IT-sikkerhedspolitik

DAGSORDEN

for Ordinært møde torsdag den 22. august 2002

IT-sikkerhedspolitik

Indstilling om, at redegørelsen om Københavns Kommunes IT-sikkerhedspolitik tages til efterretning, at vedlagte forslag til Regulativ for IT-sikkerhed i Københavns Kommune godkendes.

Det indstilles, at Økonomiudvalget indstiller til Borgerrepræsentationen

at redegørelsen om Københavns Kommunes IT-sikkerhedspolitik tages til efterretning

at vedlagte forslag til Regulativ for IT-sikkerhed i Københavns Kommune godkendes.

Godkendt med bemærkning om at der tages en høringsrunde hos de øvrige forvaltninger, og at Økonomiforvaltningen vender tilbage til udvalget, såfremt der i denne høringsrunde fremkommer væsentlige bemærkninger.

Borgerrepræsentationen vedtog i december 1994 "Registerpolitisk redegørelse", der sammen med det til enhver tid gældende IT-sikkerhedsregulativ har udgjort Københavns Kommunes IT-sikkerhedspolitik.

Den nye Lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000 (Persondataloven), trådte i kraft den 1. Juli 2000. På baggrund af denne vedtog Borgerrepræsentationen den 20. September 2000 et nyt sikkerhedsregulativ. Borgerrepræsentationen blev samtidig stillet i udsigt, at et nyt sikkerhedsregulativ ville blive forelagt til godkendelse, i forlængelse af at vejledning om sikkerhedsforanstaltninger til beskyttelse af personoplysninger forelå tillige med resultatet af en undersøgelse af sikkerheden i Københavnernettet.

I det nu foreliggende forslag til nyt sikkerhedsregulativ er herudover taget højde for, at det i takt med den øgede IT-anvendelse alene af økonomiske årsager er væsentligt for kommunen at fastlægge et højt sikkerhedsniveau. Ud fra en revisionsmæssig synsvinkel er det ligeledes væsentligt at fokusere på IT-sikkerheden med henblik på minimere den potentielle risiko for misbrug.

Sikkerhedsregulativet gælder for enhver dataanvendelse og -behandling i kommunens forvaltninger.

Kommunens IT-sikkerhedsorganisation er beskrevet i Sikkerhedsregulativet og de enkelte aktørers roller og ansvar er præciseret. Forsøgsbydelene indgår ikke længere i IT-sikkerhedsorganisationen.

Sikkerhedsregulativet suppleres med minimumsbestemmelser vedrørende IT-udstyrets og –systemernes sikkerhed og tilgængelighed, herunder sikkerhedsmæssige krav til systemudvikling og driftsafvikling, samt krav til sikkerhed i Københavner-nettet.

Der er endelig lagt vægt på, at medarbejderne i Københavns Kommune har ansvaret for at sætte sig ind i og efterleve sikkerhedsbestemmelserne, men også at medarbejderne på en enkelt og overskuelig måde kan gøre sig bekendt med IT-sikkerhedsbestemmelserne.

Bestemmelser for Statistisk Kontor, Revisionsdirektoratet for Københavns Kommune samt Stadsarkivet er beskrevet særskilt.

Det nye Sikkerhedsregulativ og de i medfør heraf fastsatte bestemmelser udgør tillige med nærværende indstilling Københavns Kommunes IT-sikkerhedspolitik.

Borgerrepræsentationen vedtog i december 1994 "Registerpolitisk redegørelse", der sammen med "Sikkerhedsregulativ for Københavns Kommunes edb-systemer" har udgjort kommunens hidtidige IT-sikkerhedspolitik.

Det nuværende sikkerhedsregulativ blev vedtaget af Borgerrepræsentationen den 20. september 2000 i medfør af den nye Lov om behandling af personoplysninger, lov nr. 429 af 31. maj 2000 (Persondataloven), som trådte i kraft den 1. juli 2000.

Borgerrepræsentationen blev med indstillingen om det nuværende sikkerhedsregulativ stillet i udsigt, at der efterfølgende ville blive fremlagt et nyt forslag til godkendelse på baggrund dels af en forventet vejledning fra Datatilsynet til sikkerhedsbekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger dels af Kommunedatas undersøgelse af sikkerheden i Københavnernettet som led i en opfølgning på kommunens IT-strategi.

På baggrund heraf og på baggrund af de indtil nu indhøstede erfaringer med administration af den nye Persondatalov samt Revisionsdirektoratets undersøgelser af IT-anvendelsen i Københavns Kommune er vedlagte forslag til Regulativ vedrørende IT-sikkerheden i Københavns Kommune (Sikkerhedsregulativet) udarbejdet. I Sikkerhedsregulativet er samtidig indarbejdet ændringer i konsekvens af beslutningen om ophør med bydelsforsøget med udgangen af 2001, hvorefter forsøgsbydelene ikke længere er en del af kommunens IT-sikkerhedsorganisation..

Det fremgår af Datatilsynets vejledning om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, at den dataansvarlige myndighed skal fastsætte nærmere bestemmelser om IT-sikkerhedsforanstaltninger til uddybning af de regler, der fremgår af bekendtgørelsen. I Københavns Kommune er Borgerrepræsentationen den dataansvarlige myndighed.

IT-sikkerhedsbestemmelserne omfattede tidligere hovedsagelig sikkerheds- og kontrolforanstaltninger i forbindelse med beskyttelse af personoplysninger i medfør af Persondataloven og tidligere i medfør af registerlovgivningen.

Hertil kommer, at det ud fra en revisionsmæssig synsvinkel er væsentligt at fokusere på IT-sikkerheden med henblik på at mindske den potentielle risiko for misbrug.

Derfor er IT-sikkerhedsbestemmelserne i det vedlagte forslag til nyt sikkerhedsregulativ udvidet til at omfatte IT-sikkerheden generelt, og der fokuseres mere på IT-ledelse og IT-anvendelse.

Sikkerhedsregulativet gælder for enhver dataanvendelse og –behandling, der foretages som led i Københavns Kommunes forvaltning. Dette gælder uanset behandlingen sker internt i kommunen, hos en ekstern databehandler på vegne af Københavns Kommune og uanset databehandlingen sker på en fast opkoblet PC på arbejdspladsen, på en bærbar eller på PC-hjemmearbejdspladsen e.l.

Københavns Kommunes IT-sikkerhedspolitik og tilhørende Sikkerhedsregulativ har derfor til formål at sikre et niveau for kvalitet og sikkerhed, der er i overensstemmelse med den til enhver tid gængse praksis i Danmark for offentlige og private virksomheder, som behandler data af væsentlig økonomisk og forvaltningsmæssig karakter for den offentlige sektor. Formålet opfyldes ved:

• at sikre kommunens og hermed borgernes data imod uvedkommende adgang og misbrug,
• at beskytte Københavns Kommunes IT-systemer og andre IT-aktiviteter af væsentlig økonomisk og forvaltningsmæssig betydning,
• at data behandles med den fornødne fortrolighed, herunder at den enkelte borgers retsbeskyttelse og integritet ikke krænkes samt
• at sikre kommunens systemer imod datatab.

Formålet sikres gennem opfyldelse af basale og skærpede krav til IT-sikkerheden, som er beskrevet i Datatilsynets sikkerhedsbekendtgørelse og Dansk Standards norm for edb-sikkerhed, der er anvendt som grundlag for det vedlagte forslag til sikkerhedsregulativ.

Der er ved opbygning af sikkerhedsorganisationen tilstræbt adskillelse af udførende og kontrollerende funktioner, ligesom der er tilstræbt uafhængighed af nøglepersoner ved udpegning af stedfortrædere for disse.

Københavns Kommunes IT-sikkerhedspolitik godkendes af Borgerrepræsentationen er afhængig af en lang række informationer (data). Det er derfor vitalt at sikre disse informationers tilgængelighed, integritet og fortrolighed. Hertil kommer borgernes krav på retsbeskyttelse og integritet i medfør af Persondatalovens bestemmelser.

Økonomiudvalget varetager i medfør af Styrelsesvedtægtens § 12, stk. 6, den umiddelbare forvaltning af kommunens IT-forhold. Dette medfører, at Økonomiudvalget har det overordnede tilsyn med og koordinerer sikkerhedsbestemmelserne i alle forvaltningerne samt fastsætter minimumsbestemmelser som supplement til Sikkerhedsregulativet.

Det daglige ansvar for tilsynet med sikkerhedsbestemmelserne varetages af Borgerrepræsentationens Sekretariat og er dermed adskilt fra de øvrige IT-opgaver.

IT-sikkerheden er et fælles anliggende for kommunens forvaltninger. Den enkelte forvaltnings ledelse tilrettelægger IT-sikkerheden inden for eget forvaltningsområde. Det sker efter beslutning i vedkommende udvalg udfra en risikoanalyse, herunder vurdering af væsentlighed og risiko, inden for rammerne af de overordnede IT-sikkerhedsbestemmelser. Ledelsen medvirker til IT-sikkerhedens gennemførelse, herunder opfølgning på sikkerhedsmæssige hændelser, og sikrer sammenhæng til kommunens IT-strategi.

Det daglige IT-sikkerhedsarbejde udføres af sikkerhedslederne, der er udpeget af overborgmesteren henholdsvis den enkelte borgmester, som leder IT-sikkerhedsarbejdet inden for hver deres udvalgsområde.

Sikkerhedslederne er ansvarlige for udmøntning af Sikkerhedsregulativets bestemmelser i interne sikkerhedsinstrukser og lokale forretningsgange, hvis specifikke administrative forhold kræver det. Sikkerhedslederne skal løbende vurdere brud på IT-sikkerheden, herunder sikre at der sker opfølgning på sikkerhedsmæssige hændelser, eksempelvis ved uautoriserede adgangsforsøg og uautoriseret anvendelse.

Ledelsen i den enkelte forvaltning og kontraktstyrede virksomhed udpeger "IT-ansvarlige", der har ansvaret for, at den teknik, der understøtter forvaltningens IT-anvendelse og forvaltningens IT-sikkerhed, er i overensstemmelse med Sikkerhedsregulativets bestemmelser.

Ingen medarbejder eller grupper af medarbejdere i kommune eller hos kommunens IT-leverandører og eksterne databehandlere eller de pågældende firmaer er hævet over sikkerhedsbestemmelserne.

I overensstemmelse med ovenstående er IT-sikkerhedsorganisationen skitseret i nedenstående diagram

Overborgmesteren og den enkelte borgmester afgiver en årsberetning om sikkerhedsarbejdets forløb inden for hver deres område. Vedkommende udvalg orienteres om årsberetningen forinden den forelægges for Økonomiudvalget og Borgerrepræsentationen.

Den enkelte forvaltnings ledelse har ansvaret for, at der ved mistanke om eller brud på IT-sikkerheden iværksættes de nødvendige undersøgelser, og at der på baggrund af undersøgelsens resultat, sker de nødvendige tiltag til forbedring af IT-sikkerheden.

Vedrørende IT-sikkerhedsbrud skal Økonomiudvalget – afhængig af sagens karakter – orienteres herom og om de foranstaltninger, der konkret er iværksat. Sager vedrørende IT-sikkerhedsbrud medtages i årsberetningen.

Sikkerhedsregulativet revurderes én gang om året, jfr. § 5, stk. 2, i sikkerhedsbekendtgørelsen, af Økonomiudvalget i forbindelse med udvalgets behandling af årsberetningen om IT-sikkerhedsarbejdets forløb.

De overordnede krav til IT-sikkerhedsforanstaltningerne er nærmere beskrevet i Datatilsynets vejledning til Sikkerhedsbekendtgørelsen og er udmøntet i Sikkerhedsregulativet og de supplerende minimumsbestemmelser. Kravene gælder for IT-udstyr, programmel, netværk, PC'ere og kommunikationsforbindelser samt driftsafvikling.

Uddybning heraf skal beskrives i sikkerhedsinstrukser og –forskrifter for de enkelte forvaltninger.

De overordnede IT-sikkerhedsmæssige krav omfatter blandt andet:

• identifikation af brugere
• sikring af kommunikationsforbindelser
• brug af elektroniske postsystemer og Internettet
• fysisk sikkerhed
• forsikringsdækning
• nødberedskab.

De sikkerhedsmæssige krav er også gældende for PC-arbejdspladser, der etableres/anvendes uden for Københavns Kommunes lokaliteter, herunder bærbare PC'ere.

Endvidere skal der stilles krav til leverandører af IT-udstyr, herunder til behandling af data i forbindelse med reparation, service, salg og kassation af IT-udstyr.

Der skal for alle Københavns Kommunes IT-systemer – såvel for de egenudviklede som for de såkaldte "købesystemer" – foreligge en beskrivelse af det enkelte systems funktionalitet. Denne beskrivelse skal omfatte systemets sikkerhedsløsning, herunder også den funktionalitet, som er implementeret for at sikre kvalitet og integritet i systemets datagrundlag.

Der skal udarbejdes forretningsgange for driftsafvikling af de enkelte IT-systemer, der sikrer mod misbrug og uautoriseret behandling af data, herunder etablering af backup foranstaltninger.

Såfremt forvaltningerne benytter andre net end KK-nettet gælder samme sikkerhedsniveau og –bestemmelser for disse net som for KK-nettet.

Al adgang til IT-systemer, servere, netværk og PC'ere m.v., hvori Københavns Kommunes informationer (data) behandles, skal være betinget af konkrete autorisationer fra en sikkerhedsleder. Al adgang til systemerne forudsætter en entydig brugeridentifikation og et personligt kendeord, som er fortroligt.

Administrationen af adgang til IT-systemerne skal være enkel og overskuelig.

Den enkelte sikkerhedsleder skal løbende kontrollere, at de autoriserede personer opfylder betingelserne for de tildelte autorisationer, og alle afviste adgangsforsøg skal registreres.

Det skal i hver enkelt forvaltning sikres, at IT-ydelser kan retableres betids og i fornødent omfang i tilfælde af helt eller delvist bortfald af IT-faciliteter.

Foranstaltninger til sikring af data mod tilintetgørelse og tab i tilfælde af krig eller katastrofer, brand- eller vandskader e.l. er fastlagt i Plan for det civile beredskab i Københavns Kommune.

Enhver medarbejder har ansvar for at sætte sig ind i og efterleve Københavns Kommunes IT-sikkerhedsbestemmelser med tilhørende instrukser m.v.

Sikkerhedsregulativet med bilag skal udleveres til samtlige medarbejdere, der i forbindelse med det daglige arbejde anvender IT. Medarbejderen skal have den fornødne uddannelse til at sikre indsigt i kommunens IT-sikkerhedsbestemmelser, herunder fornøden instruktion om IT-sikkerheden i praksis, så medarbejderen ikke er i tvivl om retningslinierne herfor.

Sikkerhedsbestemmelserne gøres tilgængelige på Københavner-nettet, således at medarbejderne på en enkelt og overskuelig måde kan søge oplysninger inden for de enkelte områder af IT-sikkerhedsbestemmelserne.

Der gælder særlige IT-sikkerhedsbestemmelser for Statistisk Kontor, Revisionsdirektoratet og Stadsarkivet til løsning af de konkrete opgaver:

Statistisk Kontor er kommunens centrale statistikproducent og udarbejder statistikker, prognoser m.v. for samtlige forvaltninger. Medarbejdere i Statistisk Kontor har derfor – i det omfang det er nødvendigt for løsning af de konkrete opgaver – adgang til alle relevante data i kommunens IT-systemer og kan foretage yderligere behandling af disse.

Revisionsdirektoratet er ansvarlig for revision m.v. af kommunens virksomhed og har med henvisning til Styrelseslovens § 42 adgang til alle data i kommunens IT-systemer, herunder adgang til at foretage alle former for udtræk samt adgang til systemdokumentation, driftsplaner m.v. for alle kommunens IT-systemer.

IT-arkivalier, der er bestemt til bevaring, opbevares i Stadsarkivet. Arkiveringsversionen skal opfylde Statens Arkivers systemkrav og de bestemmelser om anmeldelse og godkendelse samt aflevering af elektroniske arkivsystemer, der er fastsat af Økonomiudvalget.

Stadsarkivaren skal sikre overensstemmelse med Persondatalovens bestemmelser om elektronisk arkivering.

Lov om behandling af personoplysninger, Lov nr. 429 af 31. maj 2000, trådte i kraft den 1. juli 2000 og erstattede den tidligere registerlovgivning.

Loven har til formål – på baggrund af et EF-direktiv fra 1995 – at gennemføre en ny generel databeskyttelsesretlig regulering og gælder for behandling af personoplysninger, som foretages af private og offentlige myndigheder, herunder Københavns Kommune.

Loven gælder først og fremmest behandling af personoplysninger, som sker ved hjælp af elektronisk databehandling, men også hvis oplysningerne skal indgå i et manuelt register.

Københavns Kommunes IT-sikkerhedspolitik, som er udmøntet i Sikkerhedsregulativet med supplerende minimumsbestemmelser, omfatter derfor både Persondatalovens §§ 41 – 42, den tilhørende bekendtgørelse nr. 528 af 15. juni 2000 samt Datatilsynets vejledning nr. 37 af 2. april 2001 og IT-sikkerhedsbestemmelser af generel karakter til sikring af kommunens data og udstyr.

IT-sikkerhedsorganisationen og Sikkerhedsregulativet med de supplerende minimumsbestemmelser, herunder forvaltningsspecifikke sikkerhedsinstrukser m.v., skal derfor til enhver tid kunne håndtere bestemmelserne i Persondataloven på en hensigtsmæssig måde samtidig med at der opretholdes en høj IT-sikkerhedsmæssig standard.

Beslutningsprocessen i kommunen vedrørende behandling af personoplysninger og anmeldelse heraf til Datatilsynet skal ske ud fra såvel administrative som politiske hensyn. Beslutningskompetencen om behandling af personoplysninger er derfor lagt i Økonomiudvalget og de stående udvalg. De uddybende bestemmelser om sikkerhedsforanstaltninger i de enkelte forvaltninger i henhold til Sikkerhedsregulativet fastsættes af vedkommende borgmester.

Endelig skal borgernes rettigheder vedrørende indsigt i de data, der behandles om vedkommende, sikres på måde, der er hensigtsmæssig for borgerne, ligesom kommunens oplysningspligt over for borgerne om kommunens behandlinger af personoplysninger skal kunne opfyldes tilsvarende, både på traditionel vis ved hjælp af skrivelser og blanketter m.v. og på sigt gennem elektronisk borgerservice.

Det er den generelle opfattelse, at IT-området i Københavns Kommune – under hensyntagen til kommunens størrelse – gennem de forløbne år siden registerlovgivningens og senest Persondatalovens ikrafttræden ikke har været præget af væsentlige problemer.

Det nye sikkerhedsregulativ er derfor udarbejdet med udgangspunkt i de indhøstede erfaringer på området siden Persondatalovens ikrafttræden. Der er som udgangspunkt lagt op til en bevarelse af det i forvejen høje sikkerhedsniveau i kommunen, men med en styrkelse af sikkerhedsforanstaltningerne i takt med udbygningen af kommunikationsforbindelser, herunder Københavner-nettet, og den øgede IT-anvendelse generelt i kommunen.

Balancepunktet mellem på den ene side kommunens legitime behov for udvikling og anvendelsen af IT-systemer og en administration, der kan fungere i praksis, og på den anden side beskyttelsen af kommunens IT-systemer og data og den enkelte borgers integritet skal findes. I den forbindelse skal sikkerhedsregulativet fremstå som et brugbart redskab til den daglige administration af sikkerhedsbestemmelserne og opfølgning på sikkerhedshændelser samt medvirke til den fortsatte koordinering af IT-sikkerhedsbestemmelserne, også i forhold til kommunens IT-strategi.

Det nye sikkerhedsregulativ udgør sammen med nærværende indstilling Københavns Kommunes IT-sikkerhedspolitik.

Ansvaret for behandling af data i IT-systemerne i forbindelse med færdiggørelsen af de opgaver, der resterer i forsøgsbydelene efter 1. januar 2002, påhviler den forvaltning, der har ansvaret for løsning af de konkrete opgaver. Forvaltningens sikkerhedsleder har følgelig det IT-sikkerhedsmæssige ansvar herfor.

-

-

-

• Forslag til Regulativ vedrørende IT-sikkerheden i Københavns Kommune med tilhørende bilag.

Erik Jacobsen