Årsberetning vedrørende IT-sikkerhedsområdet
Årsberetning vedrørende IT-sikkerhedsområdet
Borgerrepræsentationen
DAGSORDEN
for Ordinært møde torsdag den 31. oktober 2002
BR 539/02
Årsberetning vedrørende IT-sikkerhedsområdet
Årsberetning vedrørende IT-sikkerhedsområdet
Indstilling om, at årsberetningen for 2001 vedrørende IT-sikkerhedsområdet tages til efterretning.
(Økonomiudvalget)
INDSTILLING
Det indstilles, at Økonomiudvalget indstiller til Borgerrepræsentationen
at årsberetningen for 2001 vedrørende IT-sikkerhedsområdet tages til efterretning.
Økonomiudvalgets beslutning den 8. oktober 2002
Anbefalet.
RESUME
Årsberetningen afgives i henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune", som blev godkendt i Borgerrepræsentationen den 22. august 2002.
Sikkerhedsregulativet er udstedt i henhold til § 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 (sikkerhedsbekendtgørelsen). Regulativet erstatter "Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene", der har været grundlaget for sikkerhedsadministrationen i 2001. Det ny sikkerhedsregulativ er en opfølgning på Revisionsdirektoratets undersøgelse af kommunens IT-forhold og forvaltningernes generelle IT-anvendelse, Kommunedata's undersøgelse af sikkerheden på Københavner-nettet samt Datatilsynets vejledning nr. 37 af 2. april 2001 til sikkerhedsbekendtgørelsen.
Implementering af Persondataloven med tilhørende bekendtgørelser samt sikkerhedsregulativet er fortsat i 2001 i forvaltningerne i form af tilpasning af forretningsgange, blanketter m.v. samt information til medarbejderne for at sikre, at reglerne overholdes.
I 2001 var der ca. 15.000 autorisationer til kommunens IT-systemer. Der blev konstateret 3 tilfælde af overtrædelse af sikkerhedsbestemmelserne. Alle 3 tilfælde resulterede i en skriftlig irettesættelse og advarsel om afskedigelse i gentagelsestilfælde.
Datatilsynet har rejst spørgsmål om kryptering. Denne sag er afsluttet med, at man afventer den kryptering, der etableres i forbindelse med kommunens elektroniske selvbetjening. Endvidere har 2 borgere klaget over h.h.v. videregivelse af oplysninger og afgivelse af urigtige oplysninger. Datatilsynet har afvist begge klager, hvorefter sagerne er afsluttet.
Sammenfattende konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i 2001 ikke har givet anledning til særlige bemærkninger.
SAGSBESKRIVELSE
I henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" afgiver Overborgmesteren og den enkelte borgmester en årsberetning om sikkerhedsarbejdets forløb indenfor hver deres område. Vedkommende udvalg orienteres om årsberetningen. Overborgmesteren koordinerer beretningerne med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
1. Lov om behandling af personoplysninger
Der er i år 2001 ikke sket ændringer i lovgrundlaget, lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (Persondataloven), som trådte i kraft den 1. juli 2000. Datatilsynet udsendte 2. april 2001 vejledning nr. 37 til Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige sektor.
2. Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene
Borgerrepræsentationen godkendte den 20. september 2000 "Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene". Dette sikkerhedsregulativ med tilhørende bestemmelser har været grundlaget for sikkerhedsadministrationen i forvaltningerne i 2001.
Implementering af Persondataloven med tilhørende bekendtgørelser og Sikkerhedsregulativet er fortsat i 2001, hvor blandt andet information for de berørte medarbejdere har været med til at sikre, at lovens og regulativets bestemmelser overholdes, ligesom der løbende sker en tilpasning af forretningsgange, blanketter m.v.
3. Revision af sikkerhedsregulativet
Samtidig med godkendelsen af Sikkerhedsregulativet i Borgerrepræsentationen den 20. september 2000 blev der – som opfølgning på kommunens IT-strategi – igangsatte Økonomiforvaltningen en undersøgelse af sikkerheden på Københavner-nettet.
For at kunne tage højde både for de anbefalinger, denne undersøgelse resulterede i tillige med resultaterne af Revisionsdirektoratets undersøgelse af kommunens IT-forhold og Datatilsynets vejledning til Justitsministeriets bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, blev Borgerrepræsentationen stillet i udsigt, at et forslag til et nyt sikkerhedsregulativ ville blive forelagt til godkendelse.
Arbejdsgruppen, der havde udarbejdet forslaget til det sikkerhedsregulativ, der blev godkendt i Borgerrepræsentationen den 20. september 2000, fortsatte i 2001 med udformningen af forslag til nyt sikkerhedsregulativ. Dette arbejde blev afsluttet i 2002 efter bydelsforsøgets ophør, hvor forsøgsbydelenes opgaver blev tilbageført til forvaltningerne og IT-organisationen blev ændret i overensstemmelse hermed. Det nye "Regulativ for IT-sikkerheden i Københavns Kommune" blev godkendt i Borgerrepræsentationen den 22. august 2002.
4. IT-sikkerhedsorganisationen
I 2001 har forvaltningernes sikkerhedsledere planlagt de ændringer i IT-sikkerhedsorganisationen, der fulgte af bydelsforsøgets ophør, herunder inddragelse af autorisationer fra medarbejdere, der fratrådte deres stilling i bydelene, og overflytning af autorisationer i sikkerhedssystemer for medarbejdere, der fik ansættelse andre steder i kommunen. Medarbejdernes autorisationer blev i øvrigt justeret i overensstemmelse med de nye opgaver.
Ved udgangen af 2001 havde Overborgmesteren, den enkelte borgmester henholdsvis bydelsrådsformand i henhold til § 23 i "Sikkerhedsregulativ for behandling af personoplysninger i Københavns Kommune og forsøgsbydelene" udpeget i alt 17 sikkerhedsledere, der fordeler sig således på de enkelte forvaltninger og forsøgsbydele:
Forvaltning Antal
sikkerhedsledere:
Økonomiforvaltningen 3
Kultur- og Fritidsforvaltningen 1
Uddannelses- og Ungdomsforvaltningen 1
Sundhedsforvaltningen 1
Familie- og Arbejdsmarkedsforvaltningen 1
Bygge- og Teknikforvaltningen 4
Miljø- og Forsyningsforvaltningen 1
Bydelen Kgs. Enghave 1
Bydelen Valby 1
Bydelen Indre Nørrebro 1
Bydelen Indre Østerbro 1
Revisionsdirektoratet 1
Økonomiforvaltningens sikkerhedsleder overtog den 31. december 2001 de opgaver, der resterede fra bydelenes sikkerhedsledere i forbindelse med bydelsforsøgets ophør ultimo 2001.
Sikkerhedslederenes opgaver fremgår af Sikkerhedsregulativet.
5. Generelle sikkerhedsforanstaltninger
På baggrund af den nævnte sikkerhedsbekendtgørelse fra Justitsministeriet er der i Sikkerhedsregulativet sket præciseringer af sikkerhedsforanstaltningerne hos eksterne databehandlere, ligesom der er sket en præcisering af de generelle kontroller og den orientering, der skal gives til den enkelte medarbejder om IT-sikkerheds-bestemmelserne.
Kommunedata varetager driftsafviklingen af størsteparten af de fælles IT-systemer, der anvendes i Københavns Kommune. Kommunedata indestår i henhold til outsourcingaftalen blandt andet for, at kommunens sikkerhedsregulativ til enhver tid overholdes. Kommunedatas sikkerhedschef udarbejder hvert år en årsberetning om sikkerhedsarbejdet i forhold til Københavns Kommune.
Endvidere udarbejder Kommunernes Revisionsafdeling årligt en revisionserklæring, hvis primære formål er at påpege mangler eller andre forhold af betydning for opretholdelsen af et tilfredsstillende sikkerhedsniveau i Kommunedata og påse, at gældende sikkerhedsbestemmelser overholdes.
Af revisionserklæringen fra Kommunernes Revisionsafdeling for 2001 fremgår blandt andet, at revisionen har efterprøvet den samlede system-, data- og driftssikkerhed og efterprøvet om de generelle edb-kontroller kan indgå i grundlaget for revision af Kommunedata's systemer hos Kommunedata's kunder.
Det fremgår endvidere af revisionserklæringen, at revisionen ikke har givet anledning til forbehold eller revisionsbemærkninger. Erklæringen, som er godkendt af Kommunedatas bestyrelse, vedlægges som bilag til nærværende årsberetning.
6. IT-sikkerheden i de enkelte forvaltninger og forsøgsbydelene
Al adgang til IT-registre er betinget af en konkret autorisation fra en sikkerhedsleder. Antallet af personer, der er autoriseret til én eller flere funktioner i kommunens systemer og netværk, udgør ca. 15.000. Antallet er stigende i takt med ibrugtagning af nye IT-systmer og øget anvendelse af de eksisterende systemer. Hovedparten af medarbejderne er autoriseret til systemer, der driftsafvikles på Kommunedata. Et mindre antal brugere er autoriseret til systemer, der driftsafvikles på edb-centralen i Københavns Energi og andre edb-service bureauer samt internt i forvaltningerne på lokale servere.
I medfør af Sikkerhedsregulativets § 16 og § 18 skal der i de enkelte forvaltninger udarbejdes uddybende IT-sikkerhedsbestemmelser i form af sikkerhedsinstruks og sikkerhedsforskrifter. Disse uddybende bestemmelser i de enkelte forvaltninger er enten udarbejdet eller er under udarbejdelse under hensyntagen til bestemmelserne i det nye sikkerhedsregulativ.
I Økonomiforvaltningen, Skatte- og Registerforvaltningen, er der konstateret 3 tilfælde af overtrædelse af sikkerhedsbestemmelserne i form af uautoriseret forespørgsel i terminalsystemet. I alle 3 tilfælde har de pågældende medarbejdere modtaget en skriftlig irettesættelse og advarsel om afskedigelse i gentagelsestilfælde.
I Sundhedsforvaltningen er der ikke noteret sikkerhedsbrud eller forsøg herpå, men der er en øget opmærksomhed på brugernes anvendelse af PC, da der lettere kan opstå sikkerhedsproblemer. Sundhedsforvaltningen har i den anledning taget initiativ til en gennemgang af blandt andet netværkssikkerheden.
I de øvrige forvaltninger og i Revisionsdirektoratet er der ikke konstateret sikkerhedsbrud eller forsøg derpå i 2001.
Datatilsynet har rejst spørgsmål om kryptering i forbindelse med Folkeregistrets elektroniske flytteanmeldelse på Internettet. Sagen er afsluttet med, at man afventer den kryptering, der indføres i forbindelse med kommunens elektroniske selvbetjeningsløsninger for borgerne.
Endelig har 2 borgere klaget over henholdsvis videregivelse af oplysninger og afgivelse af urigtige oplysninger. Begge sager er afsluttet med, at Datatilsynet har afvist klagen.
7. Anmeldelser til Datatilsynet
Anmeldelse til Datatilsynet af de behandlinger, der er godkendt i de respektive udvalg, er foretaget til Datatilsynet i henhold til Persondatalovens bestemmelser herom af forvaltningernes sikkerhedsledere.
8. Registerindsigt/indsigt i behandling
I 2001 blev fremsat i alt 25 anmodninger fra borgere om indsigt i behandlinger. Anmodningerne gav ikke anledning til særlige bemærkninger.
9. Konklusion
Sammenfattende konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i år 2001 ikke giver anledning til særlige bemærkninger.
Økonomi
Ingen
Høring
Beretningen er afgivet med baggrund i de beretninger, der er fremlagt i de enkelte udvalg.
Ingen.
Bilag
- Revisionserklæring for 2001 om Kommunernes Revisionsafdelings edb-revision i Kommunedata A/S.
Erik Jacobsen
/Flemming Dubgaard Hansen