Årsberetning for 2003 vedrørende IT-sikkerhedsområdet

Økonomiudvalget

 

BESLUTNINGSPROTOKOL

fra ordinært møde tirsdag den 26. oktober 2004

 

 

J.nr. ØU 339/2004

 

2. Årsberetning for 2003 vedrørende IT-sikkerhedsområdet

 

INDSTILLING OG BESLUTNING

Økonomiforvaltningen indstiller, at Økonomiudvalget overfor Borgerrepræsentationen anbefaler,

 

at årsberetningen for 2003 vedrørende IT-sikkerhedsområdet tages til efterretning.

 

 

Økonomiudvalgets beslutning i mødet den 26. oktober 2004

Anbefalet.

 

 

Behandling: Borgerrepræsentationen.

 

 

RESUME

Årsberetningen afgives i henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" (Sikkerhedsregulativet), som blev godkendt i Borgerrepræsentationen den 22. august 2002.

 

Sammenfattende kan det konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i 2003 ikke har givet anledning til særlige bemærkninger.

 

Økonomiforvaltningen har igangsat udarbejdelse af minimumsbestemmelser på de områder, der fremgår af sikkerhedsregulativets § 6.

 

Der er konstateret et tilfælde i Skatte- og Registerforvaltningen af overtrædelse af sikkerhedsbestemmelserne, der har resulteret i afskedigelse. Økonomiudvalget har fået tilsendt uddybende beskrivelse fra Skatte- og Registerforvaltningen af forretningsgangen vedrørende adgangskontrol m.v. Endvidere er der konstateret et tilfælde i Familie- og Arbejdsmarkedsforvaltningen af overtrædelse af sikkerhedsbestemmelserne, der har resulteret i påtale overfor pågældende medarbejder og indskærpelse af sikkerhedsbestemmelserne.

 

Anmeldelse til Datatilsynet af behandlinger foretages løbende i henhold til persondatalovens bestemmelser.

 

 

I 2003 blev der fremsat enkelte anmodninger fra borgere om indsigt i behandlinger, hvilke ikke har givet anledning til særlige bemærkninger.

 

 

Datatilsynet har rettet henvendelse til

·        Skatte- og Registerforvaltningen vedrørende en klage fra en borger. Sagen er ikke afsluttet.

·        Familie- og arbejdsmarkedsforvaltningen, fordi en borger ønskede at kommunen rettede i oplysninger om vedkommende. Det kunne ikke dokumenteres, at oplysningerne var forkerte, hvorfor sagen blev afvist. Borgeren har fået tilsendt klagevejledning.

·        Bygge- og Teknikforvaltningen, Parkering København, vedrørende en klage fra en borger om sletning af parkeringsafgift. Parkering København har overfor Datatilsynet redegjort for procedurer m.v. i forbindelse med administration af området. Sagen er endnu ikke afsluttet.

·        Sundhedsforvaltningen som opfølgning på Datatilsynets inspektion i 2002. Sundhedsforvaltningen har herefter udarbejdet nye interne arbejdsbeskrivelser m.v., som vil blive indarbejdet i en ny sikkerhedsinstruks, der forelægges Sundheds- og Omsorgsudvalget. Datatilsynets afrapportering til Sundhedsforvaltningen er vedlagt årsberetningen.

 

KMD har som hidtil afleveret en revisorerklæring, som er godkendt af KMD's bestyrelse. Øvrige af kommunens tværgående eksterne nye databehandlere har ligeledes afleveret revisorerklæring. Økonomiforvaltningen drøfter en procedure med Revisionsdirektoratet for behandling af sådanne erklæringer, herunder opfølgning i forhold til den enkelte databehandler, i den udstrækning revisorerklæringen indeholder oplysning om konstaterede svagheder i en leverandørs interne kontroller.    

 

I forbindelse med overgangen til DMdata som driftsleverandør for kommunen i september 2002 blev en kortlægning af den automatiske dataudveksling til/fra kommunens IT-systemer iværksat. Kortlægningen fortsatte i 2003 og forventes afsluttet i 2004.

 

I 2003 var sikkerhedsarbejdet organiseret i 13 sikkerhedsområder med hver sin sikkerhedsleder, og der er i alt ca. 20.000 autoriserede brugere i kommunen af IT-systemerne.

 

Kompleksiteten vokser i takt med at flere brugere autoriseres til systemerne samtidig med at flere nye IT-systemer ibrugtages. Som resultat af en undersøgelse af IT-sikkerhedsadministrationen blev der lagt op til implementering af en fælles IT-sikkerhedsløsning, og Borgerrepræsentationen har i august 2004 godkendt en indstilling om igangsættelse af en EU-udbudsforretning om sikkerhedsadministration og anskaffelse af et nyt fælles IT-sikkerhedsadministrationssystem til implementering fra medio 2005.