Beretning om IT-sikkerhedsarbejdets forløb i 2003 inden for Familie- og Arbejdsmarkedsforvaltningen (Bilag)
Beretning om IT-sikkerhedsarbejdets forløb i 2003 inden for Familie- og Arbejdsmarkedsforvaltningen (Bilag)
Familie- og Arbejdsmarkedsudvalget
DAGSORDEN
for ordinært møde onsdag den 14. april 2004
15. Beretning om IT-sikkerhedsarbejdets forløb i 2003 inden for Familie- og Arbejdsmarkedsforvaltningen (Bilag)
FAU 190/2004 J.nr. 190/2004
INDSTILLING
Familie- og Arbejdsmarkedsforvaltningen indstiller,
at Familie- og Arbejdsmarkedsudvalget tager den vedlagte årsberetning om IT-sikkerhedsarbejdets forløb til efterretning med henblik på fremsendelse til behandling i Økonomiudvalget og Borgerrepræsentationen.
RESUME
Hver enkelt borgmester skal afgive en årsberetning om IT-sikkerhedsarbejdets forløb inden for sit område, jf. sikkerhedsregulativets § 20. Vedkommende udvalg skal orienteres om årsberetningen. Overborgmesteren koordinerer beretningerne fra udvalgene med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
Årsberetningen skal afgives i overensstemmelse med den gældende opgavefordeling.
Beretningen, der er struktureret som ønsket af Økonomiforvaltningen, indeholder oplysninger om Forvaltningens behandlinger af personoplysninger.
Desuden gives en række oplysninger om antallet af IT-brugere i Forvaltningen og ekspedition af anmodninger om indsigt i behandlinger.
En beskrivelse af de sikkerhedsbrud, der er konstateret i løbet af året indgår også i beretningen. Også henvendelser fra Datatilsynet indgår.
Forvaltningen har i 2003 i samarbejde med et eksternt revisionsfirma fået udarbejdet en IT-risikoanalyse. I denne analyse giver firmaet en række anbefalinger, som nu indgår i IT-kontorets videre arbejde med at forbedre IT-sikkerheden.
SAGSBESKRIVELSE
Beretningen, der er struktureret som ønsket af Økonomiforvaltningen, indeholder oplysninger om Forvaltningens behandlinger af personoplysninger, dels de behandlinger der er godkendt af Familie- og Arbejdsmarkedsudvalget og dels de behandlinger der er undtaget fra pligten til anmeldelse til Datatilsynet og som Familie- og Arbejdsmarkedsudvalget har bemyndiget Borgmesteren til at træffe beslutning om.
I den forbindelse kan oplyses at de lokale databaser, der blev godkendt i 2002 til brug for opfølgning og statistik vedrørende klagesager, nu er udgået af brug, idet sagerne er overført til Erindringssystemet, hvor sikkerheden er bedre end i de lokale databaser.
Desuden gives en række oplysninger om antallet af IT-brugere i Forvaltningen og ekspedition af anmodninger om indsigt i behandlinger.
Antallet af autoriserede brugere på forvaltningens netværk og de centrale KMD-systemer er nu næsten 7.000. I 2002 var tallet omkring 5.700 og i 2001 var det lidt over 5.000. Der er således tale om en væsentlig forøgelse af antallet af autoriserede brugere. Samtidig tages løbende nye centrale og lokale systemer i brug. Disse forhold medfører en øget opgavemængde vedrørende brugeradministration og kontrol med sikkerheden.
En beskrivelse af de sikkerhedsbrud, der er konstateret i løbet af året indgår også i beretningen. Der har været en enkelt situation hvor en medarbejder har slået op på sine egne personoplysninger uden at det var tjenstligt begrundet. Dette sikkerhedsbrud er blevet påtalt over for medarbejderen og sikkerhedsreglerne er blevet indskærpet.
Der har været en enkelt henvendelse fra Datatilsynet, hvor Datatilsynet oversendte en henvendelse fra en borger til kommunen.
En borger ønskede at kommunen rettede en oplysning om vedkommende i registrene. Da der ikke var nogen dokumentation for at den registrerede oplysning skulle være forkert, blev ønsket afvist. Vi skrev til borgeren med begrundelse for afvisningen og information om hvilke muligheder der var til rådighed hvis ønsket blev fastholdt.
Forvaltningen har i 2003 i samarbejde med Kommunernes Revision fået udarbejdet en IT-risikoanalyse. I denne analyse giver Kommunernes Revision en række anbefalinger med henblik på forbedring af IT-sikkerheden.
Forvaltningens IT-kontor er blandt andet på den baggrund i færd med en række tiltag til opfyldelse af disse anbefalinger.
Særligt kan nævnes at opbevaringen af de data, der i dag ligger på de lokale centre, centraliseres og der tages sikkerhedskopi i samarbejde med en ekstern leverandør og procedurerne vedrørende sikkerhedskopiering udbygges. Selvejende institutioner og senere alle daginstitutioner skal omlægges til en terminalserver løsning, der medfører at data opbevares centralt og der ikke er behov for at have data på de lokale pc'er i institutionerne. Endvidere sker der løbende en omlægning på institutioner med egne lokale net til forvaltningens standardnet.
IT-risikoanalysen indgår som en del af grundlaget for arbejdet med at forbedre IT-sikkerheden i forvaltningen og der vil i de kommende år blive udarbejdet tilsvarende risikoanalyser på baggrund af de nu indhøstede erfaringer.
I forbindelse med at Bostedet Stubmøllevej indgik en aftale med en ekstern databehandler, TeamOnline A/S, undertegnede denne en aftale om IT-sikkerhed og forvaltningen modtog den nødvendige revisorerklæring om firmaets IT-sikkerhed.
Arbejdet i forvaltningen vedrørende indgåelse af aftaler om dataudveksling med eksterne dataparter, herunder Danmarks Statistik og Told og Skat, er i fuld gang og forløber efter aftale med 11. kontor i Økonomiforvaltningen, der forestår den overordnede koordination. Der skal indgås aftaler med 12 eksterne parter. DMdata har siden den 13. november 2003 arbejdet på udfyldning af en række bilag til aftalerne med tekniske oplysninger og forventer at det sidste bilag senest er færdigudfyldt med udgangen af marts måned 2004.
Forvaltningen forventer at kunne melde de første systemer klar til at DMdata kan overtage dataudvekslingen medio marts måned. Klarmeldingerne vil ske efterhånden som DMdata har returneret de ovennævnte bilag til forvaltningen og forvaltningen efterfølgende har sendt aftalerne til godkendelse hos de eksterne dataparter.
MILJØVURDERING
Ingen væsentlige miljømæssige konsekvenser
ØKONOMI
Ingen
ANDRE KONSEKVENSER
Ingen
HØRING
Ingen
BILAG
- Beretning om IT-Sikkerhed for året 2003
- Specifikation af antal brugere på KMD-systemer
- Revisorerklæring vedr. databehandleren TeamOnline
- Oversigt over anmeldte behandlinger af personoplysninger
Grethe Munk
/
Sven Bjerre