KØBENHAVNS KOMMUNE
KØBENHAVNS KOMMUNE
Kultur- og Fritidsforvaltningen
Koncessionskontrakt
Koncessionskontrakt vedr. ekspeditionen af pas, kørekort og øvrige borgerserviceopgaver.
Københavns Kommune
Kultur- og Fritidsforvaltningen
Bilag 9c
IT-sikkerhedsdokumenter
Bilag 9c 1
KØBENHAVNS KOMMUNE
Kultur- og Fritidsforvaltningen
Koncessionskontrakt
1 Indhold
IT-Sikkerhedsregler for Københavns Kommune Fejl! Bogmærke er ikke defineret.
1. Interne organisatoriske forhold 4
1.1 Organisering af aftaler med eksterne samarbejdspartnere 4
1.3 Klassifikation af information og data 5
1.3.1 Klassifikation af informationer og data 5
1.4 Medarbejdersikkerhed 6
1.1.2. Ansættelse af medarbejdere 6
1.1.3. Under ansættelsesforholdet 6
1.1.4. Ved ansættelsesforholdets ophør 6
1.5 Fysisk sikkerhed 7
1.1.5. Sikre områder 7
1.1.6. Kontrollerede områder 8
1.1.7. Områder med borgeradgange og ubemandede områder 8
1.1.8. Beskyttelse af udstyr 8
1.6 Styring af kommunikation og drift 9
1.1.9. Driftsafviklingsprocedurer 9
1.1.10. Håndtering af eksterne samarbejdspartnere 10
1.1.11. Kapacitetsstyring 10
1.1.12. Skadevoldende programmer og ondsindet kode 11
1.1.13. Backup 11
1.1.14. Netværkssikkerhed 12
1.1.15. Håndtering af databærende medier 13
1.1.16. Informationsudveksling 13
1.1.17. Elektronisk handel og betaling 14
1.1.18. Logning og overvågning 14
Bilag 9c 2
KØBENHAVNS KOMMUNE
Kultur- og Fritidsforvaltningen
Koncessionskontrakt
1.7 Adgangsstyring, brugerrettede politikker med mere 16
1.1.19. Forretningsmæssige krav og ansvar 16
1.1.20. Administration af brugeradgange 16
1.1.21. Xxxxxxxxxxxxx politikker 18
1.1.22. Netværksadgange 21
1.1.23. Styring af systemadgange 21
1.1.24. Fjernarbejdspladser 22
1.8 Anskaffelse, udvikling og vedligeholdelse af informationssystemer 23
1.1.25. Sikkerhed i forhold til indkøb og nyudvikling af større systemer 23
1.1.26. Korrekt informationsbehandling 23
1.1.27. Kryptografi 24
1.1.28. Styring af systemfiler og programkildekode i større driftsmiljøer 24
1.1.29. Sikkerhed i udviklings- og hjælpeprocesser 25
1.1.30. Teknisk sårbarhedsstyring 25
1.9 Styring af IT-sikkerhedshændelser 26
1.10 Beredskabsstyring 27
1.11 Overensstemmelse med krav og politikker 27
Bilag 9c 3
KØBENHAVNS KOMMUNE
Kultur- og Fritidsforvaltningen
Koncessionskontrakt
1. INTERNE ORGANISATORISKE FORHOLD
De interne organisatoriske forhold er fastsat i "Regulativ for it-sikkerhed i Københavns Kommune". Beskrivelsen omfatter alle forvaltningerne. F.eks. beskrives ansvar/opgaverne for direktion, It- sikkerhedsfunktion, systemejer, den Driftsansvarlige, Brugeradministrationen, Autorisationsansvarlige, ledere og medarbejdere.
1.1 ORGANISERING AF AFTALER MED EKSTERNE SAMARBEJDSPARTNERE
Ved indgåelse af aftaler med eksterne samarbejdspartnere er systemejeren ansvarlig for at sikre at samarbejdspartneren underskriver en tavshedspligtserklæring, hvis samarbejdspartneren som led i samarbejdet får adgang til kommunens netværk.
Ved indgåelse af aftaler med eksterne samarbejdspartnere, der indebærer, at samarbejdspartneren skal foretage databehandling på kommunens vegne, skal der for større systemer indgås en databehandleraftale, hvis indhold er i overensstemmelse med en af IT-sikkerhedsfunktionen udarbejdet skabelon. Databehandleraftalen sikrer at den eksterne samarbejdspartner ved hvilke regler han skal overholde og at han har tavshedspligt. IT-sikkerhedsfunktionen kan dog godkende at der anvendes andre databehandleraftaler.
Udveksling af person- og værdioplysninger i form af udtræk fra et system til et andet skal ske i henhold til retningslinjer udarbejdet af systemejeren.
1.2 STYRING AF AKTIVER
De væsentlige aktiver hos kommunen er grupperet i kategorier, således at ansvar for disse aktiver kan decentraliseres.
x IT-systemaktiver og informationer. F.eks. driftssystemer, forretningssystemer, m.m.
x Slutbruger aktiver. F.eks. udstyr til arbejdspladser
x Mobilt IT-udstyr. F.eks. telefoner, Smartphones, tablets, mm.
x Infrastruktur og netværk. F.eks. Netværk, kabling, mm.
x Servere. Dette omfatter elementer til serverdrift såsom hardware, SAN, UPS, mm.
x Print/multifunktionsenheder. Omfatter printere, fax, kopi, scan, mm.
x Alle væsentlige IT-systemer skal dokumenteres i kommunens systemfortegnelse FISKK hvilket er systemejernes ansvar.
Bilag 9c 4
KØBENHAVNS KOMMUNE
Kultur- og Fritidsforvaltningen
Koncessionskontrakt
x Systemejerne for kritiske systemer er ansvarlige for at der sker ajourføring af driftsplaner og godkendelse af disse.
x Ansvar for administrering og ajourføring af IT-aktiver ligger hos den forretningsenhed, der varetager driften af de pågældendes It-aktiver.
1.1.1.1. Fortegnelse over IT-aktiver
x I samarbejde med forvaltningerne definerer Koncern Service hvilke typer af IT-aktiver, der anses for hhv. kritiske og væsentlige.
x Som led i risikovurderingen skal IT-sikkerhedsfunktionen sikre, at der til enhver tid findes en ajourført fortegnelse over alle væsentlige IT- og informationsaktiver.
x Koncern Service har ansvaret for at der føres lister over væsentlige IT-aktiver.
x Der skal tages stilling til arkivering og eventuel sletning af oplysninger.
x Placering af kritiske IT-aktiver skal registreres, herunder placering i sikre områder.
1.1.1.2. Ejerskab til information
Kommunen ejer alle ikke private informationer, som lagres i kommunens IT-systemer, herunder på medarbejdernes IT-udstyr, og forbeholder sig ret til inden for lovens grænser frit at anvende disse informationer.
1.3 KLASSIFIKATION AF INFORMATION OG DATA
Klassifikationen af data hos kommunen tager udgangspunkt de lovmæssige krav der er gældende for personoplysninger og Justitsministeriets Bekendtgørelse om IT-sikkerhed nr. 528. Der er ydermere foretaget en klassifikation af data i forhold til interne oplysninger, hvoraf nogle vil blive vurderet som fortrolige.
1.3.1 Klassifikation af informationer og data
Personoplysninger, fortrolige/følsomme. Omfatter etnisk tilhørsforhold, religion, sociale forhold, straffeforhold, helbredsoplysninger m.m.
Personoplysninger, almindelige. Kan indeholde identificerbare oplysninger: Det være sig navn, adresse, e- post, telefonnumre, mm.
Værdioplysninger. Oplysninger der har en væsentlig økonomisk eller forvaltningsmæssige værdi for kommunen, og hvor offentliggørelse vil forårsage væsentlige skade på Københavns Kommunens forvaltning, omdømme eller økonomi. Det gælder f.eks. visse økonomidata, data om IT-infrastruktur, fortrolige forretningsplaner eller udbudsmateriale.
Bilag 9c 5