Mødedato: 29.04.2008, kl. 15:15

Nyt it-sikkerhedsregulativ for Københavns Kommune

Se alle bilag

Nyt it-sikkerhedsregulativ for Københavns Kommune

Økonomiudvalget

 

BESLUTNINGSPROTOKOL

fra ordinært møde tirsdag den 29. april 2008

 

 


J.nr. ØU 159/2008

 

19. Nyt it-sikkerhedsregulativ for Københavns Kommune

Udkastet til et nyt it-sikkerhedsregulativ er nu klar til godkendelse sammen med den tilhørende it-sikkerhedspolitik.

 

INDSTILLING OG Beslutning

Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,

1.                  at it-sikkerhedsregulativet med tilhørende it-sikkerhedspolitik godkendes,

 

2.                  at den forventede årlige udgift til drift af it-sikkerhedsportalen på i alt 103. 000 kr. (2008 p/l) fra 2010 afholdes af de respektive forvaltninger og it-sikkerhedsområder fordelt efter antallet af brugere.

 

Økonomiudvalgets beslutning i mødet den 29. april 2008

Indstillingen blev anbefalet.

 

Problemstilling

Økonomiudvalget besluttede den 22. maj 2007 (163/2007), at der skulle udarbejdes et nyt it-sikkerhedsregulativ for Københavns Kommune som erstatning for det eksisterende, der - grundet en lang række forhold – var og er utidssvarende.

 

Det er et lovgivningskrav, at kommunen skal have et sæt af it-sikkerhedsregler med et nærmere bestemt indhold, jf. sikkerhedsbekendtgørelsens § 5.

 

Løsning

Der er nu udarbejdet en ny it-sikkerhedspolitik og et nyt it-sikkerhedsregulativ for Københavns Kommune.

 

Enhver håndtering af personoplysninger og værdioplysninger, som sker ved hjælp af it, skal foregå på en betryggende og tillidsvækkende måde i forhold til kommunens borgere og virksomheder.

 

It-sikkerhedspolitikken og it-sikkerhedsregulativet skaber tilsammen grundlaget for et passende og tilstrækkelig højt it-sikkerhedsniveau i kommunen, som sikrer fortrolighed, dataintegritet og tilgængelighed. Dette er en vigtig forudsætning for effektivitet og kvalitet i kommunens serviceydelser.

 

It-sikkerhedsregulativet uddyber it-sikkerhedspolitikken og opfylder sikkerhedsbekendtgørelsens krav om interne uddybende it-sikkerhedsbestemmelser for Københavns Kommune.

 

It-sikkerhedsregulativet tager udgangspunkt i Dansk Standard for informationssikkerhed, DS 484:2005, og standarden er anvendt som skabelon og reference. Der gælder ingen formelle krav om efterlevelse eller implementering af DS 484:2005 i kommunerne, hvorfor kommunens behov og ønsker har haft forrang ved udarbejdelsen af it-sikkerhedsregulativet. Dette gælder særlig behovet og ønsket om at it-sikkerhedsbestemmelserne er operationelle og realistiske.

Organisatorisk indeholder it-sikkerhedsregulativet bestemmelser, som beskriver en klar ansvars- og opgavefordeling i forvaltningerne generelt og i forhold til Koncernservice. Der er foretaget en reducering i antallet af it-sikkerhedsfunktioner i forhold til det hidtidige it-sikkerhedsregulativ, og det tværgående it-sikkerhedssamarbejde er endvidere blevet formaliseret. Organiseringstiltagene har bl.a. fundet sted med henblik på at opnå en mere ensartet opfattelse af it-sikkerhedskravene med deraf afledt effektiviseringsgevinst som resultat. Organiseringstiltagene er samtidig sket med respekt for den delte administrative ledelse.

 

It-sikkerhedsregulativet afspejler herudover også en række andre afbureaukratiserings- og standardiseringstiltag. I modsætning til tidligere får kommunen nu bl.a. et fælles sæt af it-sikkerhedsregler, og det er ikke længere et krav, at der skal udarbejdes forvaltningsspecifikke it-sikkerhedsbestemmelser. It-sikkerhedsregulativet er endvidere tilskåret til det nødvendige og skal suppleres med vejledninger m.v., som har til formål at sikre en fælles forståelse af reglernes betydning. 

 

Endelig vil indførelsen af den nye it-sikkerhedsportal (SecureAware), som it-sikkerhedspolitikken og it-sikkerhedsregulativet med tilhørende vejledninger m.v. skal lægges ind i, og som Økonomiudvalget besluttede at anvende i forbindelse med godkendelsen af projektet, komme til at betyde, at der på sigt opnås en større it-sikkerhed, idet al it-sikkerhedsmateriale nu samles et sted (i portalen).   

 

De respektive forvaltninger, Borgerrådgiveren, Revisionsdirektoratet og Koncernservice har været inddraget aktivt undervejs i processen. Der har været afholdt en lang række møder, interviews m.v.,  hvor ønsker og behov er blevet fremsat, og hvor udkast er blevet kommenteret.  It-sikkerhedspolitikken og it-sikkerhedsregulativet med tilhørende implementeringsplan har endvidere været sendt i høring, og der er efterfølgende taget stilling til høringssvarene.  Politikken, regulativet og implementeringsplanen er til slut blevet tilrettet i overensstemmelse hermed.

 

Økonomi

Godkendelse af it-sikkerhedspolitikken og it-sikkerhedsregulativet vil ikke medføre et forøget ressourceforbrug set i forhold til overholdelse af den eksisterende it-sikkerhedspolitik og det eksisterende it-sikkerhedsregulativ. 

 

Forvaltningerne afholder i dag udgifter til it-sikkerhed inden for forvaltningernes budgetramme. Udgiften til overholdelse af den nye it-sikkerhedspolitik og det nye it-sikkerhedsregulativ skal derfor også afholdes inden for forvaltningernes budgetramme.

 

Godkendelsen medfører, at kommunen får en it-sikkerhedsportal, der bl.a. skal indeholde Københavns Kommunes it-sikkerhedspolitik og it-sikkerhedsregulativ. Koncernservice skal drifte portalen. Driftsomkostningerne er anslået til 103.000 kr. årligt (2008 p/l).

 

Driftsomkostningerne vil det første år blive afholdt inden for projektets ramme. Fra 2010 skal udgiften afholdes af de respektive forvaltninger og it-sikkerhedsområder fordelt efter antallet af brugere pr. 1. januar i det år, hvor udgiften opkræves (dvs. opkrævningen vil variere hvert år på baggrund af antallet af brugere). Af nedenstående tabel 1 fremgår, hvilke forvaltninger/it-sikkerhedsområder dette vedrører.

 

Udgiften skal afholdes inden for udvalgenes eksisterende budgetrammer, og der skal således tages højde herfor i forbindelse med udvalgenes udarbejdelse af forslag til budget 2010.

 

Tabel 1

Forvaltning/it-sikkerhedsområde, som bidrager til finansieringen af it-sikkerhedsportalens drift fra 2010

Revisionsdirektoratet

Brandvæsnet1

Borgerrådgiveren

Koncernservice2

Økonomiforvaltningen

Kultur- og Fritidsforvaltningen

Børne- og Ungdomsforvaltningen

Sundheds- og Omsorgsforvaltningen

Socialforvaltningen

Beskæftigelses- og Integrationsforvaltningen

Teknik- og Miljøforvaltningen

1 Brandvæsnet udgør et selvstændigt it-sikkerhedsområde

2 Koncernservice udgør et selvstændigt it-sikkerhedsområde

 

Videre proces

Under forudsætning af at it-sikkerhedspolitikken og it-sikkerhedsregulativet bliver godkendt, skal politikken og regulativet implementeres i henhold til den udarbejdede implementeringsplan, jf. bilag 3. Implementeringen må forventes at strække sig over 2 år.

 

Der vil endvidere blive iværksat en revision af it-sikkerhedsområdet umiddelbart efter, at den eksterne revision er etableret.

 

Bilag

1.                  It-sikkerhedpolitik for Københavns Kommune

2.                  It-sikkerhedsregulativ for Københavns Kommune

3.                  Implementeringsplan

 

 

Claus Juhl                                                 /Flemming Dubgaard Hansen

 

 

 

 

 

 

Til top