Igangsætning af EU-udbud af et fælles it-sikkerhedsadministrationssystem og sikkerhedsadministration
Igangsætning af EU-udbud af et fælles it-sikkerhedsadministrationssystem og sikkerhedsadministration
Borgerrepræsentationen
DAGSORDEN
for Ordinært møde torsdag den 26. august 2004
BR 378/04
Igangsætning af EU-udbud af et fælles it-sikkerhedsadministrationssystem og sikkerhedsadministration
Igangsætning af EU-udbud af et fælles
it-sikkerhedsadministrationssystem og sikkerhedsadministration
Indstilling
om, at der igangsættes en EU-udbudsforretning om anskaffelse af et
nyt fælles IT-sikkerhedsadministrationssystem og sikkerhedsadministration, at der reserveres i alt 10 mio. kr. til
anskaffelse af et fælles IT-sikkerhedsadministrationssystem. Heraf finansieres
5 mio. kr. af puljen med uforbrugte midler overført fra regnskab 2003 til
budget 2004 (BR 319/04). Endvidere anvendes 5 mio. kr. fra Økonomiudvalgets
budget 2004 under Økonomiforvaltningens 11.kt. til udvikling af fællessystemer
m.v. , samt at Økonomiudvalgets driftsramme for 2004
nedskrives med 10 mio. kr. mens Økonomiudvalgets
driftsramme for 2005 opskrives med 10 mio. kr, idet udgifterne til anskaffelse
forventes afholdt i 2005.
(Økonomiudvalget)
INDSTILLING
Økonomiforvaltningen
indstiller, at Økonomiudvalget anbefaler, at Borgerrepræsentationen godkender
at der igangsættes en EU-udbudsforretning om anskaffelse af et nyt fælles IT-sikkerhedsadministrationssystem og sikkerhedsadministration,
at
der reserveres i alt 10 mio. kr. til anskaffelse af et
fælles IT-sikkerhedsadministrationssystem. Heraf finansieres 5 mio. kr. af puljen med uforbrugte midler overført fra regnskab
2003 til budget 2004 (BR 319/04). Endvidere anvendes 5 mio. kr. fra Økonomiudvalgets
budget 2004 under Økonomiforvaltningens 11.kt. til udvikling af fællessystemer
m.v.
at
Økonom
iudvalgets
driftsramme for 2004 nedskrives med 10 mio. kr.
mens Økonomiudvalgets driftsramme for 2005 opskrives med 10 mio. kr,
idet udgifterne til anskaffelse forventes afholdt i 2005
Økonomiudvalgets beslutning i mødet den 10. august 2004
Anbefalet.
RESUME
Kommunens
IT-anvendelse kræver stadig flere ressourcer til oprettelse og vedligeholdelse
af kommunens brugere i sikkerhedssystemerne. Samtidig stiger kompleksiteten
pga. flere brugere, og IT-systemer samt nye platforme. På den baggrund foreslår
Økonomiforvaltningen, at der igangsættes en EU-udbudsforretning om anskaffelse
af et nyt fælles IT-sikkerhedsadministrationssystem, som skal kunne håndtere brugeradministration,
autorisation og adgangskontrol m.v. for den overvejende del af kommunens IT-systemer.
Endvidere
foreslås det, at der samtidig med udbudet af IT-sikkerhedsadministrationssystemet
tillige efterspørges serviceydelser som brugeradministration, herunder
brugeroprettelser, brugerautorisationer, brugernedlæggelser, oprettelse og
vedligeholdelse af roller m.v. søges autoriseret. Den del af
sikkerhedsadministrationen i kommunen, der er myndighedsopgaver, dvs. opgaver
som har strategisk/kontrollerende betydning outsources ikke. I tilfælde af
outsourcing vil leverandøren eventuelt blive tilbudt overførsel af sikkerhedsmedarbejdere
fra kommunen, og det vil blive vurderet om lov om virksomhedsoverdragelse vil
finde anvendelse.
Ved
at udbyde IT-sikkerhedsadministrationssystemet og administrationen heraf kan
det vurderes, om der kan opnås en synergi rabat ved et samlet udbud. Der skal
også gives mulighed for at tilbudsgiverne kun afgiver tilbud på én af delene.
Anskaffelse
og implementering samt på drift og vedligehold de første 3 år skal finansieres
indenfor en ramme af 10 mio. kr.
5 mio. kr. finansieres af puljen til uforbrugte midler. De
resterende 5 mio. kr. finansieres indenfor økonomiudvalgets ramme for 2004 til
udvikling af fællessystemer m.v.
Herefter
vil udgifterne til løbende drift- og vedligeholdelse blive udfaktureret til udvalgene
efter antal brugere oprettet i systemet. Udgifterne til anskaffelse og
implementering forventes afholdt i 2005.
De
løbende udgifter, der udfaktureres fra og med 2008, estimeres til ca. 1,3 mio.
kr. pr. år. Det eksakte beløb kendes dog først, når tilbudene foreligger og vil
indgå i den endelige indstilling om valg af leverandør.
Cap Gemini har estimeret, at sikkerhedsledernes ressourceforbrug i forbindelse med brugeradministration udgør ca. 15 årsværk fordelt på ca. 50 ansatte. Tidsbesparelserne for kommunen ved anskaffelse af et samlet it-sikkerhedsadministrationssystem er vurderet til ca. 2,4 årsværk (ca. 1 mill. kr.) ud af det samlede tidsforbrug på 15 årsværk.
Den estimerede besparelse i forvaltningen til
brugeradministration, heriblandt brugeroprettelse, kontrol og
kendeordsproblemer, kan af forvaltningen anvendes til medfinansiering af de
løbende driftsudgifter som vil blive udfaktureret efter antal brugere efter tre
år.
Forvaltningerne
vil i god tid blive informeret om hvornår de skal bidrage med ressourcer til
projektet. Opgørelsen over mængden af ressourcer vil ligeledes blive beskrevet
senere
Den
overordnede effekt af projektet vil være, at kommunen kan fastholde det
nuværende høje sikkerhedsniveau som beskrevet i sikkerhedsregulativet samtidig
med, at en række af de nuværende forældede IT-sikkerhedsadministrationssystemer
udfases til fordel for ét moderne samlet IT-sikkerhedsadministrationssystem. Herved
reduceres kompleksiteten i IT-sikkerhedadministrationen, da alle
sikkerhedsopgaver løses i et samlet system. Samtidig skabes der grundlag for,
at der kan indføres single sign-on, dvs. ét kendeord, til alle kommunens
væsentligste systemer gennem anvendelse af digital signatur.
Såfremt
det besluttes at igangsætte en udbudsforretning, og der modtages attraktive
tilbud indenfor den økonomiske ramme vil Økonomiudvalget og
Borgerrepræsentationen få forelagt en indstilling om valg af leverandør(er).
SAGSBESKRIVELSE
I en lang årrække har de væsentligste fagsystemer, der
anvendes i kommunen været baseret på mainframe systemer, som sikkerhedsmæssigt
kan håndteres via et mindre antal velkendte sikkerhedssystemer. I takt med at
anvendelsen af client/server systemer baseret på eksempelvis Unix (f.eks. KØR)
og Windows er vokset, er administrationen af brugere og rettigheder vokset i
kompleksitet, idet hvert nyt system i princippet introducerer et nyt
sikkerhedssystem. Endvidere bruger kommunen en række avancerede webbaserede- og
client/server systemer, som eksempelvis Elektronisk Selvbetjening (ESB),
København kommunes nye intranet (KKnet2) og det Elektroniske Sags- og
Dokumenthåndteringssystem (ESDH). De mange nye systemer, som anvendes har
forstærket behovet for at indføre et fælles IT-sikkerhedsadministrationssystem,
der kan hjælpe med at styre brugerne og deres rettigheder på tværs af de
forskellige IT-miljøer. Det er Økonomiforvaltningens vurdering, at der findes
løsninger på markedet, der kan dække Københavns Kommunes behov.
En forudsætning for anskaffelsen af IT-sikkerhedsadministrationssystemet
er, at Københavns Kommune kan fastholde eller højne sit høje sikkerhedsniveau
som er beskrevet i kommunens IT-sikkerhedspolitik og regulativet for IT-sikkerhed.
Det efterspurgte IT-sikkerhedsadministrationssystem skal
gøre det muligt at administrere brugerrettigheder m.m. på både Mainframe-,
Unix-(herunder KØR) og Microsoftplatforme.
Den forventede effekt
Den overordnede effekt ved indførelse af et fælles IT-sikkerhedsadministrationssystem
er, at kommunen kan fastholde det nuværende sikkerhedsniveau som beskrevet i
sikkerhedsregulativet. Dette understøttes af et fælles IT-sikkerhedsadministrationssystem
gennem blandt andet følgende:
·
Større brugervenlighed, eksempelvis ved at der
kan indføres single sign-on (dvs. at man kan nøjes med at anvende ét og samme
kendeord til samtlige systemer) i kommunen, herunder anvendelse af digital
signatur som medarbejdernes adgang til fagsystemerne.
·
Fremtidssikring af kommunens IT-sikkerhedsløsning
gennem efterspørgsel af et standardsystem.
·
Effektivisering af brugeradministrationen
eksempelvis i form af hurtigere oprettelse og nedlæggelse af brugere og
hurtigere opfølgning på autorisationer. Cap Gemini har i deres
sikkerhedsanalyse af kommunen estimeret en ressourcebesparelse for kommunen på
minimum 2,4 årsværk (ca. 1 mio. kr. pr. år).
·
Mulighed for at udfase en række af de nuværende
forældede IT-sikkerhedsadministrationssystemer. Eksempelvis vil aftalen med KMD
om assistance i forbindelse med sikkerhedsadministration af kommunens mainframe
formentlig kunne opsiges, når det nye IT-sikkerhedsadministrationssystem er
implementeret. Aftalen beløber sig til 2,6 mio. kr. pr. år. Et beløb som kan
medgå i finansieringen af de løbende drifts- og vedligeholdelsesudgifter.
·
Bedre mulighed for udførelse af
myndighedsopgaver, forebyggende kontroller m.v.
·
Højere internt sikkerhedsniveau gennem
eksempelvis hurtigere nedlæggelse af brugere og en hurtigere opfølgning på
autorisationer.
·
Reduceret kompleksitet - alle sikkerhedsopgaver
løses som udgangspunkt i det fælles IT-sikkerhedsadministrationssystem.
Afgrænsning af udbud
af IT-sikkerhedsadministrationssystem
Der foreslås igangsat en EU-udbudsforretning med henblik på
at erhverve et IT-sikkerhedsadministrationssystem og administrationen heraf.
Der lægges op til at gennemføre et begrænset EU-udbud med
forudgående prækvalifikation. Denne udbudsform har den fordel, at det er muligt
alene at anmode om tilbud fra de tilbudsgivere, der vurderes at kunne løfte opgaven.
Resultatet af udbudsforretningen forventes at foreligge ultimo 2. kvartal
2005.
Økonomiforvaltningen vil udbyde både IT-sikkerhedsadministrations-system
og administrationen heraf, samlet og adskilt. Det betyder, at de potentielle
tilbudsgivere får mulighed for at give tilbud på enten IT-sikkerhedsadministrationssystem
eller administrationen. Der er ligeledes mulighed for at en virksomhed kan give
tilbud på begge opgaver, og virksomhederne kan tilbyde særlig pris ved
overtagelse af både IT-sikkerhedsadministrationen og IT-sikkerhedsadministrationssystemet.
Administrationen af IT-sikkerhedsadministrationssystemet
består af brugeradministration, herunder brugeroprettelser,
brugerautorisationer, brugernedlæggelser, oprettelse og vedligeholdelse af
roller m.v. Den del af IT-sikkerhedsadministrationen i kommunen, der er
myndighedsopgaver, dvs. opgaver som har strategisk/kontrollerende betydning
outsources ikke.
Det vil umiddelbart være at foretrække, at kommunen får én
leverandør, der kan levere den samlede ydelse. Imidlertid er der en række
forhold som gør, at det kan være fordelagtigt, at opgaven alligevel udbydes med
mulighed for, at leverandørerne kun giver tilbud på én af ydelserne:
1.
Der er færre leverandører, der vil være i stand til at
levere et IT-sikkerhedsadministrationssystem, der opfylder de krav, som Københavns
Kommune stiller. Ved at opdele udbuddet skabes der større
konkurrence, og kommunen
kan dermed forvente at modtage flere tilbud end, hvis opgaven alene blev udbudt
samlet.
2.
IT-sikkerhedsadministrationen i Københavns Kommune er
en kompleks opgave og i tilfælde af, at der ikke findes egnede tilbud på denne
opgave, vil det være nødvendigt at aflyse udbuddet. Ved at opdele udbuddet
gives der mulighed for at vælge en systemleverandør selv om udbuddet af IT-sikkerhedsadministrationen
må aflyses.
3.
Gennem en opdeling af udbuddet bliver der bedre
mulighed for at sammenligne de afgivne tilbud med de udgifter der i dag er til
henholdsvis IT-sikkerhedsadministration og IT-sikkerhedsadministrations-systemer.
Når tilbudene foreligger og de vurderes attraktive og ligger
indenfor den økonomiske ramme, vil der blive udarbejdet en indstilling om valg
af leverandør samt aftalens omfang m.v. til Økonomiudvalget og til Borgerrepræsentationen.
Økonomi
Økonomiforvaltningen vurderer, at de samlede projektudgifter
inklusiv udgifter til udbud og implementering samt drift og vedligehold i tre
år beløber sig til ca. 10 mio. kr. Indeholdt i beløbet er yderligere de
udgifter, der er forbundet med, at allerede eksisterende systemer skal kunne
integreres med det efterspurgte IT-sikkerhedsadministrationssystem.
Skulle det mod forventning ikke være muligt at erhverve et IT-sikkerhedsadministrationssystem
som lever op til kommunens krav indenfor denne ramme, vil forslag til
finansiering af det resterende beløb indgå som en del af indstillingen om valg
af leverandør.
Økonomiforvaltningen skønner, at de løbende udgifter til
drift og vedligeholdelse ca. kan opgøres til 25 % af anskaffelsesomkostningerne
som udgør ca. 5 mio. kr. På baggrund heraf estimeres de løbende udgifter, der udfaktureres
efter tre år, til ca. 1,3 mio. kr. pr. år. Udgifterne fordeles efter antal
brugere oprettet i systemet. De eksakte løbende omkostninger kendes dog først,
når tilbudene foreligger og vil indgå i den endelige indstilling til
Økonomiudvalget og Borgerrepræsentationen om valg af leverandør.
En forudsætning for gennemførelsen af udbudet er, at udvalgene
bidrager med de nødvendige ressourcer og kompetencer i de enkelte arbejdsgrupper[1].
Her tænkes på kompetencer indenfor rolledefinition, systemkendskab, administrativ
brug. Det anslås, at der skal frigøres det, der svarer til to mandemåneder for Familie-
og Arbejdsmarkedsudvalget og Sundhedsudvalget samt en mandemåned for de
resterende udvalgsområder til udbudet. Herefter vil der blive behov for
ressourcer i forbindelse med implementeringen.
Anskaffelsen af IT-sikkerhedsadministrationssystemet foreslås
finansieret på følgende måde:
Puljen med uforbrugte midler overført fra regnskab
2003 til budget 2004 (BR 319/04) på 5 mio. kr. udmøntes til formålet. Midlerne
blev overført til Økonomiudvalgets bevilling: "Økonomisk forvaltning,
funktion 6.51.1." til senere udmøntning efter forelæggelse for
Borgerrepræsentationen, da der ikke på tidspunktet for overførsel var truffet
beslutning om midlernes anvendelse.
Desuden anvendes 5 mio. kr. fra Økonomiudvalgets
budget 2004 under Økonomiforvaltningens 11.kt. til udvikling af fællessystemer
m.v. Økonomiudvalget har dermed mulighed for at finansiere projektet med op til
10 mio. kr.
Da midlerne først ventes
anvendt i 2005 foreslås Økonomiudvalgets driftsramme for 2004 nedskrevet med 10
mio. kr. fordelt som beskrevet ovenfor, mens Økonomiudvalgets driftsramme for
2005 under 11. kontor, decentral dimension (konto) 3700 1103706 foreslås
opskrevet med 10 mio. kr.
Økonomiforvaltningen har endvidere indgået en aftale med KMD
om assistance i forbindelse med sikkerhedsadministration af kommunens mainframe
og Unix systemer. Indføres en fælles IT-sikkerhedsløsning, som inkluderer et IT-administrationssystem
og administration heraf, vil denne aftale ikke længere være nødvendig. Et
eventuelt provenu i 2005 i forbindelse med opsigelsen af KMD aftalen vil kunne
indgå i medfinansieringen af projektet.
Cap Gemini har estimeret, at sikkerhedsledernes
ressourceforbrug i forbindelse med brugeradministration udgør ca. 15 årsværk
fordelt på ca. 50 ansatte. Tidsbesparelserne for kommunen ved anskaffelse af et
samlet IT-sikkerhedsadministrationssystem er vurderet til ca. 2,4 årsværk (ca.
1 mio. kr.). Den estimerede besparelse i forvaltningen til
brugeradministration, heriblandt brugeroprettelse, kontrol og
kendeordsproblemer, kan af forvaltningen anvendes til medfinansiering af de
løbende driftsudgifter som vil blive udfaktureret efter antal brugere efter tre
år.
Miljøvurdering
Forslaget har ingen miljømæssige konsekvenser
Andre konsekvenser
Sikkerhedslederne skal fremover i højere grad fokusere på
kontrollerende myndighedsopgaver end på de udøvende opgaver, eksempelvis overvågning
af kommunens overordnede IT-sikkerhedspolitik m.v. I konsekvens heraf samt som
led i den generelle styrkelse af IT-sikkerheden i kommunen vil
sikkerhedslederne blive tilbudt relevant efteruddannelse.
Indførelsen af et fælles IT-sikkerhedsadministrationssystem
og outsourcing af administrationen deraf, medfører ikke ændringer i Regulativ for IT-sikkerhed i Københavns
Kommune.
Høring
Forvaltningerne har været inddraget i forbindelse med udarbejdelse af nærværende indstilling ved høring af
o IT-Styregruppen
o IT-sikkerhedslederne
Bilag
1.
Projektbeskrivelse & tidsplan
Erik Jacobsen
/