Årsberetning for 2004 vedrørende IT-sikkerhedsområdet
Årsberetning for 2004 vedrørende IT-sikkerhedsområdet
Økonomiudvalget
DAGSORDEN
for ordinært møde tirsdag den 1. november 2005
J.nr. ØU 450/2005
4. Årsberetning for 2004 vedrørende IT-sikkerhedsområdet
INDSTILLING
Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,
at årsberetningen for 2004 vedrørende IT-sikkerhedsområdet tages til efterretning.
RESUME
Årsberetningen afgives i henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" (sikkerhedsregulativet), som blev godkendt i Borgerrepræsentationen den 22. august 2002.
Sammenfattende kan det konkluderes, at arbejdet inden for IT-sikkerhedsområdet i 2004 ikke har givet anledning til særlige bemærkninger.
Der er sket enkelte ændringer i forhold til sikkerhedsorganisationen grundet oprettelsen af nyt sikkerhedsområde samt forøgelse af antallet af sikkerhedsledere.
For så vidt
angår den daglige sikkerhedsadministration og nye tiltag, har der i løbet af
2004 blandt andet været arbejdet på en reetableringsplan med henblik på at sikre
og reetablere IT-ydelser. Planen er udarbejdet i samarbejde med kommunens eksterne
databehandler. En opdatering af planen forventes klar i 2005. Desuden blev arbejdet
med at etablere en fælles IT-sikkerhedsløsning igangsat i oktober 2004.
Der er i Skatte- og Registerforvaltningen konstateret to tilfælde af overtrædelse af sikkerhedsbestemmelserne. De pågældende medarbejdere er blevet tildelt en skriftlig advarsel.
I Kultur- og Fritidsforvaltningen er der konstateret to tilfælde af uretmæssig brug af password. Forholdene er blevet påtalt over for den pågældende. Endelig er det på et lokalcenter under Familie- og Arbejdsmarkedsforvaltningen blevet konstateret, at en medarbejder har anvendt sin adgang til IT-systemerne til at få udbetalt ydelser til sig selv. Medarbejderen er blevet bortvist og forholdet anmeldt til politiet.
I Uddannelses- og Ungdomsforvaltningen har der været sikkerhedsproblemer i forbindelse med overgangen til og anvendelse af det nye lønsystem, idet det har været muligt for en anden forvaltning at indberette lønydelser inden for Uddannelses- og Ungdomsforvaltningens ansvarsområde.
Anmeldelse til Datatilsynet af behandlinger foretages løbende i henhold til persondatalovens bestemmelser.
Datatilsynet har rettet henvendelse til
· Skatte- og Registerforvaltningen vedrørende en klage fra en borger. Henvendelsen vedrører samme sag, som er nævnt i årsberetningen for 2003 vedrørende IT sikkerhedsområdet og er en opfølgning på den tidligere henvendelse. På grund af travlhed har Datatilsynet ikke afgjort klagen.
· Uddannelses- og Ungdomsforvaltningen vedrørende Københavns Kommunes anmeldelse af kommunens register til administration af den kommunale undervisning i dansk for voksne udlændinge. Datatilsynet har afvist anmeldelsen med den begrundelse, at Datatilsynet ikke finder, at oplysningerne er anmeldelsespligtige.
Kommunens tværgående eksterne databehandlere har som hidtil afleveret revisorerklæring.
For så vidt angår lønsystemet, som blev udviklet til Københavns Kommune af Accenture A/S og ibrugtaget i 2004, har anvendelsen af dette lønsystem givet problemer.
I forbindelse med overgangen til DM-data som driftsleverandør for kommunen i september 2002 blev en kortlægning af den automatiske dataudveksling til/fra kommunens IT-systemer iværksat. Kortlægning og indgåelse af aftaler har været i gang i både 2003 og 2004. Der er identificeret 58 automatiske dataudvekslinger til/fra kommunens IT-systemer. Der er indgået dataudvekslingsaftaler i 41 tilfælde. De resterende aftaler er under behandling.
SAGSBESKRIVELSE
I henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" afgiver overborgmesteren og den enkelte borgmester en årsberetning om sikkerhedsarbejdets forløb inden for hver deres område. Vedkommende udvalg orienteres om årsberetningen. Overborgmesteren koordinerer beretningerne med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
1. Lov om behandling af personoplysninger
Der er ikke i år 2004 sket ændringer i lovgrundlaget, som udgør henholdsvis lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven), som trådte i kraft den 1. juli 2000, Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning samt Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelsen.
2. Regulativ for IT-sikkerhed i Københavns Kommune
Borgerrepræsentationen godkendte den 22. august 2002 "Regulativ for IT-sikkerhed i Københavns Kommune" (sikkerhedsregulativet), som er grundlaget for IT-sikkerhedsadministrationen i forvaltningerne.
Sikkerhedsregulativet er tilgængeligt på kommunens intranet KKnettet og på Internettet.
Økonomiforvaltningens 11. kontor har igangsat udarbejdelse af minimumsbestemmelser på de områder, der er nævnt i sikkerhedsregulativets § 6, stk. 2, vedrørende blandt andet sikring af kommunikationsforbindelser og nødberedskab. Bestemmelserne er fortsat under udarbejdelse og vil foreligge i endelig form inden udgangen af 2005.
3. IT-sikkerhedsorganisationen
Økonomiudvalget fører det overordnede tilsyn med og koordinerer sikkerhedsbestemmelserne i alle forvaltninger, jf. sikkerhedsregulativets § 6. Overborgmesteren fungerer som sekretær for Økonomiudvalget på IT-sikkerhedsområdet. Denne opgave varetages i det daglige af Borgerrepræsentationens Sekretariat.
Der er ved opbygningen af kommunens sikkerhedsorganisation tilstræbt adskillelse af den kontrollerende og den udførende funktion, ligesom der er tilstræbt uafhængighed af nøglepersoner ved udpegning af stedfortrædere.
Den kontrollerende funktion varetages af sikkerhedslederne, som udpeges af overborgmesteren og de enkelte borgmestre inden for hver deres område.
De udførende funktioner på IT-sikkerhedsområdet varetages af forvaltningernes ledelse, de systemansvarlige og de IT-ansvarlige, hvis opgaver i relation til IT-sikkerhedsregulativet specifikt fremgår af regulativets §§ 12-14 samt §§ 17-18.
I løbet af 2004 er der sket følgende ændringer i sikkerhedsorganisationen:
Borgerrådgiveren blev oprettet som selvstændigt sikkerhedsområde under Borgerrepræsentationen, som konsekvens af Borgerrepræsentationens beslutning BR586/03 om etablering af en borgerrådgiverfunktion.
Der blev truffet beslutning om at udskille Københavns Energi og omdanne enheden til et aktieselskab. Selskabet ejes af Københavns Kommune og betragtes fortsat som en del af kommunen i IT-sikkerhedsmæssig forstand.
Med udgangen af 2004 havde overborgmesteren og de enkelte borgmestre i henhold til § 10 i sikkerhedsregulativet udpeget i alt 17 sikkerhedsledere, der fordeler sig således på de enkelte forvaltninger:
Forvaltning Antal
sikkerhedsledere:
Økonomiforvaltningen 5
Kultur- og Fritidsforvaltningen 1
Uddannelses- og Ungdomsforvaltningen 1
Sundhedsforvaltningen 1
Familie- og Arbejdsmarkedsforvaltningen 1
Bygge- og Teknikforvaltningen 3
Miljø- og Forsyningsforvaltningen 3
Revisionsdirektoratet 1
Borgerrådgiveren 1
Sikkerhedsledernes opgaver fremgår af sikkerhedsregulativet.
4. Den daglige sikkerhedsadministration og nye tiltag
Sikkerhedslederne foretager den daglige sikkerhedsadministration på basis af de sikkerhedssystemer, der enten er indbygget i eller koblet på de IT-systemer, som anvendes inden for det pågældende sikkerhedsområde.
Opgaverne i forbindelse med adgangsforhold og kontroller er beskrevet i sikkerhedsregulativet. Disse opgaver kræver stadig flere ressourcer i forvaltningerne til oprettelse og vedligeholdelse af kommunens brugere i sikkerhedssystemerne, og samtidig stiger kompleksiteten på grund af flere brugere og flere IT-systemer m.v.
Dispensation fra sikkerhedsregulativet
I januar 2004 blev der med hjemmel i sikkerhedsregulativets
§ 6, stk. 4 givet dispensation fra sikkerhedsregulativets § 32 i forbindelse
med installation af et nyt afstemningssystem i Borgerrepræsentationens mødesal.
Ifølge sikkerhedsregulativets § 32 forudsætter brugen af kommunens IT-systemer
en brugeridentifikation og et personligt kendeord. Mødelederens og
mødesekretærernes funktioner er derfor blevet defineret som egentlige roller.
Det vil sige, at adgangen til afstemningssystemet ikke kræver særskilt
brugeridentifikation og personligt kendeord af de personer, der fungerer som henholdsvis
mødeleder og mødesekretær. Adgangen til systemet omfatter kun adgang til de funktioner
i systemet, som er nødvendige for varetagelse af mødeleder og -sekretær funktionerne.
Ny fælles
sikkerhedsløsning
Borgerrepræsentationen godkendte på mødet den 26. august 2004 (BR 378/04) en indstilling vedrørende igangsættelse af et EU-udbud omhandlende et fælles IT-sikkerhedsadministrationssystem og sikkerhedsadministration. Projektet har fået navnet rollebaseret adgangskontrol (RBAK). Projektets formål er at gennemføre en analyse, der kan skabe grundlag for udbud af et IT-sikkerhedsadministrationssystem, samt at afdække de administrative processer, der er tilknyttet systemet. Det skal videre afdækkes, hvorvidt der vil kunne opnås økonomiske og effektiviseringsmæssige fordele ved at outsource de sikkerhedsfunktioner/brugeradministrationen, som i dag varetages af medarbejdere decentralt i forvaltningerne, alternativt at sikkerhedsadministrationen delegeres til en central enhed i kommunen. I oktober 2004 blev projektets styregruppe, projektgruppe og arbejdsgruppe konstitueret og analysearbejdet blev sat i gang. Den oprindelige projektbeskrivelse opstiller en række milepæle for forløbet både i 2004 og 2005. Tidsplan og målsætninger er dog blevet revideret i løbet af 2005.
Risikovurderinger
Det følger blandt andet af sikkerhedsregulativets § 6, at Økonomiudvalget skal fastlægge det overordnede IT-sikkerhedsniveau ud fra en risikovurdering i de enkelte forvaltninger. Risikoanalyserne er blevet udarbejdet for to forvaltningers vedkommende. Økonomiforvaltningen vil opfordre de øvrige forvaltninger til at færdiggøre analysearbejdet.
Nødberedskab
Det fremgår af sikkerhedsregulativets § 33, at den enkelte forvaltning skal sikre, at IT-ydelser kan reetableres betids og i fornødent omfang i tilfælde af helt eller delvist bortfald af IT-faciliteter. Der har i 2004 været foretaget test af driftsmiljøet hos kommunens eksterne databehandler (nu IBM, tidl. DM-data). Da testen imidlertid ikke kunne godkendes for alle systemer, blev en ny test af Københavns Kommunes Økonomi- og Regnskabssystem (KØR) og mainframe-systemer planlagt gennemført i 2005. Testrapporten for de centrale servere og KØR er udarbejdet. Den tekniske reetableringsplan opdateres løbende.
5. IT-sikkerheden i de enkelte forvaltninger
Al adgang til IT-systemer er betinget af en konkret autorisation fra en sikkerhedsleder. Antallet af brugere, der er autoriseret til kommunens netværk udgør ca. 20.000. Antallet af autorisationer til brugere, der er autoriseret til et eller flere af kommunens IT-systemer, udgør ca. 41.000. Det bemærkes, at en medarbejder ofte har adgang til mere end et system, hvorfor antallet af autoriserede brugere til netværket ikke svarer til antallet af autoriserede brugere til systemerne. Hovedparten af medarbejderne er autoriseret til systemer, der driftsafvikles hos IBM (tidl. DM-data). Et mindre antal brugere er autoriseret til systemer, der driftsafvikles hos andre edb-servicebureauer samt internt i forvaltningerne på lokale servere.
I medfør af sikkerhedsregulativets § 16 og § 18 skal der i de enkelte forvaltninger udarbejdes uddybende IT-sikkerhedsbestemmelser i form af en sikkerhedsinstruks og sikkerhedsforskrifter, hvori fastsættes forretningsgange for sikkerhedslederens og den IT-ansvarliges opgaver. Disse uddybende bestemmelser er blevet udarbejdet for de enkelte sikkerhedsområder, dog med undtagelse af to.
Forvaltningernes IT-sikkerhedsbestemmelser m.v. er for størstepartens vedkommende tilgængelige på kommunens intranet: KKnettet. De resterende vil snarest blive gjort tilgængelige.
6. Opfølgning på sikkerhedshændelser
I Skatte- og Registerforvaltningen er der konstateret et tilfælde af overtrædelse af sikkerhedsreglerne. Medarbejderen havde indberettet data til skattesystemerne for et familiemedlem. Indberetningen blev foretaget med familiemedlemmets accept som hjælp i forhold til en skattesag og blev således ikke foretaget for at tilgodese personlige eller familiære interesser. Den pågældende medarbejder er blevet tildelt en skriftlig advarsel med oplysning om, at gentagelsestilfælde vil føre til afskedigelse.
I Skatte- og Registerforvaltningen har en medarbejder brugt Skatte- og Registerforvaltningens brevskabeloner. Medarbejderen har anvendt skabelonerne i forbindelse med, at en af medarbejderens familiemedlemmer har haft en sag under behandling hos Familie- og Arbejdsmarkedsforvaltningen. Medarbejderen har desuden foretaget adressesøgninger, som ikke var tjensteligt begrundede. Den pågældende medarbejde har fået en skriftlig advarsel for så vidt angår begge forhold.
I Kultur- og Fritidsforvaltningen er der i løbet af 2004 konstateret to tilfælde af uretmæssig brug af password. I begge tilfælde er forholdene blevet påtalt over for den pågældende.
I Familie- og Arbejdsmarkedsforvaltningen er det på et lokalcenter blevet konstateret, at en medarbejder har anvendt sin adgang til IT-systemerne til at få udbetalt ydelser til sig selv. Medarbejderen er i den forbindelse blevet bortvist, og forholdet anmeldt til politiet.
Uddannelses-
og Ungdomsforvaltningen har meddelt, at Familie- og Arbejdsmarkedsforvaltningen
har foretaget en indtastning i lønsystemet for en medarbejder, der tidligere
havde været ansat i Uddannelses- og Ungdomsforvaltningen, men registreringen i
lønsystemet skete under Uddannelses- og Ungdomsforvaltningen. I et andet tilfælde
blev det konstateret, at lønudgifterne til en medarbejder, som både var ansat i
Familie- og Arbejdsmarkedsforvaltningen og i Uddannelses- og Ungdomsforvaltningen,
blev registreret samlet under Familie- og Arbejdsmarkedsforvaltningen.
I de øvrige IT-sikkerhedsårsberetninger er ikke nævnt
særlige forhold.
7.
Henvendelser fra Datatilsynet
Københavns Skatte- og Registerforvaltning har modtaget en henvendelse fra Datatilsynet. Henvendelsen vedrører samme sag, som er nævnt i årsberetningen om IT-sikkerhed for 2003 og er en opfølgning på den tidligere henvendelse. Københavns Skatte- og Registerforvaltning har i april 2004 besvaret henvendelsen. Datatilsynet har i september 2004 oplyst, at sagen endnu ikke er afsluttet, idet Datatilsynet på grund af travlhed ikke har haft lejlighed til at fortsætte den videre behandling.
8. Kommunens eksterne databehandlere
Kommunen har i de seneste år fået flere eksterne databehandlere, med hvem der er indgået sikkerhedsaftaler, jf. persondatalovens § 42 samt sikkerhedsregulativets § 31.
I aftalerne indgår, at firmaerne én gang årligt skal fremlægge en generel erklæring i overensstemmelse med Statsautoriserede Revisorers revisionsvejledning om driftsmiljøet, herunder at der er truffet tekniske og organisatoriske sikkerhedsforanstaltninger i overensstemmelse med reglerne i persondataloven og bekendtgørelse nr. 528 af 15. juni 2000.
Fra KMD er revisorerklæringen "Erklæring om IT-sikkerheden i KMD for perioden 1. januar – 31. december 2004 fremsendt til Københavns Kommune. Der er endvidere modtaget revisorerklæringer fra kommunens større eksterne og tværgående databehandlere. Erklæringerne konkluderer, at de generelle IT-kontroller har været opretholdt. Dog påpeges det i en enkel erklæring, at sikkerheden hos leverandøren ikke har været tilstrækkeligt, herunder at leverandøren ikke har færdiggjort en formel IT-sikkerhedspolitik, ligesom leverandøren ikke har udarbejdet en egentlig plan for nødberedskab for IT-anvendelsen. Økonomiforvaltningen vil på baggrund af revisorerklæringen følge op herpå.
I forbindelse med overgangen til DM-data som driftsleverandør for kommunen i september 2002 blev en kortlægning af den automatiske dataudveksling til/fra kommunens IT-systemer iværksat. Der er identificeret 58 automatiske dataudvekslinger til/fra kommunens IT-systemer. Der er indgået dataudvekslingsaftaler i 41 tilfælde. De resterende 17 er under forhandling. Vedligeholdelse af oversigten over indgåede dataudvekslingsaftaler varetages af Økonomiforvaltningens IT-administration, således at der til enhver tid vil foreligge en opdateret oversigt. IT-administrationen vil inden udgangen af 2005 udarbejde en vejledning om dataudvekslinger og en vejledning vedrørende indgåelse af dataudvekslingsaftaler i praksis.
9. Anmeldelser til Datatilsynet
Anmeldelse til Datatilsynet af behandlinger foretages løbende i henhold til persondatalovens bestemmelser og efter godkendelse af behandlingen i de enkelte udvalg, jf. sikkerhedsregulativets kapitler 13 og 14.
Uddannelses- og Ungdomsudvalget har i januar 2004 foretaget anmeldelse vedrørende BUP-basen i forbindelse med behandling af personoplysninger på Skolepsykiatrisk Center.
Datatilsynet har i september 2004 på baggrund af en
anmeldelse fra Uddannelses- og Ungdomsforvaltningen afvist en anmeldelse
vedrørende Københavns Kommunes register til administration af den kommunale
undervisning i dansk for voksne udlændinge. Datatilsynet har begrundet
afvisningen med, at anmeldelsen ikke indeholder en behandling af oplysninger,
som ligger ud over, hvad der er undtaget fra anmeldelsespligten. Det er således
kun databehandling, som indeholder fortrolige eller følsomme oplysninger, som
skal anmeldes til Datatilsynet.
Sundheds- og Omsorgsforvaltningen har i oktober 2004 foretaget anmeldelse til Datatilsynet i forbindelse med Københavns Kommunes valgsystem til ældrerådene.
10. Anmodninger om indsigt i behandling
I 2004 blev der fremsat 18 anmodninger fra borgere om indsigt i kommunens databehandlinger. Anmodningerne har ikke givet anledning til særlige bemærkninger.
11. Konklusion
Sammenfattende kan det konkluderes, at arbejdet inden for IT-sikkerhedsområdet i år 2004 ikke giver anledning til særlige bemærkninger.
Afrapportering vedrørende forhold, der ikke er afsluttet inden udgangen af 2004, vil blive medtaget i årsberetningen for 2005.
ØKONOMI
-
HØRING
IT-sikkerhedsårsberetningen er afgivet på baggrund af de IT-sikkerheds-årsberetninger, der er fremlagt i de enkelte udvalg om IT-sikkerhedsarbejdets forløb i 2004.
MILJØVURDERING
-
ANDRE
KONSEKVENSER
-
BILAG
-
Bjarne Winge
/Flemming Dubgaard Hansen