Mødedato: 04.03.2025, kl. 15:30
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Godkendelse af ændring til ’Forretningscirkulære for Informationssikkerhed’ vedrørende tilsyn med autorisationer

Se alle bilag
Til Økonomiudvalgets godkendelse forelægges en ændring til Københavns Kommunes ’Forretningscirkulære for informationssikkerhed’. Med ændringen tydeliggøres kriterier og beslutningsproces for at kunne undtage it-systemer fra kravet om ledelsestilsyn. Ændringen vil nedbringe den administrative byrde hos decentrale ledere i kommunen samt fastholde et tilstrækkeligt it-sikkerhedsniveau. 

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at ændringen til ’Forretningscirkulære for Informationssikkerhed’, godkendes.

Problemstilling

Med Revisionsberetningen 2023 modtog KK en bemærkning vedrørende ’Brugerstyring og ledelsestilsyn med brugerautorisationer’. Bemærkningen omhandlede bl.a., at ledelsestilsyn med autorisationer i kommunens systemer ikke altid udføres i fuld overensstemmelse med Københavns Kommunes (KK) regler.

At føre ledelsestilsyn med autorisationer sikrer, at de tildelte autorisationer i et system afspejler medarbejdernes arbejdsbetingede behov. Medarbejderne skal kun havde adgang til de systemer og data deri, som er nødvendige for at udføre deres arbejde. Med ledelsestilsynet opdages og rettes eventuelle fejl i forbindelse med tildeling og fratagelse af autorisationer. Ledelsestilsynet foretages af medarbejderens nærmeste leder efter en fast hyppighed, hvilket kan medføre en betydelig administrativ arbejdsbyrde, afhængigt af antallet af systemer, medarbejderen har adgang til.   

For at imødekomme revisionsbemærkningen blev der i 2024 udarbejdet en handleplan med tværgående indsatser, som skulle sikre overholdelse af KK’s regler. Handleplanen havde samtidig fokus på at effektivisere og forenkle ledelsestilsynsprocessen, således kommunens ressourcer anvendes på de systemer og autorisationer, hvor det giver størst it-sikkerhedsmæssig effekt. Sidstnævnte kræver tilpasning af KK’s regler for ledelsestilsyn, så de fremover tager højde for systemernes kritikalitet.

Løsning

Økonomiforvaltningen (ØKF) har nu foretaget de nødvendige tilpasninger af reglerne for ledelsestilsyn i KK’s ’Forretningscirkulære for informationssikkerhed’ (bilag 1). Den væsentligste ændring er tilføjelsen af en beslutningsproces for, hvordan systemejer vurderer og dokumenterer, om systemet skal være omfattet  af ledelsestilsynsprocessen. Heri oplistes nedenstående seks kriterier, som kan lægges til grund for, at systemer ud fra en saglig og dokumenteret vurdering, kan undtages fra krav om ledelsestilsyn:

  1. Systemet har ingen brugere.
  2. Systemet indeholder i sig selv ikke data.
  3. Systemet indeholder kun åbne data.
  4. Systemet indeholder ikke autorisationer eller kræver særlig licens.
  5. Systemet udelukkende behandler personoplysninger, der udtrykker en medarbejders funktion i Københavns Kommune
  6. Autorisationer onboardet i brugerstyringsløsningen, der automatisk tildeles til medarbejdere baseret på organisatorisk data, uden krav om yderligere godkendelse.

Nedenstående fremgår eksempler på, hvilke konkrete systemer der forventes at kunne blive undtaget fra kravet om ledelsestilsyn, ud fra hver af de 6 kriterier:

  • Systemer uden brugere, f.eks. infrastrukturkomponenter, som kun fungerer som tekniske værktøjer uden bruger- og adgangsstyring (Kriterie 1).
  • Systemer der i sig selv ikke indeholder data, f.eks. Remote Access VPN (Kriterie 2)
  • Systemer med åbne data, f.eks. CVR-numre (KK CVR Database) eller åbne geodata, som udelukkende indeholder offentligt tilgængelige oplysninger (Kriterie 3)
  • Systemer der ikke indeholder autorisationer eller kræver særlig licens, f.eks. PaperCut (skyprint) (Kriterie 4)
  • Systemer der udelukkende behandler personoplysninger, der udtrykker en medarbejders funktion i KK, f.eks. Min Ejendom (Kriterie 5)
  • Systemer, f.eks. TidReg, Schultz KommuneKoncept 2.0, hvor der automatisk tildeles autorisationer baseret på organisatorisk data uden behov for yderligere godkendelse (Kriterie 6).

Ved fravalg af et ledelsetilsyn skal systemejeren dokumentere og journalisere på hvilket sagligt og oplyst grundlag, vurderingen er foretaget.

Med ændringen bliver det tydeliggjort, at der fremover ikke skal føres ledelsestilsyn med alle systemer og autorisationer i KK, hvilket vil give to overordnede gevinster:

  • Højnet fokus på kommunens mest kritiske it-systemer og autorisationer, hvormed databeskyttelsen og it-sikkerheden højnes
  • Reduceret mængde af tilsyn grundet undtagelse af mindre kritiske systemer (fx systemer uden brugere), hvormed den administrative byrde mindskes.

Baseret på foreløbige vurderinger forventes op mod 20 % af de nuværende ledelsestilsyn at kunne blive undtaget. Dette vil medføre en væsentlig administrativ lettelse hos decentrale ledere i KK. Den endelige lettelse vil afhænge af forvaltningernes vurdering af deres respektive systemer. 

Økonomi

Sagen har ikke økonomiske konsekvenser.

Videre proces

Ved Økonomiudvalgets godkendelse, vil Økonomiforvaltningen orientere forvaltningerne om, at ændringerne nu træder i kraft.

Forretningscirkulære for Informationssikkerhed fastsætter regler for informationssikkerheden i Københavns Kommune og er bindende for alle kommunens enheder. Koncern IT vil i forbindelse med en samlet indsats på informationssikkerhedsområdet forventeligt genbesøge cirkulæret i 2026 og forelægge en justeret version til Økonomiudvalgets godkendelse.

 

Søren Hartmann Hede                          / Nicolai Kragh Petersen

 

Til top