Årsberetning om IT-sikkerhed 2004
Årsberetning om IT-sikkerhed 2004
Uddannelses- og Ungdomsudvalget
DAGSORDEN
for ordinært møde onsdag den 27. april 2005
16. Årsberetning om IT-sikkerhed 2004
J.nr. U61/05
INDSTILLING
Uddannelses- og Ungdomsforvaltningen indstiller til Uddannelses- og Ungdomsudvalget,
at årsberetning om IT-sikkerhedsarbejdet tages til efterretning
RESUME
Overborgmesteren har i brev af 28. februar 2005 indkaldt årsberetning om IT-sikkerhedsarbejdets forløb på det enkelte udvalgs område.
Vedkommende udvalg orienteres om årsberetningen forinden forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
Sikkerhedslederen har i 2004 konstateret et tilfælde af IT-sikkerhedsbrud i lønsystemet. Sagen blev fulgt op i forhold til lønbehandleren, som efterfølgende har foretaget en teknisk ændring af lønsystemet.
Forvaltningen indstiller, at årsberetning om IT-sikkerhedsarbejdet tages til efterretning.
SAGSBESKRIVELSE
Efter § 20 i Regulativ for IT-sikkerhed i Københavns Kommune skal overborgmesteren og den enkelte borgmester afgive en årsberetning om sikkerhedsarbejdets forløb inden for sit område. Vedkommende udvalg orienteres om årsberetningen forinden forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
Overborgmesteren har i brev af 28. februar 2005 indkaldt årsberetning om IT-sikkerhedsarbejdets forløb i 2004.
Årsberetningen har form af en skabelon, der indeholder følgende oplysninger:
· Forvaltningens navn
· Sikkerhedslederens navn
· Årets anmeldelser til Datatilsynet og behandlinger som er godkendt af udvalget
· Opgørelse af antallet af autoriserede brugere af IT-systemer
· Opgørelse af antal brugere pr. driftsenhed
· Sikkerhedsbrud eller forsøg derpå i 2004
· Antal anmodninger om indsigt i behandlinger i 2004
· Henvendelser fra Datatilsynet i 2004
· Uddybende IT-sikkerhedsbestemmelser
Henvendelser fra Datatilsynet i 2004
Datatilsynet har i brev af 13. september 2004 til Københavns Kommune, Uddannelses- og Ungdomsforvaltningen i forbindelse med en ændring af anmeldelsen afvist anmeldelse dateret den 27. marts 2001 af Københavns Kommunes register til administration af den kommunale undervisning i dansk for voksne udlændinge. Datatilsynets begrundelse for at afvise anmeldelsen er, at Datatilsynet ikke finder, at der behandles oplysninger, som ligger ud over, hvad der ifølge Justitsministeriets bekendtgørelse nr. 529 af 15. juni 2000 §11 er undtaget fra anmeldelsespligt. Henvendelsen betyder, at udvalget fortsat skal godkende iværksættelsen af databehandlinger, som indeholder personoplysninger, men at kun databehandling, som indeholder fortrolige eller følsomme oplysninger tillige skal anmeldes til Datatilsynet.
Brud på IT-sikkerheden
I oktober 2004 blev det konstateret, at en indtastning i lønsystemet, som Familie- og Arbejdsmarkedsforvaltningen foretog vedrørende en af deres medarbejdere, der tidligere havde været ansat i Uddannelses- og Ungdomsforvaltningen, blev registreret i lønsystemet i Uddannelses- og Ungdomsforvaltningen og ikke i Familie- og Arbejdsmarkedsforvaltningen.
Der blev endvidere konstateret, at for en medarbejder, som samtidig var ansat i Familie- og Arbejdsmarkedsforvaltningen og Uddannelses- og Ungdomsforvaltningen, blev begge lønudbetalinger registreret samlet i lønsystemet under én forvaltning – i dette tilfælde i Familie- og Arbejdsmarkedsforvaltningen.
Tilfældene blev rapporteret til IT-sikkerhedslederen under overborgmesteren og Økonomiforvaltningen, som fulgte sagen op i forhold til lønbehandleren.
Det er oplyst, at Accenture efterfølgende foretog en teknisk ændring af lønsystemet.
Borgmesteren udsendte IT-sikkerhedsinstruks for forvaltningen den 2. juni 2003.
I årsberetningen om IT-sikkerhed forekommer navne og en række forkortelser af de benyttede systemer:
· KMD-systemer er systemer fra virksomheden Kommunedata
· DM-Data er den virksomhed, som driftsafvikler systemer fra Kommunedata.
· Vejledningssystemet benyttes af Ungdommens Uddannelsesvejledning (Center for Vejledning).
· KMD-Easy er et elevregister, som benyttes af folkeskolerne.
· GAS er et system, som anvendes til planlægning og administration på gymnasier og hf-kurser.
· TR2000 er et system, som anvendes til skoleårets planlægning og administration af arbejdstid i folkeskolen.
· LARA er et administrationssystem, som anvendes til styring af Ungdomsskolens almene undervisning.
· VPC-kursussystem er et system, som Voksenpædagogisk Center anvender til registrering af kursister.
· Debitorsystem (SAS) er et system, som forvaltningen anvender til registrering af forvaltningens debitorer, og SAS Institute er navnet på den virksomhed, der har udviklet det anvendte software.
· Aleph er et bibliotekssystem, som anvendes af skolebiblioteker og Center for Undervisningsmidler.
· PC-Ungdom anvendes til registrering af elever i Ungdomsskolen.
· Pacer Data anvendes til administration af danskuddannelse til voksne udlændinge.
· KKSV anvendes af Center for Specialundervisning for Voksne til administration.
· Elevrefusionssystemet anvendes af forvaltningen til administration af mellemkommunale betalinger.
· Damus er et system, som anvendes til administration af Musikskolens elever.
· PPR-systemet anvendes til administration i Pædagogisk Psykologisk Rådgivning.
· Institutionssystemet anvendes til administration af tilmeldte i fritidshjem og klubber.
· CSC er navnet på den virksomhed, som leverer system til planlægning og administration af prøveforberedende enkeltfagsundervisning for voksne og de grundlæggende social- og sundhedsuddannelser.
Økonomi
Ingen bemærkninger
Miljøvurdering
Sagstypen er ikke omfattet af Uddannelses- og ungdomsforvaltningens positivliste over sager, der skal miljøvurderes.
Høring
Ingen bemærkninger
BILAG VEDLAGT
· &nb sp; Bilag 1: Overborgmesterens brev af 28. februar 2005 med indkaldelse af årsberetning om it-sikkerhedsarbejdet i 2004
· Bilag 2: Årsberetning om IT-sikkerhedsarbejdet i Uddannelses- og Ungdomsforvaltningen i 2004
Peter Rasmussen
Søren Stahl Nielsen