Mødedato: 19.02.2019, kl. 15:30
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Godkendelse af forretningscirkulærer om informationssikkerhed og organisering af informationssikkerhed

Se alle bilag

Borgerrepræsentationen besluttede den 21. juni 2018 at godkende kommunens nye Informationssikkerhedspolitik og Informationssikkerhedsregulativ, som efterfølgende skulle udmøntes i seks forretningscirkulærer. Økonomiudvalget har vedtaget tre af forretningscirkulærerne på udvalgets møder den 23. oktober 2018 og den 8. januar 2019. 

Økonomiudvalget forelægges her de næste to forretningscirkulærer for hhv. "Organisering af informationssikkerhed" og "Informationssikkerhed" til godkendelse. Forretningscirkulærerne udgør de overordnede forpligtende regler på hovedområdet "Informationssikkerhed", som det er benævnt i Informationssikkerhedsregulativet.

Det er Økonomiforvaltningens vurdering, at de to forretningscirkulærer afspejler de nødvendige tværgående regler på området, som tidligere har været fastsat i kommunens it-sikkerhedsregulativ. Forretningscirkulærerne har været forelagt og er behandlet af Digitaliseringschefkredsen og IT-Direktørkredsen.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at vedlagte forslag til forretningscirkulære for organisering af informationssikkerhed (bilag 2) godkendes,
  2. at vedlagte forslag til forretningscirkulære for informationssikkerhed (bilag 3) godkendes.

Problemstilling

I Københavns Kommune er Borgerrepræsentationen (BR) øverst ansvarlig for kommunens behandling af personoplysninger samt for it-og datasikkerhed. Økonomiudvalget (ØU) har det umiddelbare ansvar for varetagelse af kommunens overordnede og tværgående it-forhold og har indseende med administrationen af kommunens opgaver inden for alle kommunens forvaltningsområder. Det øverste daglige administrative ansvar for forvaltningernes behandling af personoplysninger og it-og datasikkerhed varetages af overborgmesteren og borgmestrene inden for hver deres forvaltningsområde med ansvar over for ØU og BR.

Den 12. juni 2018 tog ØU den sidste status på kommunens Legal Compliance Program (LCP) og dermed status på forvaltningernes implementering af de nye krav i EU Databeskyttelsesforordningen til efterretning. Samtidig godkendte ØU indstillingen om kommunens nye Informationssikkerhedspolitik og Informationssikkerhedsregulativ. Indstillingen blev senere tiltrådt af BR den 21. juni 2018.

I Informationssikkerhedsregulativet (vedlagt som bilag 1) er det bestemt, at udmøntningen af informationssikkerhedsregulativet skal ske gennem følgende underliggende forretningscirkulærer, der fastlægger de bindende retningslinjer på informationssikkerhedsregulativets tre hovedområder:

  • Informationssikkerhed
  • Databeskyttelse
  • IT-livscyklus

Det sker i form af følgende seks forretningscirkulærer:

  1. Persondatabeskyttelse – De Registreredes Rettigheder (er godkendt af ØU den 8. januar 2019)
  2. Persondatabeskyttelse - Dokumentation og Compliance (er godkendt af ØU den 8. januar 2019)
  3. Organisering af informationssikkerhed
  4. Informationssikkerhed
  5. It- anskaffelser (er godkendt af ØU den 23. oktober 2018)
  6. It- livscyklus

som hermed udgør det samlede forpligtende regelsæt for håndtering af persondatabeskyttelse og informationssikkerhed i Københavns Kommune.

Forretningscirkulærerne skal som en del af ØU ´s ressort som ansvarlig for den umiddelbare forvaltning af kommunens it – og datasikkerhedsopgaver godkendes af ØU med virkning for alle kommunens forvaltninger og enheder, som BR er dataansvarlig for.

Løsning

I governancestrukturen på it – og persondatasikkerhedsområdet er det forudsat, at udkast til de bindende forretningscirkulærer alt efter indhold koordineres og forelægges med henblik på evt. bemærkninger for kommunens tværgående kredse, herunder for Digitaliseringschefkredsen (DCK)/Legal Compliance Forum (LCF) og IT- Kredsen (ITK), inden Økonomiforvaltningen forelægger cirkulærerne for ØU til godkendelse.

Udkast til de to vedlagte cirkulærer om henholdsvis

  • organisering af informationssikkerhed (bilag 2) og
  • informationssikkerhed (bilag 3)

har således været forelagt for og er godkendt af DCK og ITK.


Forretningscirkulærerne for informationssikkerhed

De vedlagte udkast til forretningscirkulærer for henholdsvis organisering af informationssikkerhed og informationssikkerhed har bl.a. til formål at sikre kommunens informationsaktiver, herunder it-udstyr, it-systemer og data.

Forretningscirkulærernes indhold:

Forretningscirkulæret for organisering af informationssikkerhed (bilag 2):

  • indeholder bestemmelser om ansvarsfordelingen og opgavevaretagelsen inden for informationssikkerhedsområdet. Der er således fastsat regler om ansvaret hos organisatoriske enheder som f.eks. BR, ØU, ØKF og de enkelte forvaltninger, men også for udvalgte grupper af medarbejdere som f.eks. systemejere, autorisationsansvarlige og ledere.


Forretningscirkulæret for informationssikkerhed (bilag 3):

  • indeholder bestemmelser der fastsætter mere konkrete krav til kommunens varetagelse af informationssikkerhed, herunder bl.a. regler om driftsikkerhed, fysisk sikkerhed, adgangsstyring, kommunikationssikkerhed, leverandørforhold mv.

De vedlagte udkast til forretningscirkulærer vil efterfølgende blive fulgt op af en række fællesadministrative forretningsgange, hvori der fastsættes tværgående og mere detaljerede regler inden for de to cirkulærers områder, herunder f.eks. regler for eksterne konsulenters adgang til kommunens systemer.

Forvaltningerne vil på grundlag af forretningscirkulærerne og de fællesadministrative forretningsgange hver især efter behov kunne udarbejde forvaltningsspecifikke forretningsgange, arbejdsgangsbeskrivelser, vejledninger mv., der imødekommer eventuelle særlige behov på hvert forvaltningsområde.

Økonomi

Indstillingen har ikke økonomiske konsekvenser.

Videre proces

Forretningscirkulærerne for organisering af informationssikkerhed og informationssikkerhed (bilag 2 og bilag 3) og de kommende fællesadministrative forretningsgange for informationssikkerhed indgår som del af det samlede regelsæt for forvaltningernes håndtering af informationssikkerhed i Københavns Kommune.

Økonomiforvaltningen forventer i løbet af andet kvartal 2019 at forelægge ØU det resterende forretningscirkulære om It-livscyklus.

 

Peter Stensgaard Mørch                        /Mads Grønvall

Beslutning

Dagsordenspunkt 8: Godkendelse af forretningscirkulærer om informationssikkerhed og organisering af informationssikkerhed (2018-0289698)

Økonomiudvalgets beslutning i mødet den 19. februar 2019

Indstillingen blev godkendt uden afstemning.

Til top