Mødedato: 22.05.2007, kl. 15:15

Nyt it-sikkerhedsregulativ for Københavns Kommune

Se alle bilag

Nyt it-sikkerhedsregulativ for Københavns Kommune

Økonomiudvalget

DAGSORDEN

for ordinært møde tirsdag den 22. maj 2007

 

 

 

J.nr.             ØU 163/2007

 

 

12.                Nyt it-sikkerhedsregulativ for Københavns Kommune

 

 

 

Det eksisterende it-sikkerhedsregulativ for Københavns Kommune er grundet en række forhold – h erunder organisationsændringer - utidssvarende, hvorfor der skal udarbejdes et nyt.

 

 

INDSTILLING OG Beslutning

Økonomiforvaltningen indstiller, at Økonomiudvalget beslutter,

1.  at Økonomiforvaltningen gennemfører et projekt med henblik på at udarbejde et nyt it-sikkerhedsregulativ for Københavns Kommune

2.  at de forventede udgifter på i alt 1.297.000 kr. (2008 P/L) søges finansieret ved budgetforhandlingerne for 2008.

 

Økonomiudvalgets beslutning i mødet den 22. maj 2007

Indstillingen blev godkendt.

 

 

Problemstilling

Økonomiudvalget har i medfør af Københavns Kommunes it-sikkerhedsregulativ en overordnet tilsyn- og koordineringsfunktion for så vidt angår overholdelse af it-sikkerhedsbestemmelserne.

 

Det eksisterende it-sikkerhedsregulativ for Københavns Kommune har nu været gældende i fire år. En lang række forhold har imidlertid medført, at regulativet ikke længere er tidssvarende. Bl.a. har strukturreformen og interne beslutninger resulteret i organisationsændringer - herunder etablering af Koncernservice - ligesom der har fundet en øget teknologisk udvikling og digitalisering sted. Praktiske erfaringer med anvendelse af det nuværende it-sikkerhedsregulativ har endvidere synliggjort en del uhensigtsmæssigheder og mangler ved dette.

 

Et utidssvarende it-sikkerhedsregulativ medfører en sikkerhedsmæssig risiko, idet regulativet ikke længere vil kunne danne rammen for beskyttelse af kommunens it-investeringer og data, som er en nødvendig forudsætning for kommunens virke og opgaveløsning.

 

 

Løsning

Økonomiforvaltningen anbefaler, at der iværksættes et projekt med henblik på at udarbejde et nyt og tidssvarende it-sikkerhedsregulativ, der er i overensstemmelse med kommunens ønsker og behov.

 

Det nye it-sikkerhedsregulativ skal afspejle den ønskede risikoprofil for informationsbehandling. Det skal være forståeligt og skrevet med et indhold og på et niveau, der er afstemt med de forskellige målgrupper for regulativet. Det skal endvidere være operationelt og kunne omsættes til konkrete handlinger og aktiviteter.

 

I det nye regulativ vil en række organisatoriske forhold blive videreført. Kommunens styreform medfører, at ansvaret for den forvaltningsspecifikke it-sikkerhed som hidtil vil påhvile den enkelte borgmester, og tilsynet med it-sikkerheden bør som en konsekvens heraf fortsat skulle varetages af en funktion, der organisatorisk er placeret i de enkelte forvaltninger. Den overordnede tilsynsfunktion vil endvidere – ligeledes som hidtil – blive varetaget af Økonomiudvalget som følge af styrelsesvedtægten og i praksis af Borgerrepræsentationens Sekretariat med henblik på at sikre fuldstændig uafhængighed i forhold til den øvrige it-organisation. 

 

Det nye it-sikkerhedsregulativ vil blive udarbejdet med udgangspunkt i den gældende nationale standard for informationssikkerhed DS 484:2005. Herved sikres det, at alle relevante aspekter af it-sikkerheden bliver reguleret. Standarden er desuden ved at blive indført i en række kommuner og er blevet obligatorisk i staten.   

 

Projektet gennemføres i fire faser, som består af henholdsvis en afklarings- og planlægningsfase, en analysefase, en udarbejdelsesfase og en synliggørelses- og undervisningsfase, jf. bilag 1.

 

Projektet vil blive organiseret som beskrevet i bilag 2.

 

For at sikre en bred opbakning til - og konsensus om det nye it-sikkerhedsregulativ vil de respektive sikkerhedsfunktioner løbende blive inddraget i projektet og hørt, når forslaget til det nye it-sikkerhedsregulativ foreligger.

 

Det nye it-sikkerhedsregulativ vil blive udarbejdet i software-produktet SecureAware. Produktet omfatter en række moduler til styring af it-sikkerheden, der bl.a. gør det lettere at prioritere indsatsområder og skaber mulighed for en operationel it-sikkerhed i hele kommunen.

 

Projektet vil blive gennemført med bistand fra konsulenter, som har et indgående praktisk og teoretisk kendskab til DS 484:2005, viden inden for det persondataretlige lovgivningsområde samt praktisk erfaring med at omskrive lovgivningskravene, således at de bliver forståelige for målgruppen.

 

Et nyt it-sikkerhedsregulativ vil skabe grundlag for en bedre it-sikkerhed i forvaltningerne, og gennemførelse af projektet må i sig selv forventes at skabe en øget bevidsthed om it-sikkerheden hos medarbejderne i Københavns Kommune.

 

Sideløbende med udarbejdelsen af det ny it-sikkerhedsregulativ vil arbejdet med at få organiseret it-sikkerhedsområdet blive iværksat i overensstemmelse med de rammer, som det nye it-sikkerhedsregulativ udstikker. Organiseringsopgaven vil blive varetaget i et samarbejde mellem Borgerrepræsentationens Sekret ariat og Koncernservice med inddragelse af de øvrige forvaltninger.

 

 

Økonomi

Udgiften til gennemførelse af projektet er estimeret til 1.365.000 kr. (2008 P/L) Heraf udgør udgiften til løbende vedligeholdelse af software-produktet SecureAware 68.000 kr. årligt. Udgiften vil blive afholdt inden for Økonomiudvalgets egen ramme.

Forslag til finansiering af projektet har været sendt i høring hos forvaltningerne, jf. bilag 3 og 4.

De forventede udgifter på i alt 1.297.000 kr. (2008 P/L) eksklusiv den løbende vedligeholdelse af softwareproduktet SecureAware søges finansieret ved budgetforhandlingerne for 2008.

Såfremt der ikke opnås finansiering af projektet ved budgetforhandlingerne for 2008, fordeles de forventede udgifter på i alt 1.297.000 kr. (2008 P/L) ligeligt imellem forvaltningerne i 2008.

 

 

Videre proces

Når det nye it-sikkerhedsregulativ er udarbejdet, vil det blive forelagt for Økonomiudvalget med henblik på godkendelse og videre behandling i Borgerrepræsentationen ultimo november 2007.

Under forudsætning af at it-sikkerhedsregulativet bliver godkendt, vil dette efterfølgende skulle implementeres i kommunen i henhold til den strategi, som udarbejdes i forbindelse med projektets gennemførelse.

 

 

Bilag

1.      Milepælsplan med aktivitetsoversigt

2.      Projektorganisering

3.      Sammenfatning af høringssvar vedrørende finansiering

4.      Høringssvar vedrørende finansiering

 

 

Claus Juhl   

                                                         /Flemming Dubgaard Hansen

 

 

Til top