Årsberetning for 2002 vedrørende IT-sikkerhedsområdet

Økonomiudvalget

 

BESLUTNINGSPROTOKOL

fra ordinært møde tirsdag den 28. oktober 2003

 

 

J.nr. ØU 325/2003

 

3. Årsberetning for 2002 vedrørende IT-sikkerhedsområdet

 

INDSTILLING OG BESLUTNING

Økonomiforvaltningen indstiller, at Økonomiudvalget overfor Borgerrepræsentationen anbefaler,

 

at årsberetningen for 2002 vedrørende IT-sikkerhedsområdet tages til efterretning.

 

 

Økonomiudvalgets beslutning i mødet den 28. oktober 2003

Anbefalet.

 

 

Behandling: Borgerrepræsentationen.

 

 

RESUME

Årsberetningen afgives i henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" (Sikkerhedsregulativet), som blev godkendt i Borgerrepræsentationen den 22. august 2002. 

 

Sammenfattende kan det konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i 2002 ikke har givet anledning til særlige bemærkninger.

 

Der er i 2002 konstateret enkelte tilfælde af overtrædelser af sikkerhedsbestemmelserne, som har resulteret i afskedigelser eller påtaler. Herudover har Jyllands-Posten uretmæssigt skaffet sig adgang til Bygge- og Teknikforvaltningens netværk via trådløst udstyr, som forvaltningen havde installeret med henblik på test. Forvaltningen frakoblede udstyret, således at adgangen blev lukket. Der blev samtidig af såvel Datatilsynet som Borgerrepræsentationen – sidstnævnte i bilag til sikkerhedsregulativet – fastsat retningslinier for anvendelse af trådløse netværk. 

 

Datatilsynet har ultimo 2002 været på inspektion i Økonomiforvaltningen (Rådhusdelen), Sundhedsforvaltningen og Familie- og Arbejdsmarkedsforvaltningen. Datatilsynet har vurderet, at der er etableret et godt grundlag for sikkerhedsarbejdet og har ikke haft bemærkninger til de konkrete forhold, som inspektionen omfattede. Datatilsynet har dog henstillet, at der i Økonomiforvaltningens og Familie- og Arbejdsmarkedsforvaltningens sikkerhedsinstruks etableres dokumentation for, hvorledes de enkelte bestemmelser i sikkerhedsbekendtgørelsen opfyldes. Datatilsynets afrapportering vedrørende inspektionen i Økonomiforvaltningen og Familie- og Arbejdsmarkedsforvaltningen vedlægges som bilag til nærværende årsberetning. Datatilsynet har ikke færdiggjort afrapporteringen vedrørende inspektionen i Sundhedsforvaltningen.

 

Driftsafviklingen af kommunens IT-systemer er medio september 2002 overtaget af DM-data fra KMD. Revisionserklæringen for 2002 fra KMD's IT-sikkerheds-revision giver ikke anledning til forbehold eller revisionsbemærkninger. Økonomiforvaltningen har i samarbejde med forvaltningerne påbegyndt en afdækning af dataudvekslingen med eksterne parter og har i den forbindelse indgået en midlertidig aftale med KMD om at bistå med dataudvekslingsopgaven som underleverandør til DM-data. Kortlægningen er endnu ikke afsluttet.  

 

Kommunens forvaltninger modtog i 2002 henvendelser fra borgere om indsigt i behandlinger, som ikke har givet anledning til særlige bemærkninger. 

 

I 2002 var IT-sikkerhedsarbejdet organiseret i 13 IT-sikkerhedsområder med hver sin sikkerhedsleder, og der var i alt ca. 19.000 autoriserede brugere i kommunens IT-systemer.

 

Kompleksiteten i kommunens IT-sikkerhedsadministration er stigende i takt med ibrugtagning af nye IT-systemer, hvorfor Økonomiforvaltningen ultimo 2002 har iværksat en undersøgelse af IT-sikkerhedsadministrationen i forvaltningerne. Resultatet af undersøgelsen kan danne grundlag for en beslutning om implementering af en fælles og forenklet IT-sikkerhedsadministrationsløsning. Af andre nye tiltag, som udspringer fra Sikkerhedsregulativet, kan nævnes implementering af tekniske reetableringsplaner som en del af katastrofeberedskabet samt risikovurderinger i de enkelte forvaltninger som grundlag for Økonomiudvalgets fastlæggelse af det overordnede IT-sikkerhedsniveau i kommunen.

 

Implementering af Sikkerhedsregulativet er en løbende proces i forvaltningerne. Økonomiforvaltningen har i 2002 på begyndt udarbejdelse af minimumsbestemmelser til Sikkerhedsregulativet, hvori krav til blandt andet systemudvikling og –vedligeholdelse, driftsafvikling, fysisk sikkerhed, nødberedskab m.v. bliver præciseret, jfr. Sikkerhedsregulativets § 6, stk. 2. Forvaltningerne har påbegyndt en opdatering af de interne sikkerhedsinstrukser og -forskrifter som opfølgning på det nye sikkerhedsregulativ.