Nyt it-sikkerhedsregulativ i Københavns Kommune

Borgerrepræsentationen skal godkende et nyt it-sikkerhedsregulativ. Regulativet er baseret på en international standard, der bl.a. giver kommunen en mere fleksibel tilgang til it-sikkerhed, hvor sikkerhedsniveau i højere grad kan afstemmes med konkrete sikkerhedsrisici.

Indstilling om,

1. at it-sikkerhedspolitik for Københavns Kommune med tilhørende it-sikkerhedsregulativ godkendes.

(Økonomiudvalget)

Regeringen har besluttet, at alle statslige institutioner senest i 2013 skal overgå til en ny standard for arbejde med it-sikkerhed. Standarden, som er internationalt anvendt, kaldes ISO 27001. Staten har anbefalet, at kommunerne også overgår til denne standard.

Københavns Kommunes nuværende regulativ for it-sikkerhed er baseret på statens hidtidige fælles standard kaldet DS 484. Mens denne standard har en forholdsvis rigid tilgang til it-sikkerhedsarbejdet, har den nye standard en mere pragmatisk tilgang.

Kommunen har nogle vigtige strategiske sigtepunkter i forhold til at levere nye elektroniske ydelser, f.eks. udmøntningen af den fællesoffentlige digitaliseringsstrategi med flere selvbetjeningsløsninger til borgerne og muligheden for at give borgerne nemmere og bedre tilgængelighed til kommunen via f.eks. apps. Også effektivisering af kommunens administration ved brug af selvbetjeningsløsninger, som udnytter kommunens it-systemer mere effektivt, er vigtige udviklingsområder. Den nuværende it-sikkerheds­organisering og it-sikkerhedsreglerne kan vanskeligt rumme og håndtere den ændrede tilgang til teknologi og data, som den offentlige sektor står overfor.

Derfor følger Københavns Kommune statens anbefaling om at revidere it-sikkerheds­reglerne for at opnå en mere fleksibel og pragmatisk tilgang til arbejdet med it-sikkerhed.

De nye it-sikkerhedsregler er udarbejdet, så de bedst muligt understøtter, at kommunen kan tilpasse sig borgernes krav og behov, samt en tillid til at ledere og medarbejdere selv er istand til at agerer hensigtsmæssigt i forhold til IT-sikkerhed.

De nye reviderede it-sikkerhedsregler består af tre elementer, der under ét kaldes ”it-sikkerhedshåndbogen”:

• It-sikkerhedspolitikken, der fastlægger formål med og rammer for it-sikkerhed
• It-sikkerhedsregulativet, der beskriver organisering af arbejdet, samt rolle- og ansvarsfordeling, dvs. hvordan man organisatorisk udmønter it-sikkerheds­politikken
• It-sikkerhedsreglerne, der uddyber og fortolker sikkerhedsregulativet gennem konkrete anvisninger. Reglerne er en udmøntning af it-sikkerhedspolitikken i faktiske regler og procedurer.

Organisatorisk ramme

Det er fortsat den enkelte borgmester, som overfor Økonomiudvalget og Borgerrepræsentationen, har ansvaret for it-sikkerhed inden for hver deres forvaltningsområde. Forvaltningerne udmønter de konkrete it-sikkerheds­bestemmelser og har bl.a. ansvar for

• at fastlægge it-sikkerhedsniveau og gennemføre risikovurderinger inden for forvaltningen
• at iværksætte foranstaltninger for at opnå tilstrækkelig it-sikkerhed
• at koordinere it-sikkerhedsarbejdet med Koncernservice
• at udpege systemejere til forvaltningens it-systemer

Koncernservice varetager administrationen af it-sikkerhedsbestemmelserne og fastlægger it-sikkerhedsreglerne efter fagforvaltningernes behov. Koncernservice kan endvidere give dispensationer fra it-sikkerhedsreglerne. It-sikkerhedsfunktionen er som hidtil placeret i Koncernservice og har bl.a. til opgave at koordinere it-sikkerhedsarbejdet i kommunen og har et overordnet kontrolansvar ift. overholdelsen af it-sikkerheds­reglerne.

It-sikkerhedspolitikken og –regulativet fastsættes af Borgerrepræsentationen og it-sikkerhedsreglerne fastlægges af Økonomiudvalget. Ændringer af it-sikkerhedsreglerne delegeres til Koncernservice, så vidt som ændringerne ikke har væsentlig indflydelse på it-sikkerhedsniveauet eller ikke har økonomiske konsekvenser for forvaltningerne. Uenigheder om hvorvidt en ændring ligger uden for delegeringens rammer forelægges Økonomiudvalget.

 
Principperne i de nye it-sikkerhedsbestemmelser

De nye it-sikkerhedsbestemmelser betyder ikke, at kommunen fuldstændig skal ændre it-sikkerhedsarbejdet. Imidlertid ændres it-sikkerhedsarbejdets fokus på tre områder, idet der i overensstemmelse med standarden tages udgangspunkt i, at it-sikkerheds­arbejdet skal baseres på

• en ledelsesforankret,
• en forretningsorienteret, og
• en risikovurderingsbaseret tilgang til it-sikkerhed.

Rollerne i it-sikkerhedsarbejdet er blevet forenklet, og tager udgangspunkt i ovenstående principper. Ansvarsfordelingen mellem forvaltningerne og Koncernservice er tydeliggjort, og der er på flere områder sket en modernisering af rollerne. F.eks. fremgår det, at systemejere skal udføre rollen ud fra en helhedsbetragtning, så systemejerskabet ikke kun handler om it-sikkerhed, men at systemejerne også har ansvar for at indarbejde forretningsmæssige behov og en løbende forbedring og effektivisering af anvendelsen af it-systemerne. Samtidig giver regulativet mulighed for at skalere systemejerrollen ift. til størrelsen og kritikaliteten af systemet, så små og helt ukritiske systemer i kommunen blot skal have en vidensperson tilknyttet, hvilket vil forenkle administrationen af systemerne.

Ledelsens rolle og ansvar er også tydeliggjort og styrket i regulativet, og det fremgår nu mere klart, hvilken rolle lederen spiller i tilrettelæggelsen og udførelsen af it-sikkerheds­arbejdet. Direktionerne i forvaltningerne har fortsat ansvar for at tilrettelægge it-sikkerhedsarbejdet i forvaltningerne, og endvidere har ledere på alle niveauer i kommunen ansvar for at indarbejde og udmønte it-sikkerhed som en del af ledelsesopgaven.

 
Mere fleksible regler

Københavns Kommune ønsker, at det nye regulativ skal give mere fleksibilitet i kommunens tilgang til it, og at regelsættet i højere grad dels kan tilgodese konkrete forretningsmæssige behov og dels kan afstemme it-sikkerhedsindsatsen ud fra en given vurdering af risiko.

Der er i udarbejdelsen af it-sikkerhedsreglerne lagt vægt på, at de skal være nemme at anvende i praksis og give et tilstrækkeligt råderum til at afstemme den enkelte fagforvaltnings behov for at fastlægge det rigtige sikkerhedsniveau uden at kommunens generelle it-sikkerhedsniveau kompromitteres. Der gælder derfor fortsat et højt sikkerhedsniveau ift. personfølsomme og fortrolige data samt ift. væsentlige værdidata.

De senere års erfaringer og ønsker til lempelser og ændringer i sikkerhedsreglerne er indarbejdet, hvor det sikkerhedsmæssigt er forsvarligt. Det gælder f.eks. regler, hvor de administrative omkostninger ikke står mål med risikoen, eller hvor den teknologiske udvikling giver nye muligheder.

Som eksempler på fornyelser og ændringer i it-sikkerhedsreglerne kan nævnes:

• Mere smidig tilgang til at administrationen af adgangskoder, så det er nemmere og hurtigere at tilgodese nye medarbejdere
• Der er indarbejdet muligheden for at benytte to-faktorlogin, dvs. at man f.eks. kan benytte SMS-koder eller id-kort
• Sikker e-mail korrespondance med borgerne er beskrevet, så det understøtter den fællesoffentlige digitaliseringsstrategi
• Kommunens brug af sociale netværkstjenester er nu indarbejdet, så det er klart hvad kommunen ikke bør offentliggøre på sådanne medier
• Den tekniske udvikling på området for mobile enheder er indarbejdet i sikkerhedsreglerne, så det er smidigere at tilgodese nye løsninger og behov. Der er fastlagt nogle rammebetingelser for hvordan mobile enheder kan benyttes på kommunens netværk og konkrete regler fastlægges fremover i forretningsgange og ikke ved regelændringer
• Sikkerhed ift. indkøb og nyudvikling af systemer er mindre detailstyret, og der nu sondres nu mellem større, kritiske systemer og små helt ukritiske systemer

Overordnet set er der ved udarbejdelsen af it-sikkerhedshåndbogen lagt vægt på, at kommunens sikkerhedsmæssige indsats skal afvejes med konkrete risiko- og nyttehensyn samtidig med kommunens samlede it-sikkerhedsniveau løbende skal forbedres.

Værdien for kommunen i den nye it-sikkerhedshåndbog skabes bl.a. gennem:

• Vurdering af risiko og indsats forankres i ledelsen i fagforvaltningerne. Det giver bedre mulighed for at prioritere indsatsen og skal sikre, at der kommer større fokus på at lægge et tilstrækkeligt højt sikkerhedsniveau på de særligt kritiske områder, mens indsatsen kan nedprioriteres for helt ukritiske områder uden at sikkerheden i øvrigt kompromitteres. It-sikkerhed kan derved bedre tilpasses forretningens behov og give reel værdi for forvaltningerne
• Mere smidige godkendelses- og kontrolprocedurer gør det nemmere og hurtigere at implementere nye løsninger og få passende it-sikkerhedstiltag på plads
• Et større fokus på formidling og skabelse af bedre bevidsthed hos den enkelte medarbejder om it-sikkerhed vil på sigt højne it-sikkerhedsniveauet i kommunen.

Ændringerne i it-sikkerhedsbestemmelserne har været gennem to høringsrunder i forvaltningerne, samt drøftet med BR-sekretariatet.

Ændringerne i it-sikkerhedsregulativet fjerner en række administrative byrder på IT-området i forvaltningerne. Der er ikke foretaget økonomiske beregninger af lettelserne.

Når it-sikkerhedshåndbogen er godkendt af Borgerrepræsentationen igangsætter it-sikkerhedsfunktionen følgende tiltag:

1. It-sikkerhedshåndbogen gøres tilgængelig på intranettet.
2. Der gennemføres en informationskampagne for udvalgte grupper af ansatte i kommunen om de nye it-sikkerhedsregler.
3. Det gennemføres konkrete vurderinger af i hvilket omfang it-sikkerhedsniveauet skal ændres for udvalgte områder i kommunen.

Økonomiforvaltningen indstiller, at Økonomiudvalget over for Borgerrepræsentationen anbefaler,

1. at it-sikkerhedspolitik for Københavns Kommune med tilhørende it-sikkerhedsregulativ godkendes.

Økonomiforvaltningen indstiller over for Økonomiudvalget,

2.    at uddybende it-sikkerhedsregler for Københavns Kommune godkendes med forbehold for Borgerrepræsentationens godkendelse af 1. at-punkt.

Økonomiudvalgets beslutning i mødet den 30. april 2013

Indstillingens 1. at-punkt blev anbefalet uden afstemning.

Indstillingens 2. at-punkt blev med forbehold for Borgerrepræsentationens godkendelse af 1. at-punkt godkendt uden afstemning.

Indstillingen blev godkendt uden afstemning.