Nyt it-sikkerhedsregulativ for Københavns Kommune
Nyt it-sikkerhedsregulativ for Københavns Kommune
Borgerrepræsentationen
DAGSORDEN
for Ordinært møde torsdag den 15. maj 2008
BR 241/08
Nyt it-sikkerhedsregulativ for Københavns Kommune
Nyt it-sikkerhedsregulati v for Københavns Kommune
Indstilling om,
1.
at
it-sikkerhedsregulativet med tilhørende it-sikkerhedspolitik godkendes, samt
2.
at den forventede
årlige udgift til drift af it-sikkerhedsportalen på i alt 103. 000 kr. (2008
p/l) fra 2010 afholdes af de respektive forvaltninger og it-sikkerhedsområder
fordelt efter antallet af brugere.
(Økonomiudvalget)
Borgerrepræsentationen skal
godkende udkastet til et nyt it-sikkerhedsregulativ sammen med den tilhørende
it-sikkerhedspolitik.
INDSTILLING OG Beslutning
|
Indstilling om, 1.
at
it-sikkerhedsregulativet med tilhørende it-sikkerhedspolitik godkendes, samt 2.
at den
forventede årlige udgift til drift af it-sikkerhedsportalen på i alt 103. 000
kr. (2008 p/l) fra 2010 afholdes af de respektive forvaltninger og
it-sikkerhedsområder fordelt efter antallet af brugere. (Økonomiudvalget) |
Problemstilling
Økonomiudvalget besluttede
den 22. maj 2007 (163/2007), at der skulle udarbejdes et nyt
it-sikkerhedsregulativ for Københavns Kommune som erstatning for det
eksisterende, der - grundet en lang række forhold – var og er utidssvarende.
Det er et lovgivningskrav, at
kommunen skal have et sæt af it-sikkerhedsregler med et nærmere bestemt
indhold, jf. sikkerhedsbekendtgørelsens § 5.
Løsning
Der er nu udarbejdet en ny
it-sikkerhedspolitik og et nyt it-sikkerhedsregulativ for Københavns Kommune.
Enhver håndtering af
personoplysninger og værdioplysninger, som sker ved hjælp af it, skal foregå på
en betryggende og tillidsvækkende måde i forhold til kommunens borgere og
virksomheder.
It-sikkerhedspolitikken og
it-sikkerhedsregulativet skaber tilsammen grundlaget for et passende og
tilstrækkelig højt it-sikkerhedsniveau i kommunen, som sikrer fortrolighed,
dataintegritet og tilgængelighed. Dette er en vigtig forudsætning for
effektivitet og kvalitet i kommunens serviceydelser.
It-sikkerhedsregulativet
uddyber it-sikkerhedspolitikken og opfylder sikkerhedsbekendtgørelsens krav om
interne uddybende it-sikkerhedsbestemmelser for Københavns Kommune.
It-sikkerhedsregulativet
tager udgangspunkt i Dansk Standard for informationssikkerhed, DS 484:2005, og
standarden er anvendt som skabelon og reference. Der gælder ingen formelle krav
om efterlevelse eller implementering af DS 484:2005 i kommunerne, hvorfor
kommunens behov og ønsker har haft forrang ved udarbejdelsen af
it-sikkerhedsregulativet. Dette gælder særlig behovet og ønsket om at
it-sikkerhedsbestemmelserne er operationelle og realistiske.
Organisatorisk indeholder
it-sikkerhedsregulativet bestemmelser, som beskriver en klar ansvars- og
opgavefordeling i forvaltningerne generelt og i forhold til Koncernservice. Der
er foretaget en reducering i antallet af it-sikkerhedsfunktioner i forhold til
det hidtidige it-sikkerhedsregula
tiv, og det tværgående it-sikkerhedssamarbejde
er endvidere blevet formaliseret. Organiseringstiltagene har bl.a. fundet sted
med henblik på at opnå en mere ensartet opfattelse af it-sikkerhedskravene med
deraf afledt effektiviseringsgevinst som resultat. Organiseringstiltagene er
samtidig sket med respekt for den delte administrative ledelse.
It-sikkerhedsregulativet
afspejler herudover også en række andre afbureaukratiserings- og
standardiseringstiltag. I modsætning til tidligere får kommunen nu bl.a. et
fælles sæt af it-sikkerhedsregler, og det er ikke længere et krav, at der skal
udarbejdes forvaltningsspecifikke it-sikkerhedsbestemmelser. It-sikkerhedsregulativet
er endvidere tilskåret til det nødvendige og skal suppleres med vejledninger
m.v., som har til formål at sikre en fælles forståelse af reglernes
betydning.
Endelig vil indførelsen af
den nye it-sikkerhedsportal (SecureAware), som it-sikkerhedspolitikken og
it-sikkerhedsregulativet med tilhørende vejledninger m.v. skal lægges ind i, og
som Økonomiudvalget besluttede at anvende i forbindelse med godkendelsen af
projektet, komme til at betyde, at der på sigt opnås en større it-sikkerhed,
idet al it-sikkerhedsmateriale nu samles et sted (i portalen).
De respektive forvaltninger,
Borgerrådgiveren, Revisionsdirektoratet og Koncernservice har været inddraget
aktivt undervejs i processen. Der har været afholdt en lang række møder,
interviews m.v., hvor ønsker og behov er
blevet fremsat, og hvor udkast er blevet kommenteret. It-sikkerhedspolitikken og
it-sikkerhedsregulativet med tilhørende implementeringsplan har endvidere været
sendt i høring, og der er efterfølgende taget stilling til høringssvarene. Politikken, regulativet og
implementeringsplanen er til slut blevet tilrettet i overensstemmelse hermed.
Økonomi
Godkendelse af
it-sikkerhedspolitikken og it-sikkerhedsregulativet vil ikke medføre et forøget
ressourceforbrug set i forhold til overholdelse af den eksisterende
it-sikkerhedspolitik og det eksisterende it-sikkerhedsregulativ.
Forvaltningerne afholder i
dag udgifter til it-sikkerhed inden for forvaltningernes budgetramme. Udgiften
til overholdelse af den nye it-sikkerhedspolitik og det nye
it-sikkerhedsregulativ skal derfor også afholdes inden for forvaltningernes
budgetramme.
Godkendelsen medfører, at
kommunen får en it-sikkerhedsportal, der bl.a. skal indeholde Københavns
Kommunes it-sikkerhedspolitik og it-sikkerhedsregulativ. Koncernservice skal
drifte portalen. Driftsomkostningerne er anslået til 103.000 kr. årligt (2008
p/l).
Driftsomkostningerne vil det
første år blive afholdt inden for projektets ramme. Fra 2010 skal udgiften
afholdes af de respektive forvaltninger og it-sikkerhedsområder fordelt efter
antallet af brugere pr. 1. januar i det år, hvor udgiften opkræves (dvs.
opkrævningen vil variere hvert år på baggrund af antallet af brugere). Af
nedenstående tabel 1 fremgår, hvilke forvaltninger/it-sikkerhedsområder dette
vedrører.
Udgiften skal afholdes inden
for udvalgenes eksisterende budgetrammer, og der skal således tages højde
herfor i forbindelse med udvalgenes udarbejdelse af forslag til budget 2010.
Tabel 1
|
Forvaltning/it-sikkerhedsområde, som bidrager til
finansieringen af it-sikkerhedsportalens drift fra 2010 |
|
Revisionsdirektoratet |
|
Brandvæsnet1 |
|
Borgerrådgiveren |
|
Koncernservice2 |
|
Økonomiforvaltningen |
|
Kultur- og
Fritidsforvaltningen |
|
Børne- og
Ungdomsf
orvaltningen |
|
Sundheds- og
Omsorgsforvaltningen |
|
Socialforvaltningen |
|
Beskæftigelses- og
Integrationsforvaltningen |
|
Teknik- og
Miljøforvaltningen |
1 Brandvæsnet udgør et
selvstændigt it-sikkerhedsområde
2 Koncernservice udgør et
selvstændigt it-sikkerhedsområde
Videre proces
Under forudsætning af at it-sikkerhedspolitikken
og it-sikkerhedsregulativet bliver godkendt, skal politikken og regulativet
implementeres i henhold til den udarbejdede implementeringsplan, jf. bilag 3.
Implementeringen må forventes at strække sig over 2 år.
Der vil endvidere blive iværksat
en revision af it-sikkerhedsområdet umiddelbart efter, at den eksterne revision
er etableret.
Bilag
-
Oversigt over
politisk behandling
1.
It-sikkerhedpolitik
for Københavns Kommune
2.
It-sikkerhedsregulativ
for Københavns Kommune
3.
Implementeringsplan
Claus Juhl /Flemming
Dubgaard Hansen