Hoppa yfir valmynd

1.3 Mat á valkostum

1.3.1 Vefumsjónarkerfi

Val út frá þarfagreiningu

Kröfur til vefumsjónarkerfa byggja fyrst og fremst á þarfagreiningu sem þarf að vera lokið á þessu stigi en eftirfarandi lágmarkskröfur má þó miða við í útboðum, verðfyrirspurnum og að lokum í samningum við birgja:

  • Tryggja þarf að vefumsjónarkerfið uppfylli aðgengiskröfur og haldi utan um vefinn þannig að gátlisti „WCAG 2.0 AA“ um aðgengi sé uppfylltur.
  • Auðvelt sé að skrifa „alt“ og „title“ texta með myndum og tenglum.
  • Kerfið á að nota CSS til að stýra útliti – ekki töflur í hönnun, útlit eða umbrot.
  • Þegar nota á töflur til að koma upplýsingum á framfæri þarf kerfið að auðvelda umsjónarmönnum að stilla þær rétt, til dæmis með hausum th-tag og summary þar sem þær upplýsingar sem er að finna í töflunni eru dregnar saman í styttra máli.
  • Kerfið verður að styðja við notkun á fyrirsögnum í meginmáli texta, fyrirsögn í efsta lagi sé merkt með h1, og svo framvegis.
  • Tryggja þarf að kerfið sem heldur utan um vefinn sé að varpa síðunum fram í „stöðluðum“ kóða frá W3C, eins og XHTML.
  • Vefslóðir sem vefumsjónarkerfið býr til fyrir síður mega ekki vera illlæsilegar þannig að erfitt sé fyrir fólk að vísa í þær. Einnig mega þær ekki taka breytingum eftir að þær verða til.
  • Mikilvægt er að title-tag sé stillanlegt eftir vefsíðum á vefnum og sé ekki sjálfvirkt gert af kerfinu. Hér er átt við texta sem finna má allra efst í vöfrum og eru mikilvægir upp á leitarvirkni.

Val út frá aðgengismálum

  • Til að ganga úr skugga um að vefumsjónarkerfin uppfylli aðgengiskröfur er hægt að prófa vefsvæði sem vitað er að nota tiltekið kerfi með „prófunum“ hjá W3C og á öðrum vefsíðum eins og http://achecker.ca/ og http://wave.webaim.org/. Slíkt getur gefið vísbendingu um tæknilega getu kerfis til að koma til móts við aðgengissjónarmið en þó skiptir miklu máli hvernig efni er meðhöndlað af vefumsjónarmönnum.
  • Þá ber að gæta þess að umsjónarkerfið tryggi gott aðgengi í símum, 3G/4G snjallsímum og spjaldtölvum. Vefurinn sé tæknilega í lagi óháð því hvaða vafra gestir vefsins nota. Kerfin þurfa enn fremur að geta skilið á milli útlits og innihalds og styðja við „CSS-staðalinn“.
  • Æskilegt er að birgjar geti afhent kaupendum skriflegar leiðbeiningar/notendahjálp við afhendingu kerfis.
  • Rétt þykir að gera kröfur um aðgangsstýringu vefkerfis og að mögulegt sé að skoða vefsíður í fullri virkni án þess að þurfa að gefa þær út.
  • Huga þarf að þróun vefsvæðisins til framtíðar, hversu langt á að ganga í rafrænni þjónustu og hvernig kerfið komi til með að aðlagast öðrum verkefnum, t.d. samvinnu við Ísland.is – miðlæga þjónustugátt ríkis- og sveitarfélaga, ásamt tengingum við gagnagrunna.
  • Vefkerfið auðveldi notendum að setja inn tungumálabreytingar í texta.
  • Vefkerfið sé með flýtileið til að setja inn skýringar með skammstöfunum.

Val út frá notendasjónarmiðum

  • Framkvæma má þarfagreiningu til að átta sig á þörfum notenda og þar með hvaða kröfur kerfið eigi að uppfylla.
  • Lagt er til að stofnanir/sveitarfélög leiti til ráðgjafa utan stofnunarinnar við mat á valkostum ef nauðsynleg þekking er ekki til staðar innan stofnunar.

Val út frá öryggissjónarmiðum

Öryggiskröfur sem eru gerðar til vefumsjónarkerfa byggja fyrst og fremst á áhættumati sem framkvæmt er. Áhættumatið byggir á þeim upplýsingum sem aðgengilegar eru á viðkomandi vef auk þeirrar þjónustu sem stendur notendum til boða í gegnum vefsíðuna. Ef verið er að vista eða meðhöndla viðkvæm gögn þá ber að gera strangari kröfur um upplýsingaöryggi og meðhöndlun gagna. Þá skiptir miklu máli að þeir sem hanna og forrita viðkomandi vefumsjónarkerfi séu upplýstir um algengustu áhættuþætti veflausna og geti þannig hannað og forritað viðeigandi stýringar í kerfin. Einnig þarf að athuga hvort vefumsjónarkerfi bjóði upp á fullnægjandi möguleika á aðgangsstýringu og uppfylli almennt viðurkenndar öryggiskröfur, svo sem möguleika á dulkóðun gagna í gagnagrunni og notkun þekktra öryggisstaðla, eins og til dæmis SSL/TLS.

Uppfærslur og öryggisviðbætur eru stór hluti af rekstri vefumsjónarkerfa. Ganga þarf úr skugga um hvort framleiðandi kerfis sinnir öryggismálunum vel og þrói vefumsjónarkerfið stöðugt til að mæta nýjum og síbreytilegum netógnum. Hægt er kanna hvort reglulega séu gefnar út öryggisuppfærslur  eða eftir þörfum. Eins ber að horfa til þess hvort að framkvæmdar hafi verið öryggisúttektir á viðkomandi vefumsjónarkerfi og hvort að til staðar séu þekktir öryggisveikleikar.

Ítarefni

  • A.1.3 Gátlisti við val á veflausn (pdf) - A. 1.3. Gátlisti við val á veflausn (xlsx)  – öryggisþættir sem hægt er að nota við val á veflausn með tilliti til öryggiskrafna. Þar eru helstu öryggiskröfur til vefumsjónarkerfa listaðar upp. 
  • OWASP – top10. OWASP – top10 er listi yfir tíu algengustu öryggistengda galla sem finnast í veflausnum.
  • SANS – top25 . SANS – top25 er listi yfir 25 hættulegustu forritunarvillurnar.
  • SSL (Secure Socket Layer) er dulkóðunarsamskiptastaðall. Hægt er að nota SSL til þess að dulkóða ýmis samskipti, meðal annars vefumferð (Hyper Text Transfer Protocol), þá er talað um HTTPS (Hyper Text Transfer Protocol Secured). TLS (Transfer Layer Security) er dulkóðunarsamskiptastaðall sem hefur tekið við af SSL.

Ráð frá öðrum

Alltaf er hægt að skoða vefsíður sambærilegra stofnana og sveitarfélaga og hafa samband til að fá ráð þegar velja þarf nýtt kerfi.

  • Gæta þarf þess að fylgja reglum um opinber innkaup. Tryggja þarf að opinberum fjármunum sé varið á sem hagkvæmastan hátt.
  • Mikilvægt er að gleyma ekki að hugsa til framtíðar. Verkefnið kann að vera smátt í sniðum í upphafi en gera verður ráð fyrir auknum kröfum notenda um gagnvirkni þegar fram líða stundir.
  • Meta þarf gæði og kröfur til þjónustuaðila þrátt fyrir að verðfyrirspurn sýni lægsta verð á tiltekinni þjónustu.

Ítarefni

1.3.2 Samstarfsaðilar/birgjar

Mat á samstarfsaðilum

Til að meta hæfni væntanlegra samstarfsaðila má hafa eftirfarandi að leiðarljósi:

  • Fá yfirlit um vefi eða verkefni sem fyrirtækið þjónustar eða hefur komið að á einhvern máta.
  • Samstarfsaðilar sýni fram á að þeir hafi starfsfólk sem nýtist við þróun, hönnun og þá tækniþjónustu sem þörf er á.
  • Óska eftir upplýsingum um hvernig aðilar hyggjast tryggja gæði reksturs og þjónustu, með því að fá upplýsingar um gæðakerfi viðkomandi aðila.
  • Óska eftir upplýsingum um hvaða stöðlum sé fylgt í starfseminni.
  • Hvaða möguleikar eru á samskiptahæfni við annan hugbúnað.

Upplýsingar um þjónustu

  • Hver er almennur viðbragðstími verksala?
  • Notendastuðningur í gegnum síma, námskeiðahald, aðstoð við innsetningu á efni og breytingar. Verksali veiti þessa þjónustu eftir því sem óskað er eftir henni.
  • Verkkaupi hafi aðgang að þjónustuborði þar sem hægt er að senda inn beiðnir um þjónustu. Verksali skal tilgreina almennan þjónustutíma.
Verksali skal samþykkja í samningi verðskrá þeirrar þjónustu sem fellur utan samnings.

1.3.3 Reynsla opinberra aðila af frjálsum vefumsjónarkerfum

Hér er fjallað um reynslu opinberra aðila af frjálsum vefumsjónarkerfum. Tvær reynslusögur fyrir hvert af þremur vinsælustu frjálsu kerfunum: Wordpress, Joomla og Drupal

Wordpress

Wordpress er frjálst vefkerfi, forritað í PHP sem var upprunalega hannað sem bloggkerfi en hefur þróast í vefumsjónarkerfi. Það var fyrst gefið út árið 2003 og samkvæmt mælingum er það mest notaða vefumsjónarkerfið á netinu.

Fjölmiðlanefnd óskaði sérstaklega eftir tilboðum í frjáls vefumsjónarkerfi og ákvað eftir niðurstöður tilboðanna að nota Wordpress fyrir vef nefndarinnar. Wordpress hefur hentað mjög vel fyrir vefinn og verið mjög auðvelt í notkun og efnisinnsetningu. Fjölmiðlanefnd fékk hönnunarstofu til þess að útbúa útlit vefsins og tekinn var saman leiðbeiningabæklingur. Nefndin hefur einnig ráðið óháðan verktaka í því skyni að bæta við Wordpress-vefinn eiginleikum sem ekki eru nú þegar fyrir hendi.

Gegn einelti er verkefni í umsjón verkefnastjórnar um aðgerðir gegn einelti. Það er samstarfsverkefni nokkurra ráðuneyta. Verkefnastjórnin hafði ekki mikla fjármuni til að setja í vef og þess vegna hentaði Wordpress mjög vel. Kerfið er einfalt, þægilegt og ódýrt í uppsetningu og þar sem það er forritað í PHP er hægt að nota ódýra samhýsingu (e. shared hosting). Enginn aðstoðaði verkefnastjórnina við að setja Wordpress upp, kerfisstjórinn annaðist það og ekki hafa komið upp nein stór vandamál fyrir verkefnastjórnina að setja inn fréttir og efni á síðuna. 

Joomla

Joomla er frjálst vefumsjónarkerfi, forritað í PHP, og er á meðal þeirra vinsælustu í heiminum.

Austurbæjarskóli notaði Joomla fyrir vef sinn frá því áður en Reykjavíkurborg ákvað að nota það fyrir alla vefi leik- og grunnskóla borgarinnar. Vefsíðustjóri Austurbæjarskóla var vanur Joomla og hafði sett upp nokkra slíka vefi. Mikil ánægja var með kerfið og allt virkað vel, til og með útgáfu 1.7. Þegar Reykjavík uppfærði kerfið og útgáfu 2.5 var ýtt út á vefsíður, komu upp ýmis vandkvæði þar sem ekki var búið að aðlaga allar einingar kerfisins að nýju útgáfunni. Joomla virkar afar vel fyrir þá sem setja inn efni og á að gagnast vel minni stofnunum og verkefnum.

Landgræðsla ríkisins skipti vefsíðu sinni fyrir nokkrum árum úr íslensku vefumsjónarkerfi yfir í Joomla með góðum árangri. Starfsmenn Landgræðslunnar sáu um uppsetningu vefsins og reka hann á eigin vélbúnaði. Kerfið þykir afar gott og auðvelt er að setja inn efni á síðuna. Þegar nýr kerfisstjóri var ráðinn í hóp þeirra sem settu upp vefinn gat hann gengið beint inn í Joomla og byrjað að viðhalda vefnum. Það hafa ekki verið nein vandamál með Joomla að frátöldum byrjunarörðugleikum og Landgræðslan mælir með vefkerfinu fyrir aðrar stofnanir.

Drupal

Drupal er frjálst vefkerfi, forritað í PHP, sem er notað af mörgum opinberum vefsíðum, svo sem whitehouse.gov og data.uk.gov. Drupal var upphaflega gefið út í janúar 2001 og býður notendum upp á bæði forritunarviðmót fyrir þróunaraðila og hefðbundið viðmót fyrir uppsetningu og vefstjórn.

Vefur RÚV er keyrður á Drupal og vefdeildin er almennt ánægð með kerfið. Það heldur vel utan um fjölmörg myndskeið, hljóðskeið, fréttir og fleira. RÚV setti vefinn upp á eigin vegum og rekur hann upp á eigin spýtur. Vel gengur að setja inn efni þrátt fyrir að fjölmargir fréttamenn komi að því. RÚV styðst við forritunareiginleika Drupal og smíðar eigin einingar sem eru notaðar í kerfinu. Í rauninni má segja að vefkerfið hafi verið notað sem veframmakerfi frekar en eiginlegt vefkerfi þar sem forritunarvinnan hefur verið svo sérhæfð hjá RÚV.

Reykjavíkurborg hefur þá stefnu að nýta sér opinn hugbúnað og því var afráðið að byggja nýjan vef á slíkri lausn. Drupal varð fyrir valinu vegna þess að kerfið býður upp á gríðarlegt úrval lausna í framsetningu og umsýslu efnis, styður fyllilega uppbyggingu snjallvefja, getur tengst gagnasöfnum og er mjög útbreitt og í hraðri og öruggri þróun. Þá var horft til þess að stórir aðilar hér á landi, til dæmis Háskóli Íslands og RÚV, nýta sér kerfið og einnig þess að talsverð þekking á kerfinu er fyrir hendi meðal íslenskra veffyrirtækja. Vefurinn var smíðaður af starfsfólki borgarinnar með aðstoð einkafyrirtækja.

Kerfið hefur reynst vel og stefnt er að því að flestir vefir á vegum borgarinnar muni keyra á Drupal. Allt útlit er fyrir að borgin geti þróað vefi sína á betri hátt en áður. Áberandi er hversu auðvelt er að finna lausnir sem henta þeim verkefnum sem upp koma því iðulega er hægt að finna dæmi um sambærileg verkefni á vef Drupal-samfélagsins (e. Drupal community). Það skal tekið fram að þegar kerfi eins og Drupal er notað þarf annað hvort öfluga þekkingu innanhúss eða þá samstarf við aðila sem sinna rekstri kerfa eins og Drupal. Sinna þarf uppfærslum og rekstri kerfis á eigin ábyrgð þar sem Drupal er ekki formlegur rekstraraðili. Þetta ætti ekki að vera hindrun en mikilvægt að hafa í huga.

1.3.4 Opinn hugbúnaður og séreignarhugbúnaður

Ef horft er til mögulegrar virkni og eiginleika er í raun ekki mikill munur á frjálsum hugbúnaði, opnum hugbúnaði og séreignarhugbúnaði. Munurinn á þessum þremur hugbúnaðarflokkum snýst fyrst og fremst um hugmyndafræðilega sýn á hvaða réttindi notendur hafa yfir hugbúnaðinum og hvernig hann skuli þróaður.

Vega þarf kosti og galla þess að velja opinn hugbúnað eða séreignarhugbúnað

Skoða ber frjálsan og opinn hugbúnað á sama hátt og sér­eign­ar­hugbúnað í leit að hagkvæmri lausn. Meta þarf óhlutdrægt eignarhaldskostnað og kosti og galla fyrir viðkomandi starfsemi.

Leitast skal við að velja hugbúnað sem byggist á opnum stöðlum. Í stefnu stjórnvalda um frjálsan og opinn hugbúnað er það undirliggjandi markmið að opinberir aðilar „verði ekki of háðir einstökum hugbúnaðarframleiðendum og þjónustuaðilum“. Notkun á frjálsum og opnum hugbúnaði er talin vera liður í því vegna þeirrar hugmyndafræði sem einkennir slíkan hugbúnað.

Frjáls og opinn hugbúnaður

Í langflestum tilfellum er frjáls hugbúnaður opinn og opinn hugbúnaður frjáls en þrátt fyrir það er skilgreiningarmunur á frjálsum hugbúnaði og opnum hugbúnaði.

Það sem einkennir frjálsan hugbúnað er hvaða möguleika notandi hans hefur eftir að hafa fengið hugbúnaðinn í hendur. Það sem greinir opinn hugbúnað frá öðrum er hvernig hann er þróaður og hvernig honum er haldið við.

Frjáls hugbúnaður gefur notendum leyfi til þess að nota hugbúnaðinn án nokkurra takmarkana og gerir þeim kleift að kynna sér hann náið því forritunarkóðinn fylgir með. Þeir mega dreifa hugbúnaðinum til annarra, breyta honum og aðlaga hann að sínum þörfum (aftur vegna þess að forritunarkóðinn og tiltekið leyfi fylgir með). Að öllu öðru leyti getur frjáls hugbúnaður verið þróaður og jafnvel seldur á sama hátt og séreignarhugbúnaður.

Opinn hugbúnaður byggir á því að opna þróun hugbúnaðarins og gera notendum mögulegt að taka þátt í þróuninni. Í stað þess að þróun og viðhald hugbúnaðarins sé í höndum fárra aðila í einu þróunarteymi er hún í höndum þeirra sem hafa áhuga og nota hugbúnaðinn. Fyrir vikið verður opinn hugbúnaður almennari því hann verður að mæta þörfum allra sem taka þátt í þróuninni þótt vissulega séu til sérhæfðari opin hugbúnaðarverkefni sem eru þá oftast minni og flóknari.

  • Þekktasti vefhugbúnaðarklasinn í notkun í dag gengur undir skammstöfuninni LAMP sem stendur fyrir Linux, Apache, MySQL og PHP. Allar þessar hugbúnaðarlausnir eru frjálsar og opnar og reynslan hefur sýnt að þær virka mjög vel saman fyrir vefinn. Þrátt fyrir það má skipta hverri þeirra út fyrir aðra, hvort sem það er frjáls og opin lausn eða séreignarhugbúnaður. PHP getur verið skipt út fyrir Python eða Perl og Linux skipt út fyrir Microsoft Windows (í því tilviki kallast klasinn WAMP).
  • Staðbundin þjón­usta við frjálsan og opinn hugbúnað er oft á tíðum ekki nægilega aðgengileg. Líklegt er að framboð slíkrar þjónustu aukist við aukna útbreiðslu hans. Mörg upplýsingatæknifyrirtæki hafa lagt aukna áherslu á að þjónusta frjálsan og opinn hugbúnað.
  • Vegna erfiðleika að fá þjónustu fyrir frjálsan og opinn hugbúnað sem talinn er geta hentað til úrlausna á ákveðnum viðfangsefnum þarf nokkur innri þekking að vera fyrir hendi. Sérstök upplýsingatæknideild gæti sérhæft sig í þessum hugbúnaði og lágmarkað þörf fyrir utanaðkomandi ráðgjafa. Bæði útvistun og innvistun þekkingar á þessu sviði leiðir óhjákvæmilega til kostnaðar og meta þarf hvor leiðin sé hagstæðari í ljósi þess hversu umfangsmikill reksturinn er.

Séreignarhugbúnaður

Séreignarhugbúnaður byggist á forritunarkóða sem ekki er opinber og hugbúnaðarframleiðandinn heldur eftir öllum réttindum. Framleiðandinn er eigandi hugbúnaðarins og notendur fá aðeins afnotaleyfi af honum, oftast gegn endurgjaldi. Þannig fær hugbúnaðarframleiðandinn tekjur sem nýtast til að greiða sérstöku þróunarteymi til að þróa og viðhalda hugbúnaðinum en notendum eru sett takmörk varðandi notkun, dreifingu og breytingu á honum.

  • Fyrirtæki sem þróa og selja séreignarhugbúnað eru yfirleitt einnig þjónustuaðilar þar sem mesta þekkingu á búnaðinum er að finna hjá þeim sem vinna við að þróa hann.
  • Ýmis fyrirtæki sem þróa og selja séreignarbúnað leyfa öðrum aðilum á markaði að þjónusta búnaðinn og þannig skapast val fyrir opinbera aðila. Í sumum tilfellum er öðrum aðilum veitt þróunarleyfi sem heimilar þeim að bæta við og aðlaga hugbúnaðinn að sínum viðskiptavinum.
  • Ef svo illa vill til að hugbúnaðarframleiðandi hættir þróun á tiltekinni séreignarlausn situr notandinn uppi með óbreytanlegan hugbúnað og verður þannig tilneyddur til að þróa lausnina áfram með tilheyrandi kostnaði eða skipta yfir í annan búnað. Til að sporna við slíku er samkvæmt stefnu stjórnvalda um frjálsan og opinn hugbúnað stefnt að því að opinberir aðilar „verði ekki of háðir einstökum hugbúnaðarframleiðendum og þjónustuaðilum“. Notkun frjáls hugbúnaðar telst vera liður í því þar sem notandinn hefur leyfi og möguleika til að breyta og dreifa hugbúnaðinum.

Þegar valið er á milli frjáls og opins hugbúnaðar annars vegar og séreignarhugbúnaðar hins vegar stendur valið þannig ekki aðeins á milli virkni búnaðarins heldur einnig hvers eðlis hann er. Ákvörðunin ræðst af hugmyndafræði en einnig þarf að taka mið af því hvernig hugbúnaðurinn muni uppfylla þarfir og kröfur í framtíðinni og vega það gagnvart þeim þörfum sem hann þarf að þjóna þegar hann er valinn.

Dæmi um opinn hugbúnað í notkun hjá opinberum aðilum

  • JForum - spjallkerfi fyrir vefsíður
  • Apache – öflugur og þaulreyndur vefþjónn
  • Drupal – vefumsjónarkerfi fyrir stærri vefsvæði
  • Wordpress – útbreiddasta vefumsjónarkerfi í heiminum
  • MediaWiki – kvikukerfi (e. wiki)
  • Moodle – námsumsjónarkerfi
  • jQuery – Javascript-forritunarsafn sem auðveldar þróun gagnvirkra vefsíða

Ítarefni

 

1.3.5. Hýsing og þjónusta

Þegar kemur að því að velja hýsingar- og þjónustuaðila er lykilatriði að almenn öryggismál séu í lagi. Æskilegt er að þeir þjónustuaðilar sem samið er við hafi innleitt stjórnkerfi upplýsingaöryggis og fengið formlega vottun þriðja aðila á því. Slíkt tryggir að meðferð gagna, hýsing og þjónusta uppfylli lágmarks öryggis- og gæðakröfur. Öryggiskröfur sem gerðar eru til  hýsingar- og þjónustuaðila þurfa að taka mið af þeim upplýsingum og gögnum sem hýsingar- og þjónustuaðili mun hafa aðgang að. Ef gögn teljast viðkvæm þá eru gerðar ríkari kröfur til öryggismála en ella. Við mat á því hvort þjónustuaðili bjóði upp á nægjanlegt öryggi (mat á stjórnkerfi upplýsingaöryggis) er ráðlagt að skoða hvaða þættir í starfsemi hans eru vottaðir (vottunarskjal), gildistíma vottunar og enn fremur þá eftirlitsþætti sem innleiddir hafa verið (SOA-skjal).

Mikilvægt er að þjónustuaðili viðhafi frávikaskráningu með rekstrar- og öryggisfrávikum á þeim kerfum og gögnum sem falla undir þjónustusamning. Æskilegt er að reglubundnir fundir séu haldnir með þjónustuaðila til að meta framvindu á þjónustu og yfirfara frávikaskráningu.

Ef um kaup á hýsingarþjónustu er að ræða þarf að tryggja að nauðsynlegar umhverfisvarnir séu til staðar og að þjónustuaðili sé með virka neyðar- og viðlagaáætlun til að tryggja áframhaldandi rekstur upplýsingakerfa ef til áfalla kemur. Sem dæmi um slík áföll er rafmagnsleysi, bilun í vélbúnaði, flóð eða aðrar náttúruhamfarir.

Ítarefni

Var efnið hjálplegt?Nei
Takk fyrir

Ábendingin verður notuð til að bæta gæði þjónustu og upplýsinga á vef Stjórnarráðsins. Hikaðu ekki við að hafa samband ef þig vantar aðstoð.

Af hverju ekki?

Yfirlit

Hafa samband

Ábending / fyrirspurn


Þessi síða notar vafrakökur Lesa meira