Besvarelse af revisionsprotokollat nr. 17/1999. (IT i forvaltningen).

BESLUTNINGSPROTOKOL

fra ordinært møde tirsdag den 15. august 2000

Økonomiforvaltningen indstiller,

at Økonomiudvalget godkender de nedenfor anførte bemærkninger til Revisionsdirektoratets protokollat nr. 17/1999 (IT i forvaltningerne).

Økonomiudvalgets beslutning: Godkendt.

Revisionsdirektoratet har afgivet revisionsprotokollat nr. 17/1999 om IT i forvaltningerne.

I henhold til revisionsvedtægtens § 12, stk. 4, skal revisionsprotokollater besvares af pågældende udvalg snarest muligt og senest 4 uger efter modtagelsen.

Under hensyntagen til sommerferieperioden betyder dette, at besvarelsen forelægges Økonomiudvalget på udvalgets første møde efter sommerferien.

Økonomiforvaltningen vil, i tillæg til den nuværende oversigt over kommunens systemer der driftsafvikles af Kommunedata, etablere en oversigt over alle strategiske/forretningskritiske IT-systemer i kommunen.

Økonomiforvaltningen er enig i, at der bør etableres standarder for dokumentation og brugen af IT-systemer. Retningslinier for standarder for dokumentation vil som led i implementeringen af kommunens nye IT-strategi blive indarbejdet i IT-vejledningen.

Økonomiforvaltningen er ligeledes enig i, at kommunen altid skal kunne dokumentere ejendomsret m.v. til software og hardware. Dokumentationen herfor findes i de enkelte forvaltninger og bydele.

Som led i gennemførelsen af Lov om behandling af personoplysninger (Persondataloven)vil Økonomiforvaltningen efter sommerferien forelægge en indstilling om et nyt IT-sikkerhedsregulativ for Økonomiudvalget og Borgerrepræsentationen.

I regulativet vil det bl.a. blive anført, at det ved udpegningen af sikkerhedsledere, systemansvarlige og IT-ansvarlige skal påses, at der ikke er personsammenfald mellem den kontrollerende og udførende funktion dvs. mellem sikkerhedsledere, de systemansvarlige og de IT-ansvarlige.

Som led i gennemførelsen af Persondataloven vil der i forvaltningens forslag til nyt sikkerhedsregulativ blive præciseret, at der ved tildeling til en bruger af en såkaldt "gruppeautorisation" skal tages særskilt stilling til brugerens individuelle behov for de autorisationer, som er indeholdt i den pågældende gruppe.

Forvaltningens forslag til nyt sikkerhedsregulativ vil indeholde minimumskrav til den fysiske sikkerhed. Retningslinier for fysisk sikring og katastrofeplanlægning m.v. for kommunens centrale IT-systemer er omfattet af outsourcingkontrakten

Den centrale firewall, der ejes af og drives for kommunen af KMD, foretager ikke virusscanning. Det er i regi af IT-koordinationsgruppen og Internet Styregruppen præciseret, at ansvaret for beskyttelse af lokale netværk mod virus m.v. påhviler de enkelte forvaltninger og bydele. Økonomiforvaltningen finder ikke anvendelsen af kryptering af det interne netværk hensigtsmæssig og nødvendig.

Økonomiforvaltningens forslag til sikkerhedsregulativ med bilag vil indeholde minimumsbestemmelser vedrørende gennemgang af sikkerhedsrapport, logs, iværksættelse af foranstaltninger ved uautoriserede adgangsforsøg m.m., herunder opfølgning på sikkerhedshændelser/-brud.

Økonomiforvaltningen har iværksat forskellige undersøgelser m.v. med henblik på afklaring af behovet for ændrede/udbyggede foranstaltninger vedrørende IT-sikker-heden generelt, herunder i forbindelse med anvendelsen af kommunens netværk (Københavnernettet). Disse undersøgelser m.v. forventes afsluttet i løbet af efteråret.

Resultatet heraf og eventuelle konsekvenser af Justitsministeriets kommende bekendtgørelser og vejledninger vedrørende Persondataloven vil formentlig medføre en revidering/udbygning af det nu af forvaltningen udarbejdede forslag til sikkerhedsregulativ. Økonomiforvaltningen vil derfor forelægge forslag til revision af regulativet indeholdende de overordnede retningslinier for kommunens IT-sikkerhed generelt for Økonomiudvalget og Borgerrepræsentationen omkring årsskiftet 2000/2001.

Nedenfor under sagsbeskrivelsen er gengivet Revisionsdirektoratets bemærkninger

(anført med kursiv) samt Økonomiforvaltningens besvarelse.