Revision af it-sikkerhedsarbejdet på udvalgte områder i Københavns Kommune
Indstilling
Økonomiforvaltningen indstiller over for Økonomiudvalget,
- at revisionsrapporten vedrørende revision af it-sikkerhedsarbejdet på udvalgte områder i Københavns Kommune tages til efterretning.
Problemstilling
Økonomiforvaltningen modtog den 27. januar 2016 Deloittes rapport vedrørende it-sikkerhedsarbejdet på udvalgte områder i Københavns Kommune. Revisionen omfatter 10 nøglekontroller, alle fokuseret omkring it-sikkerhed og beskyttelse af persondata i forretningsprocesserne.
På baggrund af revisionens gennemgang af kontroller relateret til "Cyber Security" henstiller revisionen, at risici i forhold til de enkelte forvaltninger identificeres, samt at der udarbejdes handlingsplaner for de identificerede risici. Derudover henstiller revisionen, at der etableres tilsyn med om der opbevares persondata på bærbare computere, og at det sikres, at alle data er hensigtsmæssigt beskyttet. Revisionen henstiller ydermere, at Koncernservice sikrer, at de indførte rutiner fungerer, så der som minimum sker en forankring af opfølgningen på monitorering i it-sikkerhedsafdelingen.
På baggrund af revisionens gennemgang af udvalgte kontroller vedrørende ISO 27001, der er en international standard til styring af informationssikkerhed, henstiller revisionen, at der etableres konkrete retningslinjer for tildeling, styring og opfølgning på leverandøradgange, samt at denne proces forankres.
Ovenstående henstillinger fra revisionen er markeret som prioritet 1 (risici, der anses for kritiske), og dermed skal rapporten forelægges Økonomiudvalget på dagsordenen med direktionens bemærkninger indenfor tre uger, jf. Revisionsrapportering (BR 27-11-2014). I denne sag forelægges indstillingen på det førstkommende mulige møde i Økonomiudvalget.
Løsning
Som det fremgår af revisionsrapporten, vil Økonomiforvaltningen udarbejde en handlingsplan vedr. øget rådgivning og støtte til forvaltningernes arbejde med it-sikkerhed. Handlingsplanen forelægges Økonomiudvalget. Derudover forelægges Økonomiudvalget en indstilling vedrørende etablering af en ny tilsynsfunktion i Intern Revision, med virkning fra 2017, på baggrund af den nye EU-forordning om persondata.
Desuden er der på baggrund af indstillingen Styrkelse af it-sikkerheden (BR 30-04-2015) igangsat en række initiativer til forbedring af it-sikkerheden i alle dele af Københavns Kommune. Initiativerne er følgende:
- Styring af informationssikkerhed gennem anskaffelse og drift af en log- og event management-løsning.
- Etablering af ny struktur på datanetværket.
- Styring af lokale administrationsrettigheder.
- Ekstern overvågning af hændelser på netværket (Secure DNS).
- Etablering af mulighed for at foretage løbende overvågning og scanning af hjemmesider for CPR-numre mv., som fejlagtigt offentliggøres på eksterne og interne hjemmesider (webscanner).
- Foranalyse og etablering af business case vedrørende automatisering af adgangsstyring. Økonomiforvaltningen forbereder på baggrund af den etablerede Business Case en indstilling til Økonomiudvalget om automatisering af adgangsstyring. Indstillingen forelægges snarest muligt.
- Eventuelt yderligere initiativer på baggrund af udvikling i trusselsbillede og på baggrund af evt. ændret lovgivning i forlængelse af kommende EU-forordning om persondata mv. Økonomiforvaltningen vil indarbejde forslag om yderligere initiativer i handlingsplanen, der forelægges Økonomiudvalget den 12. april 2016.
Økonomi
Indstillingen har ingen økonomiske konsekvenser.
Videre proces
Økonomiforvaltningen forelægger Økonomiudvalget en handlingsplan den 12. april 2016 for håndtering af revisionens bemærkninger.
Økonomiforvaltningen forelægger Økonomiudvalget en indstilling vedrørende etablering af ny tilsynsfunktion i Intern Revision.
Beslutning
Dagsordenspunkt 5: Revision af it-sikkerhedsarbejdet på udvalgte områder i Københavns Kommune (2015-0277583)
Økonomiudvalgets beslutning i mødet den 1. marts 2016
Indstillingen blev taget til efterretning uden afstemning.