Nyt it-sikkerhedsregulativ for Københavns Kommune
Nyt it-sikkerhedsregulativ for Københavns Kommune
Ãkonomiudvalget
BESLUTNINGSPROTOKOL
fra ordinært møde tirsdag den 29. april 2008
J.nr. ÃU 159/2008
19. Nyt it-sikkerhedsregulativ for Københavns Kommune
Udkastet til et nyt it-sikkerhedsregulativ er nu klar til godkendelse sammen med den tilhørende it-sikkerhedspolitik.
Â
Ãkonomiforvaltningen indstiller, at Ãkonomiudvalget over for Borgerrepræsentationen anbefaler, 1. at it-sikkerhedsregulativet med tilhørende it-sikkerhedspolitik godkendes, 2. at den forventede Ã¥rlige udgift til drift af it-sikkerhedsportalen pÃ¥ i alt 103. 000 kr. (2008 p/l) fra 2010 afholdes af de respektive forvaltninger og it-sikkerhedsomrÃ¥der fordelt efter antallet af brugere. |
Ãkonomiudvalgets beslutning i mødet den
29. april 2008 Indstillingen blev anbefalet. |
Problemstilling
Ãkonomiudvalget besluttede den 22. maj 2007 (163/2007), at der skulle udarbejdes et nyt it-sikkerhedsregulativ for Københavns Kommune som erstatning for det eksisterende, der - grundet en lang række forhold – var og er utidssvarende.
Det er et lovgivningskrav, at kommunen skal have et sæt af it-sikkerhedsregler med et nærmere bestemt indhold, jf. sikkerhedsbekendtgørelsens § 5.
Løsning
Der er nu udarbejdet en ny it-sikkerhedspolitik og et nyt it-sikkerhedsregulativ for Københavns Kommune.
Enhver håndtering af personoplysninger og værdioplysninger, som sker ved hjælp af it, skal foregå på en betryggende og tillidsvækkende måde i forhold til kommunens borgere og virksomheder.
It-sikkerhedspolitikken og it-sikkerhedsregulativet skaber tilsammen grundlaget for et passende og tilstrækkelig højt it-sikkerhedsniveau i kommunen, som sikrer fortrolighed, dataintegritet og tilgængelighed. Dette er en vigtig forudsætning for effektivitet og kvalitet i kommunens serviceydelser.
Â
It-sikkerhedsregulativet uddyber it-sikkerhedspolitikken og opfylder sikkerhedsbekendtgørelsens krav om interne uddybende it-sikkerhedsbestemmelser for Københavns Kommune.
It-sikkerhedsregulativet tager udgangspunkt i Dansk Standard for informationssikkerhed, DS 484:2005, og standarden er anvendt som skabelon og reference. Der gælder ingen formelle krav om efterlevelse eller implementering af DS 484:2005 i kommunerne, hvorfor kommunens behov og ønsker har haft forrang ved udarbejdelsen af it-sikkerhedsregulativet. Dette gælder særlig behovet og ønsket om at it-sikkerhedsbestemmelserne er operationelle og realistiske.
Organisatorisk indeholder it-sikkerhedsregulativet bestemmelser, som beskriver en klar ansvars- og opgavefordeling i forvaltningerne generelt og i forhold til Koncernservice. Der er foretaget en reducering i antallet af it-sikkerhedsfunktioner i forhold til det hidtidige it-sikkerhedsregulativ, og det tværgående it-sikkerhedssamarbejde er endvidere blevet formaliseret. Organiseringstiltagene har bl.a. fundet sted med henblik på at opnå en mere ensartet opfattelse af it-sikkerhedskravene med deraf afledt effektiviseringsgevinst som resultat. Organiseringstiltagene er samtidig sket med respekt for den delte administrative ledelse.
It-sikkerhedsregulativet afspejler herudover ogsÃ¥ en række andre afbureaukratiserings- og standardiseringstiltag. I modsætning til tidligere fÃ¥r kommunen nu bl.a. et fælles sæt af it-sikkerhedsregler, og det er ikke længere et krav, at der skal udarbejdes forvaltningsspecifikke it-sikkerhedsbestemmelser. It-sikkerhedsregulativet er endvidere tilskÃ¥ret til det nødvendige og skal suppleres med vejledninger m.v., som har til formÃ¥l at sikre en fælles forstÃ¥else af reglernes betydning.Â
Endelig vil indførelsen af den nye it-sikkerhedsportal (SecureAware), som it-sikkerhedspolitikken og it-sikkerhedsregulativet med tilhørende vejledninger m.v. skal lægges ind i, og som Ãkonomiudvalget besluttede at anvende i forbindelse med godkendelsen af projektet, komme til at betyde, at der pÃ¥ sigt opnÃ¥s en større it-sikkerhed, idet al it-sikkerhedsmateriale nu samles et sted (i portalen).  Â
De respektive forvaltninger, Borgerrådgiveren, Revisionsdirektoratet og Koncernservice har været inddraget aktivt undervejs i processen. Der har været afholdt en lang række møder, interviews m.v., hvor ønsker og behov er blevet fremsat, og hvor udkast er blevet kommenteret. It-sikkerhedspolitikken og it-sikkerhedsregulativet med tilhørende implementeringsplan har endvidere været sendt i høring, og der er efterfølgende taget stilling til høringssvarene. Politikken, regulativet og implementeringsplanen er til slut blevet tilrettet i overensstemmelse hermed.
Ãkonomi
Godkendelse af it-sikkerhedspolitikken og it-sikkerhedsregulativet vil ikke medføre et forøget ressourceforbrug set i forhold til overholdelse af den eksisterende it-sikkerhedspolitik og det eksisterende it-sikkerhedsregulativ.
Forvaltningerne afholder i dag udgifter til it-sikkerhed inden for forvaltningernes budgetramme. Udgiften til overholdelse af den nye it-sikkerhedspolitik og det nye it-sikkerhedsregulativ skal derfor også afholdes inden for forvaltningernes budgetramme.
Godkendelsen medfører, at kommunen får en it-sikkerhedsportal, der bl.a. skal indeholde Københavns Kommunes it-sikkerhedspolitik og it-sikkerhedsregulativ. Koncernservice skal drifte portalen. Driftsomkostningerne er anslået til 103.000 kr. årligt (2008 p/l).
Driftsomkostningerne vil det første år blive afholdt inden for projektets ramme. Fra 2010 skal udgiften afholdes af de respektive forvaltninger og it-sikkerhedsområder fordelt efter antallet af brugere pr. 1. januar i det år, hvor udgiften opkræves (dvs. opkrævningen vil variere hvert år på baggrund af antallet af brugere). Af nedenstående tabel 1 fremgår, hvilke forvaltninger/it-sikkerhedsområder dette vedrører.
Udgiften skal afholdes inden for udvalgenes eksisterende budgetrammer, og der skal således tages højde herfor i forbindelse med udvalgenes udarbejdelse af forslag til budget 2010.
Tabel 1
Forvaltning/it-sikkerhedsområde,
som bidrager til finansieringen af it-sikkerhedsportalens drift fra 2010 |
Revisionsdirektoratet |
Brandvæsnet1 |
Borgerrådgiveren |
Koncernservice2 |
Ãkonomiforvaltningen |
Kultur- og Fritidsforvaltningen |
Børne- og Ungdomsforvaltningen |
Sundheds- og Omsorgsforvaltningen |
Socialforvaltningen |
Beskæftigelses- og Integrationsforvaltningen |
Teknik- og Miljøforvaltningen |
1 Brandvæsnet udgør et
selvstændigt it-sikkerhedsområde
2 Koncernservice udgør et selvstændigt
it-sikkerhedsområde
Videre
proces
Under forudsætning af at it-sikkerhedspolitikken og it-sikkerhedsregulativet bliver godkendt, skal politikken og regulativet implementeres i henhold til den udarbejdede implementeringsplan, jf. bilag 3. Implementeringen må forventes at strække sig over 2 år.
Der vil endvidere blive iværksat en revision af it-sikkerhedsområdet umiddelbart efter, at den eksterne revision er etableret.
Bilag
1. It-sikkerhedpolitik for Københavns Kommune
2. It-sikkerhedsregulativ for Københavns Kommune
3. Implementeringsplan
Claus Juhl                                                /Flemming Dubgaard Hansen
Â