det överordnade ansvaret för budget, administration och drift av en eller flera verksamhetssystem. Systemägare är vanligtvis en verksamhetschef-, avdelnings-, enhets-, eller bolagschef. Systemägaren ska:
- vara ytterst ansvarig för Budget bör innehålla följande:
- Upphandling och införandeprojekt
- Driftbudget
- Licenser
- Utvecklingskostnader
- Avtalsförnyelse
- säkerställa att förvaltning och utveckling av system eller administrativa tjänster sker tillsammans med verksamhetsfunktioner utifrån ett verksamhetsperspektiv
- tillsätta systemförvaltare och säkerställa att systemförvaltaren har rätt utbildning och kompetens i rollen som systemförvaltare
- säkerställa att verksamhetssystem införskaffas enligt Arvika kommunkoncerns rutiner för upphandling och i enlighet med processen för inköp och införande av nytt IT-system.
- säkerställa att aktuella avtal för verksamhetssystemet upprättas. Avtalet ska registreras i respektive nämnd eller bolags diarium för bevarande och i e-avrop för bevarande under avtalstiden
- säkerställa med systemförvaltare att systemet är rätt licenserat
- säkerställa med systemförvaltare att systemet är klassat utifrån krav på informationssäkerhet
4.3. Systemförvaltare
Systemförvaltaren har till skillnad från systemägaren det operativa ansvaret för ett eller flera verksamhetssystem. Systemförvaltaren utses av systemägaren. Systemförvaltare är kontaktperson gentemot systemleverantör, tjänsteleverantör och driftleverantör.
Systemförvaltare ansvarar för administration och förvaltning av verksamhetssystemet, och rapporterar till systemägare och informerar systemadministratörer. Systemförvaltaren ska;
- synliggöra verksamhetssystemets olika funktioner och verksamhetsnytta inom organisationen, samt arbeta för ökad användarnytta
- inventera och samordna behov av utbildning, samt att tillhandahålla och genomföra utbildningar av verksamhetssystemet
- upprätta, uppdatera och tillhandahålla guider och manualer
- sprida information om nya funktioner till användare och samordna eventuella behov av utveckling av verksamhetssystemet
- Informera berörda användare vid planerade uppdateringar, driftstörningar eller andra avbrott
- upprätta systemförvaltningsplan (upprättas och revideras årligen och stäms av med systemägare)
- vara systemägarens stöd i tekniska frågor rörande förbättringar, drift och upphandling av nya och befintliga system
- säkerställa att rutin finns för hantering av uppgifter för individer med skyddad identitet
- vara huvudkontakt gentemot verksamheten och leverantören
- vara ansvarig för administration av användare och behörigheter i verksamhetssystemet
- ansvara för att det finns kontinuitetsplaner för verksamhetssystemet
- ta emot och registrerar supportärenden i leverantörens kundportal
4.4. Systemadministratör
Systemadministratören ansvarar för den dagliga användningen av verksamhetssystemet. En och samma person kan ha båda rollerna som systemförvaltare och systemadministratör.
Systemadministratör har delegerat ansvar från systemförvaltare gällande administration och förvaltning av system, och rapporterar till systemförvaltare. Systemadministratören ska;
- synliggöra verksamhetssystemets olika funktioner och verksamhetsnytta inom organisationen, samt arbeta för ökad användarnytta
- upprätta, uppdatera och tillhandahålla guider och manualer
- sprida information om nya funktioner till användare och samordna eventuella behov av utveckling av verksamhetssystemet
- Informera berörda användare vid planerade uppdateringar, driftstörningar eller andra avbrott
- vara ansvarig för administration av användare och behörigheter i verksamhetssystemet
- ta emot och registrerar supportärenden i leverantörens kundportal
4.5. Systemleverantör
Systemleverantör levererar verksamhetssystem och tillhandahåller uppdateringar av verksamhetssystemet.
4.6. Tjänsteleverantör
Tjänsteleverantörer tillhandahåller tjänster kopplade till verksamhetssystemet som exempelvis drift, support och utbildning. Tjänsteleverantör och systemleverantör kan vara densamma.
4.7. Drifrleverantör
Driftleverantörens tillhandahåller enbart drift av verksamhetssystemet. Vid intern drift av verksamhetssystem är it-enheten driftleverantör och ansvarar för att tillsammans med verksamheterna planera och genomföra systemuppdateringar.
5. Modell för systemförvaltning
5.1. Dokumentation kopplat till verksamhetssystemet
Ett verksamhetssystem ska vara väl dokumenterat och informationen i verksamhetssystemet ska klassificeras. Systemägare är ansvarig för att dokumentation kopplat till verksamhetssystemet tas fram. Minimikrav för verksamhetssystemet är att;
- det ska finnas ett avtal med system- eller tjänsteleverantör
- det ska finnas ett personuppgiftsbiträdesavtal med systemleverantör vid molnbaserad lösning och eventuellt vid intern drift
- det ska finnas ett servicenivåavtal, ett så kallat SLA (Service Level Agreement) med tjänsteleverantör
- verksamhetssystemet ska ha genomgått en klassificering av dess information med hjälp av verktyget KLASSA (tillhandahålls av SKR)
- verksamhetssystemet ska registreras i vårt stödsystem för dataskydd och informationssäkerhet som en informationstillgång där grundläggande dokumentation kring systemet ska anges, så som roller och ansvar, om personuppgifter behandlas, användaråtkomst och om det finns en kontinuitetsplan upprättad
- verksamhetssystemet ska ha en systemförvaltningsplan som innehåller
- nyttan med verksamhetssystemet och dess omfattning
- en beskrivning av eventuella integrationer till andra system och vem som ansvarar för integrationen
- teknisk systemdokumentation där exempelvis systemets specifikationer, gränssnitt och ändringsbeskrivningar redovisas
- systemförvaltningens organisation, roller, samverkan och uppföljning
- användarstöd i form av support och utbildningar
- utveckling, vilka behov finns och vilka planerade aktiviteter kommer genomföras
- budget som beskriver kostnader för systemförvaltning, drifts- underhålls- och tjänstekostnader samt utbildning
5.2. Systemförvaltningens olika faser
Systemförvaltning genomgår olika faser i en livscykel. Utvecklingen av ett system är en iterativ process där ändringskrav leder till utveckling och införande av ny funktionalitet sker löpande.
5.2.1. Behov
När ett nytt behov av ett verksamhetssystem uppstår ska processen för inköp och införande av nytt IT-system följas. Första steget i processen är att den verksamhet som identifierat ett behov genomför en förfrågan via ett Forms formulär till enheten för digital utveckling. Ett ärende kommer inledas och en utredning kommer genomföras. Syftet med processen är att säkerställa så att upphandling inte sker av nya verksamhetssystem som redan finns och uppfyller behovet och att inköp sker i enlighet med styrdokument och lagstiftning avseende dataskydd- och informationssäkerhet.
5.2.2. Införande
Införandet av verksamhetssystemet sker efter överenskommen, med system- eller tjänsteleverantörens, införandeplan eller Arvika kommunkoncerns egen projektmodell. Införandet går därefter över i förvaltning och överlämning sker till utsedd driftorganisation.
5.2.3. Förvaltning
Förvaltning av verksamhetssystemet delas upp i drift, support, utveckling och avveckling (se nedan).
Drift
Driften av verksamhetssystemet hanteras av de olika rollerna enligt förvaltningsmodellen.
Support
De supportavtal och SLA som tecknats i samband med upphandling efterlevs och följs upp av systemförvaltare/systemadministratör/leverantör.
Utveckling
Utveckling av verksamhetssystemet kan ske via uppgraderingar, nya funktioner eller anpassningar som planeras och genomförs efter behov som framkommer i systemförvaltningsplanen.
5.2.4 Avveckling
När verksamhetens behov och krav på verksamhetssystemet är större än vad systemet klarar av bör verksamheten planera för avveckling enligt gällande avtal. Verksamheten behöver även planera för avveckling när avtalet för verksamhetssystemet går ut och behöver upphandlas på nytt. Systemägare fattar beslut om avveckling och hur informationen som finns i verksamhetssystemet omhändertas.
Systemägare ska följa informationshanteringsplan och eventuella integrationer till andra system måste hanteras.