SML-IT:s Teknisk beskrivning för Central IT-infrastruktur

Version 1.0.6

 

 

 

 

 

 

 

 

Dokumentinformation

Versionshantering

Version

Datum

Utfärdare

Kommentar

1.0.1

160607

Anders Siljeholm


1.0.2

170116

Anders Siljeholm


1.0.3

170725

Anders Siljeholm


1.0.4

180618

Anders Siljeholm


1.0.5

181113

Anders Siljeholm


1.0.6

210804

Anders Siljeholm

Uppdaterad av Georgos Gotis








 

1 Allmänt

1.1 Bakgrund och syfte

Detta dokument innehåller en övergripande beskrivning av de infrastrukturella tjänsterna i SML-IT:s IT-tekniska miljö och ska tjäna som underlag vid upphandling av nya IT-system och IT-tjänster samt beskriver vad IT-infrastruktur är.

IT-organisationen är ansvarig för utveckling och drift av de infrastrukturella tjänsterna och måste därför alltid vara delaktig vid upphandlingar av IT-system och IT-tjänster för att de ska passa in i SML-IT:s IT-tekniska miljö.

IT-verksamheten i SML innefattar allt från system för att hantera bygglovsärenden till journalsystem inom äldreomsorgen. Det är IT-avdelningen som ansvarar för drift och utveckling av hela kommunens IT-verksamhet. Här ingår även delar av kommunens telefonisystem.

Detta dokument beskriver de grundläggande IT-tekniska krav som ställs på nya IT-system och IT- tjänster för att användarnyttan ska tillgodoses på bästa sätt.

Text skriven med kursivstil är en allmän beskrivning om just det numrerade stycket och funktionen.

1.2 Teknikplattform

SML-IT har en enhetlig och Microsoftbaserad teknikplattform med ett fåtal undantag där Linux-operativsystem används.

Våra kärnvärden har varit:

  1. En logisk säkerhetsmodell i stället för en fysis Användarautentisering är en viktigare säkerhetsmekanism än nätverksåtkomst.
  2. Konsolidering. Vi behöver inte längre dubblerade infrastrukturer för administration och skola.
  3. En standardisering på så få produkter, kompetenser och leverantörer som möjlig

I en IT-miljö gäller det att allt fungerar, både när det kommer till utrustningen, lokalen och även programvarorna som används i den dagliga verksamheten. När något strular märker du detta både direkt och indirekt. I värsta fall kan avbrott leda till enorma kostnader eller andra konsekvenser.

Vad är IT-infrastruktur?

IT-infrastrukturen hos ett företag eller en organisation består av alla fysiska enheter och även de virtuella enheterna. Bland de fysiska enheterna hittar du alla datorer, nätverk, kablar, routrar och så vidare. De virtuella enheterna kan handla om programmen som används eller kopplingarna mellan olika system. En väl fungerande IT-infrastruktur är en förutsättning för att verksamheten ska kunna bedrivas på ett effektivt sätt. Om något påverkar infrastrukturen kan detta snabbt leda till stora problem, speciellt om det inte blir löst så fort som möjligt.

2 Datanätet

2.1 LAN

IT-organisationens datanät är ett routat LAN sammanbundet av switchar tillverkade av HP.

Klientnäten, som är separata för grundskola, gymnasieskola och förvaltning och servernätet binds ihop via brandvägg.

Kommunikationstekniken som används är IPv4 över 10Gbase, 1000Base och 100Base på fiber och koppar i huvudnätet.

Till huvudnätet finns anslutningar via radiolänkar och hyrda Telia WAN-förbindelser.

Trådlöst nät, WiFi-noder, finns i stort sett på alla platser där kommunal verksamhet finns.

  • Antal switchar: 487st
  • Antal radiolänkar: 162st
  • Antal accesspunkter (Wi-Fi noder): 1052st

Med LAN (Local Area Network) avses ett nätverk begränsat till en byggnad, eller en grupp av byggnader.

Ett Wide Area Network förkortat WAN är inom datorkommunikationen Länk till annan webbplats. ett datornätverk Länk till annan webbplats. som är så stort att det omfattar ett större område exempelvis en region, ett land eller flera länder. Detta skiljer ett WAN från ett nätverk med mer begränsad omfattning, såsom Local Area Network Länk till annan webbplats. (LAN).

2.2 Brandvägg

IT-organisationens anslutning till Internet och andra externa nät går via en brandvägg. Brandväggsprogramvaran som används kan fås beskriven efter beslut av IT-chefen i SML-IT.

  • Antal brandväggar: 13st

Trafiken från klientnäten mot servernätet filtreras med hjälp av Server and Domain Isolation (SDI) teknik.

En brandvägg analyserar inkommande och utgående trafik och blockerar obehöriga IP-paket Länk till annan webbplats.. För att avgöra vilken trafik som är behörig eller ej arbetar den efter regler, bestämda av brandväggens programvara och av dess systemadministratör Länk till annan webbplats..

2.3 Fjärråtkomst

Fjärråtkomst av interna tjänster går via Microsoft Direct Access eller via Microsoft VPN.

Virtuellt privat nätverk (VPN) (engelska Länk till annan webbplats.: Virtual Private Network) är en teknik som används för att skapa en säker förbindelse eller "tunnel" mellan två punkter i ett icke-säkert datanätverk (till exempel Internet Länk till annan webbplats.).

Publika tjänster är anslutna till ett DMZ-nät.

DMZ, förkortning av DeMilitarized Zone, "demilitariserad zon", ett vanligt förekommande arrangemang för datorer som måste vara mer eller mindre direkt anslutna till Internet Länk till annan webbplats. för att fylla sin funktion och därför exponeras mot omvärlden, till exempel externa webbservrar Länk till annan webbplats. och e-postservrar.

2.4 Internetaccess

SML-IT är ansluten till Internet via operatören IP-Only med en kommunikationshastighet på 3 Gbps med 3 Gbps DDOS-skydd.

Internetuppkoppling eller internetaccess är ett begrepp för olika accesstekniker som låter datorer Länk till annan webbplats., handdatorer Länk till annan webbplats., mobiltelefoner Länk till annan webbplats. och liknande att ansluta till Internet Länk till annan webbplats..

En DDoS-attack (Distributed Denial of Service attack) är en teknik som används genom att ett stort antal datorer deltar i attacken. Den kan därmed inte effektivt avvärjas genom att begränsa trafiken från enskilda IP-adresser.

En DDoS-attack bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk. Till exempel kan man begära stora filer från en webbserver. Det utsatta systemet överbelastas av den stora mängden anrop och endast liten kapacitet blir kvar för övrig kommunikation.

Oftast kommer denna attack från datorer som ingår i ett botnet Länk till annan webbplats., datorer där en angripare installerat program med vilka han kan styra dem alla över nätet, till exempel med hjälp av en trojansk häst Länk till annan webbplats.. Datorernas innehavare är då inte medvetna om att deras dator utnyttjas på detta sätt.

3 Serverplattform

SML-IT består av ca 300 servrar som används i verksamheternas dagliga drift. Det finns också ett antal fristående servrar för olika ändamål, till exempel arv från tidigare år med system för verksamheten som används som så kallade tittskåp (gammal information som genom lagkrav eller motsvarande måste finnas kvar).

3.1 Fysiska servrar

Serverparken består av rackmonterade servrar av traditionell rack-typ, främst av fabrikaten Fujitsu men också några HP. Servermodeller med hög redundans i form av dubbla spänningsaggregat, speglade diskar samt dubbla nätverks- och SAN-anslutningar väljs i första hand.

En värddator eller server är ett datorsystem Länk till annan webbplats. som betjänar andra system, klienter Länk till annan webbplats., ofta över ett datornätverk Länk till annan webbplats..

3.2 Virtuella servrar

Virtuella servrar körs i ett 6-nods kluster med Windows 2019. Som hypervisor används Hyper-V. Utöver finns även en VMWare ESXI7.0 som används i specifika undantagsfall.

En Virtuell Server är en metod att dela upp ("partitionera") en fysisk serverdator i flera virtuella servrar. Genom programvara som körs på den egentliga servern skapar man en virtuell maskin på vilket man kan köra ett operativsystem och önskad programvara.

3.3 Serveroperativsystem

IT-organisationens serveroperativsystem är Windows Server 2019, Windows Server 2016 och Windows Server 2012 R2. Det finns även ett fåtal Linuxservrar och Windows Server 2008 R2 som fasas ut. Alla nya servrar installeras alltid med de senaste operativsystemen.

Ett operativsystem är ett datorprogram eller en samling datorprogram som syftar till att underlätta användandet av en dator, genom att utgöra länken mellan datorns maskinvara och de tillämpningsprogram som användaren vill köra på datorn.

3.4 Lagringssystem

All central lagring sker i Fujitsu lagringssystem anslutet till servrarna via ett SAN.

Lagringsnät ofta förkortat SAN (Storage Area Network), används för att beskriva nätverk vars enda uppgift är att distribuera och lagra data.

3.5 Backupsystem

Säkerhetskopiering sker med hjälp av Microsoft Backup. Flera generationer av säkerhetskopior sparas enligt en fastställd cykel. Backupsystemet är geografiskt separerat från de primära systemen.

3.6 Databashanterare

IT-organisationens standard för databashanterare är Microsoft SQL Server 2016. I lämpliga fall installeras system i ett så kallat SQL-hotell där standarden databashanterare används. I övriga fall används Microsoft SQL Server 2012, 2014, 2017 och 2019 för dedikerade databasservrar. MS SQL Express används i visa system i olika versioner. Det finns undantagsfall som använder Pervasive PSQL VX Server version 11.31.075, Borland Interbase, och Sybase. Ett fåtal Microsoft SQL Server 2008 finns men håller på att avvecklas.

En databas är en samling information som är organiserad på ett sådant sätt att det är lätt att söka efter och hämta enskilda bitar information, samt ofta även att ändra informationen. Ordet databas kan beteckna informationen som finns lagrad, eller den programvara Länk till annan webbplats. (databashanterare Länk till annan webbplats.) som förstår att tolka den ofta mycket komplexa datastrukturen som lagras på hårddisken Länk till annan webbplats..

3.7 Webbserver

IT-organisationen använder SiteVision som generellt webbpubliceringsverktyg för interna och externa webbplatser. Systemet har det stöd för samarbete och dokumenthantering. Microsoft Internet Information Server (IIS) används också i förekommande fall.

3.8 E-postserver

Som e-postserver använder IT-organisationen Microsoft Office 365 med Microsoft Exchange 2013 I hybrid. Personalen använder Outlook365 eller Outlook 2016. E-posten nås också via Outlook Web App och Exchange ActiveSync. Eleverna använder Exchange Online i Microsofts molntjänst Office 365.

3.9 Kommunikationsserver

IT-organisationen använder Microsoft Teams som kommunikationsserver. Skype for business finns men avvecklas.

3.10 Fjärrskrivbordsserver

Applikationskonsulter och supportpersonal kan ansluta sig till en terminalserver som har Windows Server 2012 R2 via SML-IT:s portal.

LOV-utförare (lagen om valfrihet) kan ansluta sig till en annan terminalserver som har Windows Server 2012 via SML-IT:s portal.

Ett fåtal externa systemadministratörer kan ansluta sig till en terminalserver som har Windows Server 2016 via SML-IT:s portal.

För klienter på låghastighetsförbindelser och för fjärranvändare används en 2 nods Windows 2012 R2 Remote Desktop Services (RDS) farm.

Fjärrskrivbord (engelska Länk till annan webbplats. remote desktop, terminal services) är en tjänst i Windows Länk till annan webbplats. som gör det möjligt att ansluta till en dator Länk till annan webbplats. från en annan över ett datornätverk Länk till annan webbplats..

3.11 Skräppostskydd

All inkommande och utgående eposttrafik till Exchange filtreras av EOP (Exchange Online Protection). EOP är en molnbaserad filtreringstjänst som skyddar oss mot skräppost och skadlig programvara.

3.12 Antivirusserver

Antivirusuppdateringar till Windows hanteras via SCCM (System center configuration manager).

3.13 Patch-hantering

Alla Windows klienter uppdateras med hjälp av SCCM. Patchar av typen Updates, Critical Updates och Security Updates distribueras automatiskt.

Programfix, buggfix, (engelska: patch) är en uppdatering av ett datorprogram Länk till annan webbplats. som inte nödvändigtvis föranleder ett nytt versionsnummer. Syftet med en programfix är att rätta till fel eller göra anpassningar av programmet för de speciella förhållanden som råder för en viss användare eller dator.

3.14 SharePoint, Teams och Dynamics

IT-organisationen har en Microsoft Office 365 SharePoint miljö. Används framförallt för att få en strukturerad lagring av dokument och filer med enkel, flexibel och säker åtkomst. Ett alternativ till traditionell lagring i delade mappar.

Kommunikation och samarbete sker i Teams. Lagring, publicering och hantering av kunskapsartiklar (rutiner, guider, med flera) sker i Microsoft Dynamics.

3.15 Lastbalansering

IT-organisationen använder en klustrad Kemp för redundant lastbalanserad åtkomst.

Lastbalansering (load balancing) – jämn fördelning av arbetsbördan (load) mellan samverkande datorer, till exempel servrarna på en webbplats.

4 Datorhall

Alla servrar och central kommunikationsutrustning är placerad i IT-organisationens datorhall. Hallen är utrustad med klimatanläggning och försörjs av ström via en UPS och reservkraft i form av ett dieselaggregat.

5 Katalogtjänst

IT-organisationen använder en central katalogtjänst baserad på Microsoft Active Directory Domain Services (ADDS), kort AD. AD:et är även integrerat med Azure Active Directory, vilket är vår molnbaserade katalogtjänst. Katalogtjänsterna är centrala punkter för hantering av användarkonto och säkerhetsinställningar för servrar och klientdatorer.

En katalogtjänst är ett slags uppslagsverk eller databas där information lagras centralt i en server och som sedan kan sökas och hämtas från datorer i närheten. Beteckningen används främst för information av datateknisk natur, såsom uppgifter om datorer, applikationer, användarnamn med mera.

5.1 Automatiserad användarkontohantering

Användarkontohanteringen är automatiserad via Microsoft Identity Manager (MIM). MIM kopplar ihop IT-organisationens HR-system och elevadministrativa system, Heroma respektive Tieto Education/ProCapita, med AD så att användarkonto skapas, flyttas, stängs och raderas automatiskt efter givna regler.

Totalt antal aktiva användare 13 709 varav:

  • Elever: 5623
  • Anställda: 5062

Antalet grupper som hanteras är 13 439 grupper

Kontohanteringen syftar till att uppfylla kraven på logisk säkerhet samt lagkrav och direktiv.

5.2 Public Key Infrastructure (PKI)

För att höja säkerheten nyttjar IT-organisationen teknologi med PKI och Active Directory Certificate Services (ADCS) samt Kerberos för dator- och användarautentisering.

PKI möjliggör för användare av ett i grunden osäkert offentligt nätverk, som till exempel Internet Länk till annan webbplats., att säkert utbyta data genom att använda asymmetrisk kryptering Länk till annan webbplats.. Varje användares publika nyckel knyts till användarens uppgifter med hjälp av ett certifikat Länk till annan webbplats.. Certifikatet är signerat av en certifikatutfärdare Länk till annan webbplats. (CA). Även CA:n har ett certifikat som knyter CA:ns publika nyckel till CA:ns uppgifter.

5.3 Single Sign On (SSO)

En lösning baserad på Windows Server/MSKD innebär att all nödvändig grund är lagd för att erbjuda SSO inom IT-organisationens alla IT-system.

Användarautentisering i Office 365 är kopplad till IT-organisationens AD via Microsoft Active

Directory Federation Services (ADFS).

Single sign-on, SSO, är en metod inom sammansatta datasystem Länk till annan webbplats. för att hantera användare Länk till annan webbplats. med aspekt på användarbehörighet (auktorisering Länk till annan webbplats.) och användarverifiering (autentisering Länk till annan webbplats.), så att dessa användare endast behöver logga in en enda gång för att nå de system som är anpassade till tjänsten.

6 Klientplattform

6.1 Klientdatorer

Med klientdatorer avses den datorutrustning som användarna använder.

6.1.1 Persondatorer

Majoriteten använder PC, d.v.s. persondatorer med 64-bitars Windows 10

Enterprise. Windows 8/8.1 är under utfasning (alla elev-pc är Windows 10).

6.1.2 Elevdatorer

En del skolor används så kallade 1-1datorer. Det pedagogiska värdet är att eleverna får en egen dator som de själva ansvarar för. Elevdatorn är Window 10.

Några skolor använder liknande datorer men i klassuppsättningar förvarade i datorvagnar.

6.1.3 Surfplattor

En del elevgrupper använder iPads i sin undervisning. iPads används även av tjänstemän och politiker och är ett viktigt komplement till traditionella datorer.

6.1.4 Smartphones

iPhone och Android mobiler är ett viktigt komplement till den traditionella klientutrustningen. Förutom telefonfunktionerna används de främst för e-post och kalendersynkronisering, webbsurfning och appar av olika slag.

6.2 Operativsystems- och applikationshantering

6.2.1 Windows

IT-organisationen använder Microsoft System Center Configuration Manager 2016 (SCCM) för distribution av operativsystem, drivrutiner och paketerade applikationer till Windows-baserade datorer.

6.2.2 Smartphones och surfplattor

Administration av smartphones och surfplattor görs med hjälp av molntjänsten AirWatch.

Konfigurationshanterarna (SCCM och AirWatch) tillhandahåller fjärrkontroll, patchhantering, programdistribution, operativsystemutbyggnad, skydd för nätverksåtkomst och maskinvara och programvara.

6.3 Kontorsprogram

Alla Windows-datorer har Microsoft 365, Microsoft Teams, Adobe Reader DC och Sun Java 6 installerat. Programmet NetClean finns också

Utöver operativsystemens inbyggda webbläsare används Google Chrome. Eleverna har tillgång till kontorsprogram i Office 365.

6.4 Antivirus

Windowsklienterna har Microsoft System Center Endpoint Protection (SCEP). Uppdateringar hämtas från intern respektive extern WSUS.

6.5 Verktyg för brottsbekämpning

Windowsklienterna, Smartphones och surfplattor har programvaran NetClean. NetClean upptäcker material som innehåller övergrepp mot barn.

6.6 Verktyg för säkra administratorslösenord

Microsoft Local Administrator Password Solution (LAPS) är en lösenordhanterare som används av administratörerna för säkrare hantering av Windowsklienterna.

7 Användardata

All personal och elever har tillgång till en hemkatalog och en eller flera delade mappar synkroniserade till användarkontots egna OneDrive (se 7.2).

7.1 Datamappar

Lagringsytor för delade mappar tillhandahålls av Windows 2019 filservrar och presenteras via Microsoft Distributed File System (DFS).

7.2 OneDrive for Business

Alla har tillgång till OneDrive for Business för personliga och delade lagringsytor i Microsofts molntjänst Microsoft 365.

8 Skrivare

IT-organisationen använder nätverksanslutna skrivare av fabrikaten Canon. Nätverksskrivarna presenteras via Windows Print Servers. I vissa undantagsfall är skrivaren lokalt ansluten till klient.

Canon-skrivarna är i huvudsak så kallade multifunktionsskrivare (MFS) vilket innebär att de fungerar som nätverksskrivare, kopiator och skanner. MFS-skrivarna nyttjar programvaran Uniflow som bl.a. har funktionerna Follow Me Print och Secure Printing vilket innebär att utskriften ligger kvar i skrivarkön och tas ut på valfri MFS-skrivare efter autentisering via tagg eller användarnamn/lösenord. MFS-skrivarna har även stöd för utskrift från mobila enheter via e-post. MFS-skrivarna levereras som en tjänst från Canon.

Vissa skrivare har blivit uppdaterade med licens för avancerad scanning. Avancerad scanning innebär krypterad kommunikation från skrivaren till skrivarserver samt möjlighet att skanna dokument till delade mappar.

Skrivarsystemet har stöd för Airprint, vilket innebär att digitala verktyg med operativsystemet iOS kan skriva ut dokument. Det vill säga iPad, iPhones och Mac-datorer.

Utskriftsspråket är PCL5c eller högre.

9 Digitalt stöd för säkerhetsarbetet

All information, alla applikationer, informationsflöden, processer, enheter, säkerhetstjänster samt organisation dokumenteras och kartläggas i IT-organisationens modelleringssystem SIS-ESM (Sveriges institut för standarder, Enterprise Security Modeller). Dokumentationen genomförs av IT-organisationens CISO (informationssäkerhetssamordnare). SIS-ESM används vidare till att uppfylla verksamhetsbehov vad gäller säkerhet, lagar och regler samt är ett stödverktyg i IT-organisationens arbete mot en ISO27001-certifiering (ISO är den internationella motsvarigheter till SIS, International organization for standardization).

Begäran om tillgång till dokumentationen ska gå till och beslutas av IT-organisationens CISO.

ISO27001 är internationell standard för framtagande av ett ledningssystem för informationssäkerhet. Standarden ger ett ramverk för att implementera systematiska arbetssätt som minimerar risker, skyddar informationstillgångar samt ger en IT-process som är lättare att hantera, mäta och förbättra.

10 Integration

IT-organisationen använder Tieto Enterprise Integration Server (TEIS) från Tieto.

Applikationsintegration innebär automatiserad informationsöverföring Länk till annan webbplats. mellan självständiga system och att överbrygga de skillnader som finns mellan dessa system.

11 Övervakning

Servrar och deras tjänster övervakas med Microsoft System Center Operations Manager 2019 (SCOM).

Datanätet övervakas med HP Intelligent Management Center (IMC).

12 E-arkiv

E-arkivet levereras av Ida Infront och kallas Iipax. Arkivlösningen är baserad på standarden ISO14721:201 (international organization for standardization, standard för e-arkiv) och är en molntjänst med separata databaser för respektive kommun.

E-arkivet är uppbyggt på en klient med java-stöd samt en intern och publik webbklient. Det finns en testmiljö och flera produktionsmiljöer. E-arkivet hanterar kontorsdokument, bilder samt ljud- och videofiler.

E-arkivet går att integrera till kommunernas verksamhetssystem med olika lösningar beroende på system och leverantör. Process och metodstöd för export till E-arkivet finns i en anslutningshandbok som IT-organisationen kan tillhandahålla.

E-arkiv är en funktion för långtidsbevarande och hållbar hantering av digital information. Till skillnad från traditionella analoga arkiv krävs en aktiv och kontinuerlig process för att förvalta digital information. Det beror på att man är beroende av maskiner och program för att kunna ta del av informationen och den tekniska utvecklingen innebär att förutsättningarna förändras över tid.

13 Helpdesk

IT-organisationen använder Microsoft Dynamics, Microsoft Power Platform och Microsoft SharePoint för hantering av beställningar samt supportärenden och konfigurationsdatabas (CMDB).

14 E-tjänster

IT-organisationen använder Artvise för framtagande av e-tjänster och e-processer. Processkartläggning görs i Barium Live.

15 Verksamhetssystem

IT-organisationen använder ca 600 olika applikationer.

Några av de större strategiska verksamhetssystemen är:

Namn

Beskrivning

Systemleverantör


Ciceron

Dokument- och ärendehanteringssystem inom kommunadministrationerna

Visma AB


Tieto Education

TED)/ProCapita

Skoladministrationssystem

IST Sverige AB


Geosecma for ArcGIS

GIS-system

ESRI Sverige AB


Heroma

HR-system

CGI AB


Combine

Socialtjänstsystem

Pulsen AB


PMO

Journalsystem för elevhälsa

CGM


EDP Vision

Dokument- och ärendehanteringssystem inom samhällsbyggnad

EDP


Artvise

E-tjänsteplattform

Artvise AB



16 Telefonisystem

Telefonsystemet ägs av IT-organisationen. Serviceavtal för telefonisystemet är tecknat med Telia. Operatör för fasta och mobila operatörstjänster är Telia.

Den centrala växeln är av fabrikat Alcatel. Anknytningarna är mobila, analoga, digitala eller IP-baserade. Respektive kommun hyr ett fåtal yttre anknytningsledningar av Telia.

Hänvisningssystemet som används är Trio. Telefonist- och handläggarapplikationen är Trio Agent. Hänvisning via webbsida och röststyrning finns samt integration mellan Trio och Exchange som möjliggör automatisk hänvisning efter bokning i kalender.

Växelsystemet och hänvisningssystemet har hög redundans med primärt system i Uddevalla och sekundärt system i Lysekil.

Ett fastställt utbud av mobiltelefoner används var av de flesta är så kallade smartphones.

17 Driftsorganisation

IT-organisationen har en egen central driftsorganisation för teknikplattform och verksamhetssystem. Driftsorganisationen består av systemförvaltare, driftförvaltare, supporttekniker, IT-kontaktpersoner och externa systemleverantörer.

Systemförvaltarna måste ha god verksamhetskunskap och är normalt anställda ute i verksamheten. Driftförvaltarna och supportteknikerna bistår systemförvaltare respektive användare med hög teknisk kompetens och är anställda på IT-organisationen. Den externa systemleverantören är systemspecialist, och i förekommande fall även utvecklare, och bistår systemförvaltaren och driftförvaltaren med expertkunskap.

18 Licensiering

IT-organisationen har Microsoft Enterprise Agreement och School Agreement i vilka ingår Windows, Office Professional och erforderliga CAL.

Användare tilldelas licenserna utifrån deras roller och arbetsuppgifter. Samtliga användare tilldelas licensen E5:s säkerhetspaket.

19 Generella krav

Generellt gäller att all program- och maskinvara ska vara dokumenterat kompatibel med SML-IT:s IT-tekniska miljö. All program- och maskinvara ska vara godkänd av IT-organisationen innan beställning och leverans.

Vid upphandling kan de krav som redovisas i detta dokument komma att kompletteras med ytterligare krav som anges i den specifika upphandlingens kravspecifikation.

19.1 Molntjänster

Vid införskaffning av eller uppgradering till molntjänst ska leverantören av tjänsten alltid genomgå en informationssäkerhetsbedömning enligt framtagen rutin. Bedömningen utgår från klassen av informationen som ska hanteras av leverantören. Klassningsnivåerna genererar krav som ska inkluderas i upphandlingen eller bekräftas uppfyllas av leverantören innan information flyttas till tjänsten. Informationssäkerhetsbedömningen ska alltid göras i samråd med IT-organisationen.

19.2 Grundkrav

Grundkravet är att alla användare i IT-organisationens IT-tekniska miljö med full funktionalitet och god prestanda ska kunna använda användarutrustning, kommunikationsutrustning, kontorsprogram och IT-system som är installerade och/eller används i denna miljö.

19.3 Programvara

Alla applikationer med fler än 5 användare ska kunna paketeras för distribution till användare med verktyg beskrivna under pkt 6.2.

All applikationsprogramvara ska vara kompatibel med den miljö som beskrivs i detta dokument. För Windows-miljön ska programvaran vara kompatibla med 64-bitars Windows 10.

IT-organisationen uppdaterar sin infrastrukturella miljö löpande med de patchar och uppdateringar som operativsystemsleverantörerna Microsoft och Apple publicerar. All applikationsprogramvara ska stödja denna uppdateringsrutin med ett maximalt eftersläp på 3 månader från det datum som operativsystemleverantören har publicerat sin version.

19.4 Maskinvara

All maskinvara och dess drivrutiner ska vara kompatibel med den miljö som beskrivs i detta dokument. För Windows-miljön ska maskinvaran vara kompatibla med 64-bitars Windows 10.

IT-organisationen uppdaterar sin infrastrukturella miljö löpande med de patchar och uppdateringar som operativsystemsleverantörerna Microsoft och Apple publicerar. All maskinvara och dess drivrutiner ska stödja denna uppdateringsrutin med ett maximalt eftersläp på 3 månader från det datum som operativsystemleverantören har publicerat sin version.

19.5 Datautväxling/integration

Vid datautväxling mellan IT-system ska detta ske enligt vedertagna och fastställda standarder. För att uppnå god datakvalitet får det endast finnas en fastställd datakälla.

Exempel på datakällor: kommuninvånarregister (KIR), fastighetsregister (FIR), personalregister och elevregister.

19.6 Behörighetskontrollsystem

IT-organisationens användare ska ha en unik användaridentitet (namn). Denna användaridentitet ska utgöra namnet på användarens användarkonto i alla IT-organisationens IT-system.

19.6.1 Namnstandard

Användaridentiteten för personal är uppbyggd enligt formen FFFEEENNN, där FF är de två första tecknen i tilltalsnamnet, EEE de två första tecknen i efternamnet och NNN är ett löpnummer mellan 001och 999.

Användaridentiteten för elever är uppbyggd enligt formen FFEEÅÅNN, FF de två första tecknen i tilltalsnamnet och EE de två första tecknen i efternamnet ÅÅ är födelseåret, NN är löpnummer. Exempel: ANSV0901.

Användaridentiteterna är unika och får ej återanvändas.

19.6.2 Användarautentisering

Nivån på användarautentiseringen ska vara anpassad till säkerhetsklassningen av informationen som ska skyddas.

Exempel på några användarautentiseringsnivåer:

  • Ingen
  • Unikt Användarnamn och lösenord
  • Tvåfaktorautentisering med hårda och mjuka certifikat, kort eller engångslösenord via SMS

Lösenord ska alltid sändas och lagras i krypterad form. Användaren ska själv kunna byta sitt lösenord.

19.6.3 Behörighet

Behörighet ska kunna sättas utifrån de roller som är aktuella i systemet med utgångspunkt i minsta möjliga behörighet.

Exempel på roller:

  • Systemadministratör
  • Delsystem/moduladministratör
  • Databasadministratör
  • Drifttekniker
  • Supporttekniker
  • Användare med olika behörigheter styrt av verksamheten

19.7 Säkerhetskopiering

IT-system ska ha funktioner för att backup och restore av data och systemkonfiguration ska kunna ske med hjälp av IT-organisationens backupsystem.

19.8 Verifiering och testmiljö

Alla produkter, patchar och uppdateringar ska vara noggrant testade av leverantören innan de levereras till eller på annat sätt tillhandahålls IT-organisationen.

IT-organisationen rekommenderar starkt att alla förändringar i ett IT-system verifieras i IT-organisationens egen testmiljö innan implementering sker i driftmiljön.

19.9 Support

Parternas åtagande ska regleras via skriftliga a