Mødedato: 10.08.2004, kl. 15:00

Igangsætning af EU-udbud af et fælles it-sikkerhedsadministrationssystem og sikkerhedsadministration

Igangsætning af EU-udbud af et fælles it-sikkerhedsadministrationssystem og sikkerhedsadministration

Økonomiudvalget

 

DAGSORDEN

for ordinært møde tirsdag den 10. august 2004

 

 

 

J.nr.             ØU 257/2004

 

 

2.                   Igangsætning af EU-udbud af et fælles it-sikkerhedsadministrationssystem og sikkerhedsadministration

 

 

INDSTILLING

Økonomiforvaltningen indstiller, at Økonomiudvalget anbefaler, at Borgerrepræsentationen godkender

 

 

at      der igangsættes en EU-udbudsforretning om anskaffelse af et nyt fælles IT-sikkerhedsadministrationssystem og sikkerhedsadministration,

at         der reserveres i alt 10 mio. kr. til anskaffelse af et fælles IT-sikkerhedsadministrationssystem. Heraf finansieres 5 mio. kr. af puljen med uforbrugte midler overført fra regnskab 2003 til budget 2004 (BR 319/04). Endvidere anvendes 5 mio. kr. fra Økonomiudvalgets budget 2004 under Økonomiforvaltningens 11.kt. til udvikling af fællessystemer m.v.

at         Økonomiudvalgets driftsramme for 2004 nedskrives med 10 mio. kr.  mens Økonomiudvalgets driftsramme for 2005 opskrives med 10 mio. kr, idet udgifterne til anskaffelse forventes afholdt i 2005

 

 

 

 

RESUME

Kommunens IT-anvendelse kræver stadig flere ressourcer til oprettelse og vedligeholdelse af kommunens brugere i sikkerhedssystemerne. Samtidig stiger kompleksiteten pga. flere brugere, og IT-systemer samt nye platforme. På den baggrund foreslår Økonomiforvaltningen, at der igangsættes en EU-udbudsforretning om anskaffelse af et nyt fælles IT-sikkerhedsadministrationssyst em, som skal kunne håndtere brugeradministration, autorisation og adgangskontrol m.v. for den overvejende del af kommunens IT-systemer.

 

Endvidere foreslås det, at der samtidig med udbudet af IT-sikkerhedsadministrationssystemet tillige efterspørges serviceydelser som brugeradministration, herunder brugeroprettelser, brugerautorisationer, brugernedlæggelser, oprettelse og vedligeholdelse af roller m.v. søges autoriseret. Den del af sikkerhedsadministrationen i kommunen, der er myndighedsopgaver, dvs. opgaver som har strategisk/kontrollerende betydning outsources ikke. I tilfælde af outsourcing vil leverandøren eventuelt blive tilbudt overførsel af sikkerhedsmedarbejdere fra kommunen, og det vil blive vurderet om lov om virksomhedsoverdragelse vil finde anvendelse.

Ved at udbyde IT-sikkerhedsadministrationssystemet og administrationen heraf kan det vurderes, om der kan opnås en synergi rabat ved et samlet udbud. Der skal også gives mulighed for at tilbudsgiverne kun afgiver tilbud på én af delene.

 

Anskaffelse og implementering samt på drift og vedligehold de første 3 år skal finansieres indenfor en ramme af 10 mio. kr.

5 mio. kr. finansieres af puljen til uforbrugte midler. De resterende 5 mio. kr. finansieres indenfor økonomiudvalgets ramme for 2004 til udvikling af fællessystemer m.v.

Herefter vil udgifterne til løbende drift- og vedligeholdelse blive udfaktureret til udvalgene efter antal brugere oprettet i systemet. Udgifterne til anskaffelse og implementering forventes afholdt i 2005.

De løbende udgifter, der udfaktureres fra og med 2008, estimeres til ca. 1,3 mio. kr. pr. år. Det eksakte beløb kendes dog først, når tilbudene foreligger og vil indgå i den endelige indstilling om valg af leverandør.

 

Cap Gemini har estimeret, at sikkerhedsledernes ressourceforbrug i forbindelse med brugeradministration udgør ca. 15 årsværk fordelt på ca. 50 ansatte. Tidsbesparelserne for kommunen ved anskaffelse af et samlet it-sikkerhedsadministrationssystem er vurderet til ca. 2,4 årsværk (ca. 1 mill. kr.) ud af det samlede tidsforbrug på 15 årsværk.

Den estimerede besparelse i forvaltningen til brugeradministration, heriblandt brugeroprettelse, kontrol og kendeordsproblemer, kan af forvaltningen anvendes til medfinansiering af de løbende driftsudgifter som vil blive udfaktureret efter antal brugere efter tre år.

 

Forvaltningerne vil i god tid blive informeret om hvornår de skal bidrage med ressourcer til projektet. Opgørelsen over mængden af ressourcer vil ligeledes blive beskrevet senere

 

Den overordnede effekt af projektet vil være, at kommunen kan fastholde det nuværende høje sikkerhedsniveau som beskrevet i sikkerhedsregulativet samtidig med, at en række af de nuværende forældede IT-sikkerhedsadministrationssystemer udfases til fordel for ét moderne samlet IT-sikkerhedsadministrationssystem. Herved reduceres kompleksiteten i IT-sikkerhedadministrationen, da alle sikkerhedsopgaver løses i et samlet system. Samtidig skabes der grundlag for, at der kan indføres single sign-on, dvs. ét kendeord, til alle kommunens væsentligste systemer gennem anvendelse af digital signatur.

 

Såfremt det besluttes at igangsætte en udbudsforretning, og der modtages attraktive tilbud indenfor den økonomiske ramme vil Økonomiudvalget og Borgerrepræsentationen få forelagt en indstilling om valg af leverandør(er).

 

 

 

SAGSBESKRIVELSE

I en lang årrække har de væsentligste fagsystemer, der anvendes i kommunen været baseret på mainframe systemer, som sikkerhedsmæssigt kan håndteres via et mindre antal velkendte sikkerhedssystemer. I takt med at anvendelsen af client/server systemer baseret på eksempelvis Unix (f.eks. KØR) og Windows er vokset, er administrationen af brugere og rettigheder vokset i kompleksitet, idet hvert nyt system i princippet introducerer et nyt sikkerhedssystem. Endvidere bruger kommunen en række avancerede webbaserede- og client/server systemer, som eksempelvis Elektronisk Selvbetjening (ESB), København kommunes nye intranet (KKnet2) og det Elektroniske Sags- og Dokumenthåndteringssystem (ESDH). De mange nye systemer, som anvendes har forstærket behovet for at indføre et fælles IT-sikkerhedsadministrationssystem, der kan hjælpe med at styre brugerne og deres rettigheder på tværs af de forskellige IT-miljøer. Det er Økonomiforvaltningens vurdering, at der findes løsninger på markedet, der kan dække Københavns Kommunes behov.

 

En forudsætning for anskaffelsen af IT-sikkerhedsadministrationssystemet er, at Københavns Kommune kan fastholde eller højne sit høje sikkerhedsniveau som er beskrevet i kommunens IT-sikkerhedspolitik og regulativet for IT-sikkerhed.

 

Det efterspurgte IT-sikkerhedsadministrationssystem skal gøre det muligt at administrere brugerrettigheder m.m. på både Mainframe-, Unix-(herunder KØR) og Microsoftplatforme.

 

Den forventede effekt

Den overordnede effekt ved indførelse af et fælles IT-sikkerhedsadministrationssystem er, at kommunen kan fastholde det nuværende sikkerhedsniveau som beskrevet i sikkerhedsregulativet. Dette understøttes af et fælles IT-sikkerhedsadministrationssystem gennem blandt andet følgende:

 

·        Større brugervenlighed, eksempelvis ved at der kan indføres single sign-on (dvs. at man kan nøjes med at anvende é t og samme kendeord til samtlige systemer) i kommunen, herunder anvendelse af digital signatur som medarbejdernes adgang til fagsystemerne.

·        Fremtidssikring af kommunens IT-sikkerhedsløsning gennem efterspørgsel af et standardsystem.

·        Effektivisering af brugeradministrationen eksempelvis i form af hurtigere oprettelse og nedlæggelse af brugere og hurtigere opfølgning på autorisationer. Cap Gemini har i deres sikkerhedsanalyse af kommunen estimeret en ressourcebesparelse for kommunen på minimum 2,4 årsværk (ca. 1 mio. kr. pr. år).

·        Mulighed for at udfase en række af de nuværende forældede IT-sikkerhedsadministrationssystemer. Eksempelvis vil aftalen med KMD om assistance i forbindelse med sikkerhedsadministration af kommunens mainframe formentlig kunne opsiges, når det nye IT-sikkerhedsadministrationssystem er implementeret. Aftalen beløber sig til 2,6 mio. kr. pr. år. Et beløb som kan medgå i finansieringen af de løbende drifts- og vedligeholdelsesudgifter.

·        Bedre mulighed for udførelse af myndighedsopgaver, forebyggende kontroller m.v.

·        Højere internt sikkerhedsniveau gennem eksempelvis hurtigere nedlæggelse af brugere og en hurtigere opfølgning på autorisationer.

·        Reduceret kompleksitet - alle sikkerhedsopgaver løses som udgangspunkt i det fælles IT-sikkerhedsadministrationssystem.

 

 

Afgrænsning af udbud af IT-sikkerhedsadministrationssystem

Der foreslås igangsat en EU-udbudsforretning med henblik på at erhverve et IT-sikkerhedsadministrationssystem og administrationen heraf.

 

Der lægges op til at gennemføre et begrænset EU-udbud med forudgående prækvalifikation. Denne udbudsform har den fordel, at det er muligt alene at anmode om tilbud fra de tilbudsgivere, der vurderes at kunne løfte opgaven. Resultatet af udbudsforretningen forventes at foreligge ultimo 2. kvartal 2005. 

 

Økonomiforvaltningen vil udbyde både IT-sikkerhedsadministrations-system og administrationen heraf, samlet og adskilt. Det betyder, at de potentielle tilbudsgivere får mulighed for at give tilbud på enten IT-sikkerhedsadministrationssystem eller administrationen. Der er ligeledes mulighed for at en virksomhed kan give tilbud på begge opgaver, og virksomhederne kan tilbyde særlig pris ved overtagelse af både IT-sikkerhedsadministrationen og IT-sikkerhedsadministrationssystemet.

 

Administrationen af IT-sikkerhedsadministrationssystemet består af brugeradministration, herunder brugeroprettelser, brugerautorisationer, brugernedlæggelser, oprettelse og vedligeholdelse af roller m.v. Den del af IT-sikkerhedsadministrationen i kommunen, der er myndighedsopgaver, dvs. opgaver som har strategisk/kontrollerende betydning outsources ikke.

 

Det vil umiddelbart være at foretrække, at kommunen får én leverandør, der kan levere den samlede ydelse. Imidlertid er der en række forhold som gør, at det kan være fordelagtigt, at opgaven alligevel udbydes med mulighed for, at leverandørerne kun giver tilbud på én af ydelserne:

 

1.      Der er færre leverandører, der vil være i stand til at levere et IT-sikkerhedsadministrationssystem, der opfylder de krav, som Københavns Kommune stiller. Ved at opdele udbuddet skabes der større konkurrence, og kommunen kan dermed forvente at modtage flere tilbud end, hvis opgaven alene blev udbudt samlet.

 

2.      IT-sikkerhedsadministrationen i Københavns Kommune er en kompleks opgave og i tilfælde af, at der ikke findes egnede tilbud på denne opgave, vil det være nødvendigt at aflyse udbuddet. Ved at opdele udbuddet gives der mulighed for at vælge en systemleverandør selv om udbuddet af IT-sikkerhedsadministrationen må aflyses.

 

3.      Gennem en opdeling af udbuddet bliver der bedre mulighed for at sammenligne de afgivne tilbud med de udgifter der i dag er til henholdsvis IT-sikkerhedsadministration og IT-sikkerhedsadministrations-systemer.

 

Når tilbudene foreligger og de vurderes attraktive og ligger indenfor den økonomiske ramme, vil der blive udarbejdet en indstilling om valg af leverandør samt aftalens omfang m.v. til Økonomiudvalget og til Borgerrepræsentationen.

 

Økonomi

Økonomiforvaltningen vurderer, at de samlede projektudgifter inklusiv udgifter til udbud og implementering samt drift og vedligehold i tre år beløber sig til ca. 10 mio. kr. Indeholdt i beløbet er yderligere de udgifter, der er forbundet med, at allerede eksisterende systemer skal kunne integreres med det efterspurgte IT-sikkerhedsadministrationssystem.

 

Skulle det mod forventning ikke være muligt at erhverve et IT-sikkerhedsadministrationssystem som lever op til kommunens krav indenfor denne ramme, vil forslag til finansiering af det resterende beløb indgå som en del af indstillingen om valg af leverandør.

 

Økonomiforvaltningen skønner, at de løbende udgifter til drift og vedligeholdelse ca. kan opgøres til 25 % af anskaffelsesomkostningerne som udgør ca. 5 mio. kr. På baggrund heraf estimeres de løbende udgifter, der udfaktureres efter tre år, til ca. 1,3 mio. kr. pr. år. Udgifterne fordeles efter antal brugere oprettet i systemet. De eksakte løbende omkostninger kendes dog først, når tilbudene foreligger og vil indgå i den endelige indstilling til Økonomiudvalget og Borgerrepræsentationen om valg af leverandør.

 

En forudsætning for gennemførelsen af udbudet er, at udvalgene bidrager med de nødvendige ressourcer og kompetencer i de enkelte arbejdsgrupper[1]. Her tænkes på kompetencer indenfor rolledefinition, systemkendskab, administrativ brug. Det anslås, at der skal frigøres det, der svarer til to mandemåneder for Familie- og Arbejdsmarkedsudvalget og Sundhedsudvalget samt en mandemåned for de resterende udvalgsområder til udbudet. Herefter vil der blive behov for ressourcer i forbindelse med implementeringen.

 

Anskaffelsen af IT-sikkerhedsadministrationssystemet foreslås finansieret på følgende måde:

 

Puljen med uforbrugte midler overført fra regnskab 2003 til budget 2004 (BR 319/04) på 5 mio. kr. udmøntes til formålet. Midlerne blev overført til Økonomiudvalgets bevilling: "Økonomisk forvaltning, funktion 6.51.1." til senere udmøntning efter forelæggelse for Borgerrepræsentationen, da der ikke på tidspunktet for overførsel var truffet beslutning om midlernes anvendelse.

Desuden anvendes 5 mio. kr. fra Økonomiudvalgets budget 2004 under Økonomiforvaltningens 11.kt. til udvikling af fællessystemer m.v. Økonomiudvalget har dermed mulighed for at finansiere projektet med op til 10 mio. kr.

 

Da midlerne først ventes anvendt i 2005 foreslås Økonomiudvalgets driftsramme for 2004 nedskrevet med 10 mio. kr. fordelt som beskrevet ovenfor, mens Økonomiudvalgets driftsramme for 2005 under 11. kontor, decentral dimension (konto) 3700 1103706 foreslås opskrevet med 10 mio. kr.

 

Økonomiforvaltningen har endvidere indgået en aftale med KMD om assistance i forbindelse med sikkerhedsadministration af kommunens mainframe og Unix systemer. Indføres en fælles IT-sikkerhedsløsning, som inkluderer et IT-administrationssystem og administration heraf, vil denne aftale ikke længere være nødvendig. Et eventuelt provenu i 2005 i forbindelse med opsigelsen af KMD aftalen vil kunne indgå i medfinansieringen af projektet.

 

Cap Gemini har estimeret, at sikkerhedsledernes ressourceforbrug i forbindelse med brugeradministration udgør ca. 15 årsværk fordelt på ca. 50 ansatte. Tidsbesparelserne for kommunen ved anskaffelse af et samlet IT-sikkerhedsadministrationssystem er vurderet til ca. 2,4 årsværk (ca. 1 mio. kr.). Den estimerede besparelse i forvaltningen til brugeradministration, heriblandt brugeroprettelse, kontrol og kendeordsproblemer, kan af forvaltningen anvendes til medfinansiering af de løbende driftsudgifter som vil blive udfaktureret efter antal brugere efter tre år.

 

Miljøvurdering

Forslaget har ingen miljømæssige konsekvenser

 

Andre konsekvenser

Sikkerhedslederne skal fremover i højere grad fokusere på kontrollerende myndighedsopgaver end på de udøvende opgaver, eksempelvis overvågning af kommunens overordnede IT-sikkerhedspolitik m.v. I konsekvens heraf samt som led i den generelle styrkelse af IT-sikkerheden i kommunen vil sikkerhedslederne blive tilbudt relevant efteruddannelse.

 

Indførelsen af et fælles IT-sikkerhedsadministrationssystem og outsourcing af administrationen deraf, medfører ikke ændringer i Regulativ for IT-sikkerhed i Københavns Kommune.

 

Høring

Forvaltningerne har været inddraget i forbindelse med udarbejdelse af nærværende indstilling ved høring af

o       IT-Styregruppen

o       IT-sikkerhedslederne

 

 

Bilag

1.      Projektbeskrivelse & tidsplan

 

 

 

 

Erik Jacobsen

 

                                                                                       / Bjarne Winge

 

 

 

 



[1] Arbejdsgruppernes ansvarsområder fremgår af projektbeskrivelsen


Til top