Årsberetning for 2003 vedrørende IT-sikkerhedsområdet
Årsberetning for 2003 vedrørende IT-sikkerhedsområdet
Borgerrepræsentationen
DAGSORDEN
for Ordinært møde torsdag den 11. november 2004
BR 504/04
Årsberetning for 2003 vedrørende IT-sikkerhedsområdet
Årsberetning for 2003 vedrørende
IT-sikkerhedsområdet
Indstilling om, at årsberetningen for 2003 vedrørende IT-sikkerhedsområdet tages til efterretning.
(Økonomiudvalget)
INDSTILLING
Økonomiforvaltningen indstiller, at Økonomiudvalget overfor Borgerrepræsentationen anbefaler,
at årsberetningen for 2003 vedrørende IT-sikkerhedsområdet tages til efterretning.
Økonomiudvalgets beslutning i mødet den 26. oktober 2004
Anbefalet.
RESUME
Årsberetningen afgives i henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" (Sikkerhedsregulativet), som blev godkendt i Borgerrepræsentationen den 22. august 2002.
Sammenfattende kan det konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i 2003 ikke har givet anledning til særlige bemærkninger.
Økonomiforvaltningen har igangsat udarbejdelse af minimumsbestemmelser på de områder, der fremgår af sikkerhedsregulativets § 6.
Der er konstateret et tilfælde i Skatte- og Registerforvaltningen af overtrædelse af sikkerhedsbestemmelserne, der har resulteret i afskedigelse. Økonomiudvalget har fået tilsendt uddybende beskrivelse fra Skatte- og Registerforvaltningen af forretningsgangen vedrørende adgangskontrol m.v. Endvidere er der konstateret et tilfælde i Familie- og Arbejdsmarkedsforvaltningen af overtrædelse af sikkerhedsbestemmelserne, der har resulteret i påtale overfor pågældende medarbejder og indskærpelse af sikkerhedsbestemmelserne.
Anmeldelse til Datatilsynet af behandlinger foretages løbende i henhold til persondatalovens bestemmelser.
I 2003 blev der fremsat enkelte anmodninger fra borgere om indsigt i behandlinger, hvilke ikke har givet anledning til særlige bemærkninger.
Datatilsynet har rettet henvendelse til
· Skatte- og Registerforvaltningen vedrørende en klage fra en borger. Sagen er ikke afsluttet.
· Familie- og arbejdsmarkedsforvaltningen, fordi en borger ønskede at kommunen rettede i oplysninger om vedkommende. Det kunne ikke dokumenteres, at oplysningerne var forkerte, hvorfor sagen blev afvist. Borgeren har fået tilsendt klagevejledning.
· Bygge- og Teknikforvaltningen, Parkering København, vedrørende en klage fra en borger om sletning af parkeringsafgift. Parkering København har overfor Datatilsynet redegjort for procedurer m.v. i forbindelse med administration af området. Sagen er endnu ikke afsluttet.
· Sundhedsforvaltningen som opfølgning på Datatilsynets inspektion i 2002. Sundhedsforvaltningen har herefter udarbejdet nye interne arbejdsbeskrivelser m.v., som vil blive indarbejdet i en ny sikkerhedsinstruks, der forelægges Sundheds- og Omsorgsudvalget. Datatilsynets afrapportering til Sundhedsforvaltningen er vedlagt årsberetningen.
KMD har som hidtil afleveret en revisorerklæring, som er godkendt af KMD's bestyrelse. Øvrige af kommunens tværgående eksterne nye databehandlere har ligeledes afleveret revisorerklæring. Økonomiforvaltningen drøfter en procedure med Revisionsdirektoratet for behandling af sådanne erklæringer, herunder opfølgning i forhold til den enkelte databehandler, i den udstrækning revisorerklæringen indeholder oplysning om konstaterede svagheder i en leverandørs interne kontroller.
I forbindelse med overgangen til DMdata som driftsleverandør for kommunen i september 2002 blev en kortlægning af den automatiske dataudveksling til/fra kommunens IT-systemer iværksat. Kortlægningen fortsatte i 2003 og forventes afsluttet i 2004.
I 2003 var sikkerhedsarbejdet organiseret i 13 sikkerhedsområder med hver sin sikkerhedsleder, og der er i alt ca. 20.000 autoriserede brugere i kommunen af IT-systemerne.
Kompleksiteten vokser i takt med at flere brugere autoriseres til systemerne samtidig med at flere nye IT-systemer ibrugtages. Som resultat af en undersøgelse af IT-sikkerhedsadministrationen blev der lagt op til implementering af en fælles IT-sikkerhedsløsning, og Borgerrepræsentationen har i august 2004 godkendt en indstilling om igangsættelse af en EU-udbudsforretning om sikkerhedsadministration og anskaffelse af et nyt fælles IT-sikkerhedsadministrationssystem til implementering fra medio 2005.
SAGSBESKRIVELSE
I henhold til § 20 i "Regulativ for IT-sikkerhed i Københavns Kommune" afgiver Overborgmesteren og den enkelte borgmester en årsberetning om sikkerhedsarbejdets forløb indenfor hver deres område. Vedkommende udvalg orienteres om årsberetningen. Overborgmesteren koordinerer beretningerne med henblik på en samlet forelæggelse for Økonomiudvalget og Borgerrepræsentationen.
1. Lov om behandling af personoplysninger
Der er i år 2003 ikke sket ændringer i lovgrundlaget, lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven), som trådte i kraft den 1. juli 2000, Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning samt Datatilsynets vejledning nr. 37 af 2. april 2001 til bekendtgørelsen.
2. Regulativ for IT-sikkerhed i Københavns Kommune
Borgerrepræsentationen godkendte den 22. august 2002 "Regulativ for IT-sikkerhed i Københavns Kommune" (Sikkerhedsregulativet), som er grundlaget for IT-sikkerhedsadministrationen i forvaltningerne.
Sikkerhedsregulativet er tilgængeligt på kommunens intranet KKnettet og på Internettet.
Økonomiforvaltningen har igangsat udarbejdelse af minimumsbestemmelser på de områder, der er nævnt i Sikkerhedsregulativets § 6, stk. 2, vedrørende blandt andet sikring af kommunikationsforbindelser og nødberedskab. Der sigtes på en samlet forelæggelse for Økonomiudvalget inden udgangen af 2004.
3. IT-sikkerhedsorganisationen
Økonomiudvalget fører det overordnede tilsyn med og koordinerer sikkerhedsbestemmelserne i alle forvaltninger, jfr. Sikkerhedsregulativets § 6. Overborgmesteren fungerer som sekretær for Økonomiudvalget på IT-sikkerhedsområdet. Denne opgave varetages i det daglige af Borgerrepræsentationens Sekretariat.
Der er ved opbygningen af kommunens sikkerhedsorganisation tilstræbt adskillelse af den kontrollerende og den udførende funktion, ligesom der er tilstræbt uafhængighed af nøglepersoner ved udpegning af stedfortrædere.
Den kontrollerende funktion varetages af sikkerhedslederne, som udpeges af Overborgmesteren og de enkelte borgmestre indenfor hver deres område.
De udførende funktioner på IT-sikkerhedsområdet varetages af forvaltningernes ledelse, de systemansvarlige og de IT-ansvarlige, hvis opgaver i relation til IT-sikkerhedsregulativet specifikt fremgår af regulativets §§ 12-14 samt §§ 17-18.
I løbet af 2003 er der sket følgende ændringer i sikkerhedsorganisationen:
· Pr. 1. september 2003 blev Løn og Pensionsanvisningen udliciteret til Accenture. Accenture har udpeget en sikkerhedsleder, som udfører IT-sikkerheds-opgaver i henhold til Sikkerhedsregulativet tilsvarende forvaltningernes sikkerhedsledere og afgiver årsberetning om IT-sikkerhed. Vedrørende 2003 har Accenture afgivet beretning for perioden 1. september til 31. december 2003.
· Et lovforslag om, at ansvaret for sekretariatsbetjening af skatteankenævnene overgår til staten fra 1. september 2003 blev vedtaget i Folketinget den 13. april 2003 – dog med mulighed for at kommunerne kunne aftale med Skatteministeriet, at opgaven løses af kommunen på kontrakt. Borgerrepræsentationen besluttede i sit møde den 22. maj 2003, at sekretariatsbetjeningen af Skatteankenævnet skulle udføres af Københavns Kommune. Skatteankenævnet blev i den forbindelse etableret som selvstændigt sikkerhedsområde. Af praktiske årsager blev sikkerhedslederen i Skatte- og Registerforvaltningen midlertidigt udpeget som sikkerhedsleder, indtil Skatteankenævnets sekretariat fysisk flyttede til nye lokaler primo 2004, hvor en ny sikkerhedsleder er udpeget.
Med udgangen af 2003 havde Overborgmesteren og de enkelte borgmestre i henhold til § 10 i Sikkerhedsregulativet udpeget i alt 13 sikkerhedsledere, der fordeler sig således på de enkelte forvaltninger:
Forvaltning Antal
sikkerhedsledere:
Økonomiforvaltningen 3
Kultur- og Fritidsforvaltningen 1
Uddannelses- og Ungdomsforvaltningen 1
Sundhedsforvaltningen 1
Familie- og Arbejdsmarkedsforvaltningen 1
Bygge- og Teknikforvaltningen 4
Miljø- og Forsyningsforvaltningen 1
Revisionsdirektoratet 1
Sikkerhedsledernes opgaver fremgår af Sikkerhedsregulativet.
4. Den daglige sikkerhedsadministration og nye tiltag
Sikkerhedslederne foretager den daglige sikkerhedsadministration på basis af de sikkerhedssystemer, der enten er indbygget i eller koblet på de IT-systemer, som anvendes indenfor det pågældende sikkerhedsområde.
Opgaverne i forbindelse med adgangsforhold og kontroller er beskrevet i Sikkerhedsregulativet. Disse opgaver kræver stadig flere ressourcer i forvaltningerne til oprettelse og vedligeholdelse af kommunens brugere i sikkerhedssystemerne, og samtidig stiger kompleksiteten på grund af flere brugere og flere IT-systemer m.v.
Ny fælles
sikkerhedsløsning
På baggrund af en analyse af den eksisterende sikkerhedsadministration og mulighederne for at implementere en samlet sikkerhedsløsning for kommunens forvaltninger har Borgerrepræsentationen i august 2004 godkendt en indstilling om igangsættelse af en EU-udbudsforretning om anskaffelse af et nyt fælles IT-sikkerhedsadmini-strationssystem og sikkerhedsadministration. En ny løsning, som skal kunne håndtere brugeradministration, autorisation og adgangskontrol m.v. for den overvejende del af kommunens IT-systemer, forventes implementeret fra medio 2005.
Risikovurderinger
Af Sikkerhedsregulativets § 6 fremgår blandt andet, at Økonomiudvalget skal fastlægge det overordnede IT-sikkerhedsniveau ud fra en risikovurdering i de enkelte forvaltninger. Af de enkelte årsberetninger for 2003 fremgår, at der enten er gennemført eller er iværksat tiltag til gennemførelse af risikovurderinger. Økonomiudvalget vil få sagen forelagt, når der er gennemført risikovurderinger i samtlige forvaltninger.
Nødberedskab
Det fremgår af Sikkerhedsregulativets § 33, at den enkelte forvaltning skal sikre, at IT-ydelser kan reetableres betids og i fornødent omfang i tilfælde af helt eller delvist bortfald af IT-faciliteter. I den forbindelse har Økonomiforvaltningen i samarbejde med forvaltningerne aftalt en teknisk reetableringsplan med kommunens driftsleverandør DMdata. Det er hensigten, at denne reetableringsplan tillige med forvaltningernes egne reetableringsplaner for øvrige IT-ydelser på sigt indarbejdes i "Plan for det civile beredskab i Københavns Kommune" i den specielle del, afsnit 5.
5. IT-sikkerheden i de enkelte forvaltninger
Al adgang til IT-systemer er betinget af en konkret autorisation fra en sikkerhedsleder. Antallet af personer, der er autoriseret til én eller flere funktioner i kommunens systemer og netværk, udgør ca. 20.000. Hovedparten af medarbejderne er autoriseret til systemer, der driftsafvikles hos DMdata. Et mindre antal brugere er autoriseret til systemer, der driftsafvikles hos andre edb-service bureauer samt internt i forvaltningerne på lokale servere.
I medfør af Sikkerhedsregulativets § 16 og § 18 skal der i de enkelte forvaltninger udarbejdes uddybende IT-sikkerhedsbestemmelser i form af en sikkerhedsinstruks og sikkerhedsforskrifter, hvori fastsættes forretningsgange for sikkerhedslederens og den IT-ansvarliges opgaver. Disse uddybende bestemmelser er blevet udarbejdet for størsteparten af de enkelte forvaltninger.
Forvaltningernes IT-sikkerhedsbestemmelser m.v. er eller vil alle blive tilgængelige på kommunens intranet KKnettet.
6. Opfølgning på sikkerhedshændelser
I Sundhedsforvaltningen er der som følge af en del nye brugere uden den store IT-erfaring en øget opmærksomhed på brugernes anvendelse, da der lettere kan opstå sikkerhedsproblemer. Der er ikke konstateret sikkerhedsbrud eller forsøg herpå.
I Familie- og Arbejdsmarkedsforvaltningen er der i forbindelse med den løbende stikprøvekontrol af opslag i IT-systemerne konstateret et enkelt tilfælde, hvor en medarbejder havde benyttet sin adgang til et system til at foretage opslag på medarbejderens egne oplysninger. Dette sikkerhedsbrud blev påtalt overfor medarbejderen ligesom reglerne for brug af adgange til systemerne blev indskærpet overfor medarbejderen.
En borger har rettet henvendelse til Skatte- og Registerforvaltningen (SKR) vedrørende en mistanke om, at en medarbejder i forvaltningen havde misbrugt sine tildelte autorisationer til forhold, der ikke var tjenstligt begrundet. En gennemgang af loggen og et møde med medarbejderen resulterede i, at den pågældende medarbejder ikke længere er ansat i forvaltningen. Skatte- og Registerforvaltningen har overfor Økonomiudvalget redegjort for forvaltningens procedurer i sådanne sager.
I de øvrige IT-sikkerhedsårsberetninger er der ikke nævnt
særlige forhold.
7.
Henvendelser fra Datatilsynet
Datatilsynet har i 2003 rettet henvendelse til SKR, fordi en borger havde klaget til Datatilsynet over SKR. Sagen er – på grund af travlhed i Datatilsynet – ikke afsluttet.
Familie- og Arbejdsmarkedsforvaltningen har fået en henvendelse fra Datatilsynet, hvor en borger anmodede om, at kommunen rettede en oplysning om vedkommende. Da der ikke var nogen dokumentation for, at den registrerede oplysning var forkert, blev anmodningen afvist. Borgeren har fået tilsendt en begrundelse for afvisningen samt klagevejledning.
I Bygge- og Teknikforvaltningen har Datatilsynet rettet henvendelse til Parkering København vedrørende en klage fra en borger om sletning af oplysninger vedrørende parkeringsafgift. Parkering København har overfor Datatilsynet redegjort for procedurer m.v. i forhold til administration af området. Der er endnu ikke kommet svar fra Datatilsynet.
Af årsberetningen vedrørende 2002 fremgik, at Datatilsynet ikke havde afsluttet afrapportering vedrørende et tilsyn i Sundhedsforvaltningen. Afrapporteringen har nu fundet sted i et brev fra Datatilsynet af 22. december 2003, som er vedlagt som bilag til nærværende årsberetningen. Sundhedsforvaltningen har som opfølgning på sagen blandt andet udarbejdet en række nye interne arbejdsbeskrivelser og forretningsgange. Disse vil blive indarbejdet i en ny sikkerhedsinstruks, som forelægges til godkendelse i Sundheds og Omsorgsudvalget.
8. Kommunens eksterne databehandlere
Kommunen har i seneste år fået flere eksterne databehandlere, hvormed der er indgået sikkerhedsaftaler, jfr. persondatalovens § 42 samt sikkerhedsregulativets § 31.
I aftalerne indgår, at firmaerne én gang årligt skal fremlægge en generel erklæring i overensstemmelse med Statsautoriserede Revisorers revisionsvejledning om driftsmiljøet, herunder at der er truffet tekniske og organisatoriske sikkerhedsforanstaltninger i overensstemmelse med reglerne i persondataloven og bekendtgørelse nr. 528 af 15. juni 2000.
Fra KMD er revisorerklæringen – i form af "Erklæring om IT-sikkerheden i KMD vedrørende året 2003 – som hidtil fremsendt til Københavns Kommune efter godkendelse i KMD's bestyrelse. Revisorerklæringer vedrørende kommunens større eksterne og tværgående databehandlere - herunder DMdata, som i september 2002 overtog driftsafviklingen af en række tværgående IT-systemer fra KMD – er modtaget og overholder generelt de standarder, der er gældende i Danmark.
Økonomiforvaltningen har drøftet en procedure med Revisionsdirektoratet for gennemgang af sådanne erklæringer. Der lægges op til, at revisorerklæringerne i den udstrækning, de indeholder supplerende oplysninger om konstaterede svagheder i en leverandørs interne kontroller, gennemgås af den systemansvarlige og/eller den IT-ansvarlige i den forvaltning, hvor systemansvaret er placeret, med henblik på en vurdering af betydningen af de rejste forhold for forvaltningens styring af området. Endvidere lægges der op til, at der sker en opfølgning på afhjælpning af manglerne, herunder at der evt. indhentes supplerende revisorerklæring m.v.
I forbindelse med overgangen til DMdata som ny driftsleverandør for Københavns Kommune var det nødvendigt at kortlægge den automatiske dataudveksling til/fra kommunens IT-systemer. Kortlægningen fortsatte i 2003 og forventes afsluttet i 2004.
9. Anmeldelser til Datatilsynet
Anmeldelse til Datatilsynet af behandlinger foretages
løbende i henhold til persondatalovens bestemmelser og efter godkendelse af
behandlingen i de enkelte udvalg, jfr. Sikkerhedsregulativets kapitel 13 og 14.
10. Anmodninger om indsigt i behandling
I 2003 blev der fremsat 6 anmodninger fra borgere om generel samt en række anmodninger til de enkelte forvaltninger om specifik indsigt i behandlinger. Anmodningerne har ikke givet anledning til særlige bemærkninger.
11. Konklusion
Sammenfattende kan det konkluderes, at arbejdet indenfor IT-sikkerhedsområdet i år 2003 ikke giver anledning til særlige bemærkninger.
Afrapportering vedrørende forhold, der ikke er afsluttet inden udgangen af 2003, vil blive medtaget i årsberetningen for 2004.
Økonomi
-
Høring
IT-sikkerhedsårsberetningen er afgivet med baggrund i de IT-sikkerhedsårsberet-ninger, der er fremlagt i de enkelte udvalg om IT-sikkerhedarbejdets forløb i 2003.
Miljøvurdering
-
-
Bilag
· Datatilsynets afrapportering fra inspektion i 2002 i Sundhedsforvaltningen, dateret 22. december 2003.
Erik Jacobsen
/Flemming Dubgaard Hansen