Besvarelse af revisionsprotokollat nr. 17/1999. (IT i forvaltningen).

DAGSORDEN

for ordinært møde tirsdag den 15. august 2000

Økonomiforvaltningen indstiller,

at Økonomiudvalget godkender de nedenfor anførte bemærkninger til Revisionsdirektoratets protokollat nr. 17/1999 (IT i forvaltningerne).

Revisionsdirektoratet har afgivet revisionsprotokollat nr. 17/1999 om IT i forvaltningerne.

I henhold til revisionsvedtægtens § 12, stk. 4, skal revisionsprotokollater besvares af pågældende udvalg snarest muligt og senest 4 uger efter modtagelsen.

Under hensyntagen til sommerferieperioden betyder dette, at besvarelsen forelægges Økonomiudvalget på udvalgets første møde efter sommerferien.

Økonomiforvaltningen vil, i tillæg til den nuværende oversigt over kommunens systemer der driftsafvikles af Kommunedata, etablere en oversigt over alle strategiske/forretningskritiske IT-systemer i kommunen.

Økonomiforvaltningen er enig i, at der bør etableres standarder for dokumentation og brugen af IT-systemer. Retningslinier for standarder for dokumentation vil som led i implementeringen af kommunens nye IT-strategi blive indarbejdet i IT-vejledningen.

Økonomiforvaltningen er ligeledes enig i, at kommunen altid skal kunne dokumentere ejendomsret m.v. til software og hardware. Dokumentationen herfor findes i de enkelte forvaltninger og bydele.

Som led i gennemførelsen af Lov om behandling af personoplysninger (Persondataloven)vil Økonomiforvaltningen efter sommerferien forelægge en indstilling om et nyt IT-sikkerhedsregulativ for Økonomiudvalget og Borgerrepræsentationen.

I regulativet vil det bl.a. blive anført, at det ved udpegningen af sikkerhedsledere, systemansvarlige og IT-ansvarlige skal påses, at der ikke er personsammenfald mellem den kontrollerende og udførende funktion dvs. mellem sikkerhedsledere, de systemansvarlige og de IT-ansvarlige.

Som led i gennemførelsen af Persondataloven vil der i forvaltningens forslag til nyt sikkerhedsregulativ blive præciseret, at der ved tildeling til en bruger af en såkaldt "gruppeautorisation" skal tages særskilt stilling til brugerens individuelle behov for de autorisationer, som er indeholdt i den pågældende gruppe.

Forvaltningens forslag til nyt sikkerhedsregulativ vil indeholde minimumskrav til den fysiske sikkerhed. Retningslinier for fysisk sikring og katastrofeplanlægning m.v. for kommunens centrale IT-systemer er omfattet af outsourcingkontrakten

Den centrale firewall, der ejes af og drives for kommunen af KMD, foretager ikke virusscanning. Det er i regi af IT-koordinationsgruppen og Internet Styregruppen præciseret, at ansvaret for beskyttelse af lokale netværk mod virus m.v. påhviler de enkelte forvaltninger og bydele. Økonomiforvaltningen finder ikke anvendelsen af kryptering af det interne netværk hensigtsmæssig og nødvendig.

Økonomiforvaltningens forslag til sikkerhedsregulativ med bilag vil indeholde minimumsbestemmelser vedrørende gennemgang af sikkerhedsrapport, logs, iværksættelse af foranstaltninger ved uautoriserede adgangsforsøg m.m., herunder opfølgning på sikkerhedshændelser/-brud.

Økonomiforvaltningen har iværksat forskellige undersøgelser m.v. med henblik på afklaring af behovet for ændrede/udbyggede foranstaltninger vedrørende IT-sikker-heden generelt, herunder i forbindelse med anvendelsen af kommunens netværk (Københavnernettet). Disse undersøgelser m.v. forventes afsluttet i løbet af efteråret.

Resultatet heraf og eventuelle konsekvenser af Justitsministeriets kommende bekendtgørelser og vejledninger vedrørende Persondataloven vil formentlig medføre en revidering/udbygning af det nu af forvaltningen udarbejdede forslag til sikkerhedsregulativ. Økonomiforvaltningen vil derfor forelægge forslag til revision af regulativet indeholdende de overordnede retningslinier for kommunens IT-sikkerhed generelt for Økonomiudvalget og Borgerrepræsentationen omkring årsskiftet 2000/2001.

Nedenfor under sagsbeskrivelsen er gengivet Revisionsdirektoratets bemærkninger

(anført med kursiv) samt Økonomiforvaltningens besvarelse.

Revisionsdirektoratet afgav den 23.juni 2000 et revisionsprotokollat nr. 17/1999 om IT i forvaltningerne - med en anmodning om en udtalelse til de synspunkter og bemærkninger, der er fremdraget i protokollatet. Der henvises til protokollatet.

Revisionsdirektoratet foretog i 1998 en undersøgelse af "Københavns Kommunes

generelle IT-forhold". Formålet generelt var at kortlægge Økonomiforvaltningens

tilrettelæggelse af opgavevaretagelsen på IT-området, herunder med fokus på ansvarsfordelingen mellem forvaltningens relevante kontorer.

Formålet med denne undersøgelse har været at få kortlagt og vurderet omfanget af forvaltningernes politikker, forretningsgange og kontrolforanstaltninger samt den generelle sikkerhed ved forvaltningernes IT-anvendelse.

"Revisionsdirektoratet skal anmode Økonomiforvaltningen om, at der udarbejdes en ajourført oversigt over Københavns Kommunes IT-systemer, herunder også de systemer, der driftsafvikles af KMD. I tilknytning hertil bedes der udarbejdet en ajourført oversigt over personer der i forvaltningerne er systemansvarlig for de enkelte systemer", (side 3 pkt. 4 afsnit 4).

Der forefindes allerede i Økonomiforvaltningens 11. kontor en ajourført oversigt over de af kommunens systemer, der driftsafvikles af KMD. Økonomiforvaltningen vil i samarbejde med IT-koordinationsgruppen som et led i kommunens nye IT-strategi etablere en samlet oversigt over alle strategiske/forretningskritiske IT-systemer i kommunen. KMD vedligeholder og ajourfører på kommunens vegne en oversigt over de systemansvarlige for de af kommunens systemer, der driftsafvikles af KMD. Det skal endvidere bemærkes, at systemansvaret ligger på forvaltnings- og personniveau. De systemansvarlige har således selvstændigt ansvar for at meddele ændringer til oversigten til KMD/Økonomiforvaltningens 11. kontor.

"For at sikre et ensartet kontrolniveau og dokumentationsstandarder bør Økonomiforvaltningens 11. kontor efter Revisionsdirektoratets opfattelse snarest igangsætte et arbejde med standarder for dokumentationen og brugen af forvaltningernes IT-systemer. Disse bør indarbejdes i kommunens overordnede IT-vejledning", (side 4 pkt. 6 afsnit 3).

Økonomiforvaltningen er enig i, at der bør etableres standarder for dokumentation og brugen af IT-systemer. Retningslinier for standarder for dokumentation vil som led i implementeringen af kommunens nye IT-strategi blive indarbejdet i IT-vejled-ningen.

"Revisionsdirektoratet forudsætter, at kommunen altid kan dokumentere ejendomsretten samt til- og afgang af såvel software som hardware", (side 6 pkt. 8 afsnit 1).

Økonomiforvaltningen er ligeledes enig i, at kommunen altid skal kunne dokumentere ejendomsret m.v. til software og hardware. Dokumentationen herfor findes i de enkelte forvaltninger og bydele. Som et led i kommunens nye IT-strategi vil den lokale IT-forvaltning af licensstyring m.v. blive søgt styrket.

nøglepersonkonflikt. Direktoratet vil ved den løbende revision efterprøve, at der i alle tilfælde sikres mod sammenfald mellem den udførende og kontrollerende funktion", (side 7 pkt. 9 afsnit 1).

Blandt andet som led i implementeringen af Lov om behandling af personoplysninger (Persondataloven), der trådte i kraft 1. juli 2000, vil Økonomiforvaltningen efter sommerferien for Økonomiudvalget og Borgerrepræsentationen forelægge en indstilling om vedtagelse af nyt IT-sikkerhedsregulativ for Københavns Kommune og bydelene. Nøglepersonkonflikten vil der blive taget højde for i det af forvaltningen udarbejdede forslag til nyt sikkerhedsregulativ. I forslaget vil det således blive anført, at det ved udpegningen af sikkerhedsledere, systemansvarlige og IT-ansvarlige skal påses, at der ikke er personsammenfald mellem den kontrollerende og udførende funktion (d.v.s. mellem sikkerhedslederne, de systemansvarlige og de IT-ansvarlige). I forslaget vil der endvidere blive anført, hvilke opgaver og hvilket ansvar, der påhviler sikkerhedslederne, de systemansvarlige og de IT-ansvarlige.

"Revisionsdirektoratet henleder opmærksomheden på, at der ved anvendelse af gruppevis autorisation tages individuel stilling til indehavernes behov for de givne autorisationer", (side 7 pkt. 10 afsnit 3).

"Revisionsdirektoratet giver udtryk for, at der som udgangspunkt bør anvendes samme operativsystem (styresystem) og filsystem (lagringsmetode) til understøttelse af det valgte operativsystems sikkerhedsfunktioner på såvel servere som tilkoblede pc'ere", (side 8 pkt. 11 afsnit 1).

Økonomiforvaltningen har noteret sig, at Revisionsdirektoratet giver udtryk for, at der som udgangspunkt bør anvendes samme operativsystem og filsystem til understøttelse af operativsystemets sikkerhedsfunktioner. Synspunktet vil blive overvejet i forbindelse med revideringen af IT-vejledningen.

"Økonomiforvaltningens 11. kontor bør efter Revisionsdirektoratets opfattelse også fastsætte overordnede retningslinier for den fysiske sikring, herunder katastrofeplanlægning", (side 8 pkt. 12 afsnit 6).

I henhold til Persondataloven skal der træffes de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger. Forvaltningens forslag til nyt sikkerhedsregulativ med bilag vil som følge heraf indeholde minimumskrav til den fysiske sikkerhed. I forslaget til sikkerhedsregulativet vil der endvidere blive henvist til Plan for det

civile beredskab i Københavns Kommune, specielle del punkt 14.6 (databeredskab).

Heraf fremgår blandt andet ansvars- og kompetencefordelingen, de omfattede systemer, prioriteringen af driftsafviklingen, sikring (fysisk, brand, backup), samt retablering. Planen er under revision og en uddybning/udbygning heraf vil blive overvejet i den forbindelse. Økonomiforvaltningen skal bemærke, at retningslinier for fysisk sikring og katastrofeplanlægning m.v. for kommunens centrale IT-systemer er omfattet af outsourcingkontrakten, hvorfor en revision heraf beror på en forhandling med KMD. Et tilsvarende arbejde vil blive igangsat for Københavnernettet, der ligeledes er omfattet af kontraktsforhold med KMD.

"Revisionsdirektoratet finder, at der generelt bør foretages en afklaring af kommunens netværksbeskyttelse via KMD's firewall, herunder i hvilken udstrækning denne sikrer mod virus. Direktoratet har med tilfredshed noteret sig, at Økonomiforvaltningens 11. kontor og kommunens overordnede sikkerhedsfunktion i samarbejde med KMD vil igangsætte en total kortlægning af kommunens anvendelse af kommunikationsforbindelser og firewall. I tilknytning hertil bør der ske afklaring af muligheden for generel anvendelse af sikker krypteret forbindelse", (side 9 pkt. 13 afsnit

3 - 5).

Økonomiforvaltningen skal bemærke, at den centrale firewall, der ejes af og drives for kommunen af KMD ikke foretager virusscanning. Det er i regi af IT-koordina-tionsgruppen og Internet Styregruppen præciseret, at ansvaret for beskyttelse af lokale netværk mod virus m.v. påhviler de enkelte forvaltninger og bydele. Økonomiforvaltningen finder ikke anvendelsen af kryptering af det interne netværk hensigtsmæssig og nødvendig, da det ikke er normalt at kryptere egne eller lejede linier når disse (som i Københavnernettet) anvendes som lukkede kredsløb. Sikkerhedseffekten ved kryptering vil være begrænset og omkostningerne til køb af ekstra router-kapacitet mv. vil være betydelige. Økonomiforvaltningen anvender kryptering i særlige tilfælde, eksempelvis i forbindelse med det kommende Extranet mellem Malmøs og Københavns kommuner.

"Revisionsdirektoratet er af den opfattelse, at procedurerne for håndtering af sikkerhedshændelser som minimum skal omfatte gennemgang af alle uautoriserede adgangsforsøg på såvel servere som pc'ere på kommunens pc-netværk", (side 10 pkt. 15 afsnit 5).

Økonomiforvaltningens forslag til sikkerhedsregulativ med bilag vil indeholde minimumsbestemmelser vedrørende gennemgang af sikkerhedsrapport, logs, iværksættelse af foranstaltninger ved uautoriserede adgangsforsøg m.m., herunder opfølgning på sikkerhedshændelser/-brud.

munens IT-sikkerhed, omfattende al databehandling og koordineret med kommunens andre overordnede retningslinier for IT-anvendelsen", (side 10 pkt. 16 nederste afsnit & side 11 øverste afsnit).

Økonomiforvaltningen har iværksat diverse undersøgelser m.v. med henblik på afklaring af behovet for ændrede/udbyggede foranstaltninger vedrørende IT-sikker-heden generelt, herunder i forbindelse med anvendelsen af kommunens netværk (Københavnernettet). Disse undersøgelser m.v. forventes afsluttet i løbet af efteråret med en anbefaling af, hvilke foranstaltninger, der evt. yderligere skal iværksættes. Resultatet af ovenstående samt eventuelle konsekvenser af Justitsministeriets kommende bekendtgørelser og vejledninger vedrørende Persondataloven vil formentlig medføre en revidering/udbygning af det nu af forvaltningen udarbejdede forslag til sikkerhedsregulativ. Økonomiforvaltningen vil derfor forelægge forslag til revision af regulativet indeholdende de overordnede retningslinier for kommunens IT-sikker-hed generelt for Økonomiudvalget og Borgerrepræsentationen omkrin g årsskiftet 2000/2001.

"Skatte- og Registerforvaltningen har umiddelbart bedømt foretaget en fornuftig planlægning og organisering af IT-anvendelsen. Men en konkret vurdering af, om forvaltningens etablerings- og driftsomkostninger på IT-området har haft de tilsigtede virkninger, har ikke kunnet foretages på det foreliggende grundlag", (side 15 pkt. 24 afsnit 3).

Økonomiforvaltningen har ikke særskilte bemærkninger hertil.

-

-

-

Revisionsprotokollat nr. 17/1999.

Bjarne Winge

/Ulrik Rosenberg