Oslo kommune Byrådsavdeling for finans og næring

Transkript

1 Oslo kommune Byrådsavdeling for finans og næring B rådssak /10 REGLEMENT FOR INFORMASJONS- OG KOMMUNIKASJONSTEKNOLOGI OG INFORMASJONSSIKKERHET I OSLO KOMMUNE Sammendrag: Dagens organisering av informasjons- og kommunikasjonsteknologi (IKT) er regulert i instruks av , jf. byrådssak 1052/05. I 2008 ble det foretatt en ekstern gjennomgang av IKT - området. Det ble avdekket svakheter til både hvordan styring, ledelse, samordning, koordinering på IKT -området er og til hvordan informasjonssikkerheten ivaretas. På bakgrunn av dette er det utarbeidet et utkast til nytt reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet i Oslo kommune. Reglementet skal sikre og ivareta at Oslo kommune som helhet skal ha en formålstjenelig og kostnadseffektiv bruk av informasjons- og kommunikasjonsteknologi. Reglementet skal videre ivareta kravene til informasjonssikkerhet og støtte definerte behov i kommunens virksomheter. Reglementet har vært på høring hos kommunens virksomheter og forhandlingssammenslutninger. Det er kommet inn 20 høringsuttalelser. Høringsinstansene er i all hovedsak positive til forslaget. Byråden fremmer i denne sak forslag om nytt reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet i Oslo kommune. Gjeldende IKT - instruks vedtatt i byrådssak 1052/05 foreslås opphevet. Saksfremstilling: 1. Sakens bakgrunn Dagens organisering av informasjons- og kommunikasjonsteknologi (IKT) er regulert i instruks av , jf. byrådssak 1052/05. I 2008 ble det foretatt en ekstern gjennomgang av IKT- området. Det ble avdekket flere svakheter både til hvordan styring, ledelse, samordning, koordinering på IKT - området er og til hvordan kommunen ivaretar kravene til informasjonssikkerhet. På bakgrunn av dette er det utarbeidet et forslag til nytt regelverk; reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet (heretter kalt reglementet). Reglementet skal sikre og ivareta at Oslo kommune som helhet skal ha en formålstjenelig og kostnadseffektiv bruk av informasjons- og kommunikasjonsteknologi. Reglementet skal videre ivareta kravene til informasjonssikkerhet og støtte definerte behov i kommunens virksomheter. Saksnr.: _34

2 Side 2 Oversikt over bestemmelsene i utkast til reglement for informasjons og kommunikasjonsteknologi og informasjonssikkerhet for Oslo kommune I reglementet er det foreslått et hierarki for IKT styring og - ledelse og informasjonssikkerhet, med nivåene byrådet, byråden for finans, byrådsavdelingene og virksomhetene. Denne inndelingen skal gi klare fullmakts-, ansvars- og oppgaveforhold. Det er også gitt bestemmelser om samhandling og koordinering mellom de ulike nivåene og rollene. Ansvaret for informasjonssikkerhet er i reglementet klargjort på alle nivåer sammen med IKT - styring og - ledelse. Kapittel 1 gir regler om formålet, virkeområdet og definerer viktige begreper som anvendes i reglementet ( 1 og 2). Kapittel 2 gir bestemmelser om at byråden for finans har det overordnet ansvaret for IKT styring og - ledelse og informasjonssikkerhet ( 3). Dette innebærer at byråden for finans har det overordnede ansvaret for at kommunen har hensiktsmessige fellessystemer og infrastruktur til støtte for tjenesteproduksjon og virksomhetsprosesser. Dette var ansvar og oppgaver som var lagt til IKT-strateg i Utviklings- og kompetanseetaten, UKE. Byråden for finans har også ansvar for at det legges til rette for elektronisk samhandling internt og eksternt og at det utarbeides en overordnet felles IKT strategi for kommunen. Det anses videre hensiktsmessig at ansvaret for kommunens IKT - arkitektur legges til byråden for finans. I tillegg foreslås det at byråden for finans har fullmakt til, innen rammen av lovgivning og vedtak fattet av overordnet myndighet, å instruere kommunens virksomheter på tvers av linjeorganisasjonen. Eksempler på vedtak fattet av overordnet myndighet kan være Oslo kommunes strategi for informasjons- og kommunikasjonsteknologi og informasjonssikkerhetsinstruksen. Begge disse dokumentene vedtas av byrådet. Hovedregelen er at instrukser skal følge linjen og det å legge fullmakten til byråden for finans er dermed et unntak fra dette. Instrukser skal imidlertid gå via linjen til vedkommende virksomhet. Byråden finner at dette er nødvendig for at kommunen skal få en helhetlig og effektiv bruk av IKT. Uten en slik fullmakt vil avgjørelsene måtte tas av byrådet. Dette vil være tidkrevende, i tillegg til at en stor del av slike saker vil være av teknisk og/eller praktisk karakter. Ved uenighet vil likevel instrukser kunne bringes fram for byrådet av byråden for finans eller vedkommende fagbyråd. Saker som er av stor betydning for kommunens virksomheter og for kommunen som en enhet, skal legges fram for et IKT styringsforum før byråden for finans fatter endelig beslutning ( 12). Er det uenighet i IKT - styringsforum, skal saken legges frem for byrådet for avgjørelse etter en konsensusmodell. Byråden for finans skal i tillegg ha et overordnet ansvar for informasjonssikkerheten i kommunen ( 4). Dette innebærer bl.a. å legge til rette for og følge opp at Oslo kommune som en enhet ivaretar informasjonssikkerhet i henhold til personopplysningsloven, annen lovgivning og kommunens eget regelverk på informasjonssikkerhetsområdet. Kapittel 3 omhandler IKT styring og -ledelse og informasjonssikkerhet i byrådsavdelingene. Det er den enkelte byråds ansvar å sørge for ledelse og styring av IKT innen vedkommende sektor innen rammen av overordnede føringer på IKT-området ( 5). Den enkelte byråd gis fullmakt til å fatte beslutninger og instruere egne virksomheter innen de samme rammer. Spørsmål som berører andre byrådsavdelingers ansvarsområde eller utnyttelse av kommunens felles IKT-ressurser, foreslås også lagt fram for IKTstyringsforum før beslutning fattes ( 12). Eksempel på det sistnevnte kan være Saksu.: _34

3 Side 3 anskaffelser av løsninger som får konsekvenser for kommunens felles infrastruktur. Det må være enighet i IKT -styringsforum for at den enkelte byråd kan benytte sin fullmakt i disse sakene. Ved uenighet skal saken legges frem for byrådet for beslutning. Vedkommende byråd har også ansvar for informasjonssikkerheten i egen sektor ( 6). Byrådsavdelingene skal bl.a. beslutte akseptabel sikkerhetsrisiko basert på innspill fra den enkelte virksomhet i vedkommende sektor. I tillegg vil den enkelte byrådsavdeling måtte delta aktivt i byråden for finans sitt arbeid med tilrettelegging for ivaretakelse av informasjonssikkerheten i kommunen. I kapittel 4 reguleres IKT - styring og - ledelse og informasjonssikkerhet i øvrige virksomheter. Den enkelte virksomhetsleder skal ha ansvar for styring og ledelse av IKT i vedkommende sektor innen rammer gitt på overordnet nivå og på sektornivå ( 7). Virksomhetens oppgaver vil bl.a. være utarbeidelse av egen IKT - strategi, bidra til sektorstrategien, benytte de felles- og sektorsystemer som er valgt, inngå tjenesteavtale med interne leverandør og være systemeier for de systemene virksomheten er utpekt til systemeier for. Videre har virksomhetsleder ansvar for å sørge for drift av virksomhetsspesifikke systemer og infrastruktur som ikke inngår i tjenesteavtalen med intern leverandør. I dagens ordning har det vært noe misnøye med beslutningen om at også virksomhetsspesifikke systemer skal inngå i sentral drift. Den enkelte virksomhetsleder gis derfor fullmakt, på visse vilkår, til å velge å drifte virksomhetsspesifikke systemer selv. For å sikre at alle sider av saken blir belyst skal virksomhetsleder før valg av driftsform besluttes forelegge saken for intern leverandør. Ved uenighet bringes saken inn for byråden for finans, som fatter en beslutning etter forutgående behandling i IKT - styringsforum. Ved uenighet i IKT styringsforum skal spørsmålet legges fram for byrådet til avgjørelse. Den enkelte virksomhetsleder har ansvar for informasjonssikkerhet i egen virksomhet ( 8). Dette innebærer bl.a. at virksomhetsleder har ansvar for å vurdere hva som er akseptabel sikkerhetsrisiko i egen virksomhet og etablere sikkerhetstiltak som står i forhold til den risiko som overordnet byrådsavdeling har besluttet at er akseptabel. Kapittel 5 gir bestemmelser om klassifisering og eierskap til systemer ( 9) for å sikre klarhet i begreper og utøvelse av eierskap til systemer. Kommunens systemer klassifiseres i henhold til kriterier for klassifisering av systemer i virksomhetssystemer, sektorsystemer, tverrsektorielle systemer og fellessystemer. Kapittel 6 regulerer ansvar og oppgaver som systemeier. Begrepet systemeier innføres istedenfor det som i dag kalles faglig premissgiverrolle. Den virksomhet som er systemeier har ansvaret for at systemet til enhver tid deldcer tjenestens behov optimalt, at det er i samsvar med gjeldende lover og regler og at det blir tilpasset ved behov for endringer. Systemeier har videre ansvar for at systemet implementeres. Eierskapet til kjøpsavtale, vedlikeholdsavtale mv. foreslås lagt til systemeier(reglementets 10) i motsetning til i dagens modell hvor eierskapet til vedlikeholdsavtaler ligger til IKT strategrollen. Dette vil samle ansvaret for disse oppgavene til den virksomhet som har det faglige ansvaret for oppgavene. Overføringen av eierskapet til disse avtalene fra Utviklings- og kompetanseetaten til byrådsavdelinger og øvrige virksomheter har startet, i forståelse mellom de ulike virksomhetene. Saksw.: _34

4 Side 4 Kapittel 7 regulerer hvem som skal være intern leverandør og intern leverandørs ansvar og oppgaver. Det anses hensiktsmessig at dette legges til UKE ( 11). Intern leverandør skal sørge for at det leveres funksjonelle og stabile driftstjenester til kommunens virksomheter i henhold til tjenesteavtaler inngått med kommunens virksomheter mv. Sentrale oppgaver vil i den forbindelse bl.a. være å inngå tjenesteavtaler med kommunens virksomheter om hvilke tjenester som skal leveres, servicegrad herunder feilrettingstid, oppetid, endringsarbeid og priser. Intern leverandør skal også inngå, følge opp og fase ut inngåtte avtaler med eksterne driftsleverandører. Konsept for tjenesteavtaler skal behandles av IKT styringsforum med de regler som gjelder for dette. Ved uenighet skal saken legges fram for byrådet for avgjørelse. Ved uenighet om utformingen av enkeltavtaler mellom intern leverandør og en enkelt virksomhet kan uenigheten bringes fram for byrådet av byråden for finans eller berørt fagbyråd. Kapittel 8 angir hvordan samhandling og koordinering skal foregå i kommunen på IKT - området. Etter byrådens vurdering skal aktiv bruk av ulike fora sikre koordinering, medvirkning og forankring av endringer i eller nyanskaffelse av systemer som følge av de behovsendringer som utviklingen medfører. Høring Reglementet ble sendt på høring til kommunens virksomheter og forhandlingssammenslutningene, med høringsfrist Høringsbrevet er lagt ved som vedlegg til saken. Det er kommet inn 20 høringsuttalelser. Høringsinstansene er i all hovedsak positive til forslaget. Flere virksomheter er tilfredse med at det foreslås fora som sikrer medbestemmelse og påvirkningsmulighet i alle ledd. Virksomhetene har også kommet med konstruktive innspill til forbedringer av reglementet. Som følge av dette er definisjonsbestemmelsen utvidet og tilpasset, likeledes er ansvar og oppgavebeskrivelsene ytterligere presisert mv. Som vedlegg følger en oppsummering av høringen fra virksomhetene. Innføring av ny IKT - organisering som følge av nytt IKT -reglement Det er utarbeidet en plan for å bidra til en styrt innføring av IKT-reglementet. Planen skal sikre at innholdet i IKT-reglementet blir forstått blant ledere på ulike nivåer, samt at det blir gitt informasjon til alle berørte ansatte på en hensiktmessig måte. Planen er inndelt i 9 hovedaktiviteter. Hovedelementene i planen består av forankrings- og informasjonsaktiviteter, inklusive lederforankring, etablering av fora, etablering av systemeierskap og rollen som intern leverandør (UKE) med tilhørende opplæring samt utarbeidelse av rutiner, metoder og maler i forbindelse med praktisering. Planen skal sikre at alle rolleinnehaverne forstår sine oppgaver og sitt ansvar, spesielt virksomhetsledere og systemeiere. Det vil bli foretatt opplæring i og fordeling av systemeierskap. Parallelt med disse aktivitetene og innen rammen av reglementet vil det bli utarbeidet utfyllende styringsdokumenter som standarder og instrukser som skal regulere tekniske valg og krav til informasjonssikkerhetsmessige løsninger, arkitektur etc. 5. Lover og regelverk, tidligere vedtak Saksnr.: _34

5 Side 5 Dagens IKT - organisering er regulert i IKT - instruks for Oslo kommune, jf byrådssak av , sak 1052/05. Gjeldende instruks foreslås opphevet ved vedtakelse av nytt reglement. Administrative, arbeidsmiljømessige og økonomiske konsekvenser De administrative konsekvensene består i at Utviklings- og kompetanseetatens ansvar og oppgaver som IKT - strateg blir flyttet til byråden for finans. Likeledes flyttes ansvar og oppgaver i tilknytning til systemenes vedlikeholdsavtaler, fra Utviklings- og kompetanseetaten til vedkommende virksomhet (systemeier). Dette arbeidet er igangsatt. Vedtaket om nytt reglement fører i seg selv ikke til flytting/overføring av ansatte mellom virksomheter. Slik saken står nå medfører den ikke arbeidsmiljømessige konsekvenser og er derfor ikke forelagt sentralt arbeidsmiljøutvalg. De nye rollene, ansvar og oppgaver kan imidlertid føre til endringer i den enkelte virksomhet i gjennomførings-/ implementeringsfasen. I gjennomførings- /implementeringsfasen er det den enkelte virksomhet som har ansvar for at de eventuelle arbeidsmiljømessige endringer dette måtte medføre vil bli behandlet i vernetjenesten og organisasjonene i virksomheten i henhold til lov og avtaleverk. Det ble redegjort om forslag til reglement i møtet i Kontaktutvalget den 31. august 2009, redegjørelsen ble tatt til orientering. De økonomiske konsekvensene som endringene måtte medfore vil bli behandlet gjennom den årlige budsjettprosessen Vedtakskompetanse Byrådet er i byrådsreglementet 3-1 fierde ledd delegert myndighet til å vedta administrative regelverk som omhandler støttefunksjoner for administrasjonen. Reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet anses å være et regelverk som omfattes av denne bestemmelsen. Rapporteringsordning Det vurderes ikke som nødvendig å etablere særskilt rapporteringsordning for utøvelse av delegert myndighet i denne saken. B råden for finans innstiller til b rådet å fatte føl ende vedtak: Med virkning fra vedtaksdato vedtas følgende reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet i Oslo kommune: REGLEMENT FOR INFORMASJONS- OG KOMMUNIKASJONSTEKNOLOGI OG INFORMASJONSSIKKERHET Fastsatt av byrådet , med hjemmel i byrådsreglementet 3-1 fierde ledd. Saksm: _34

6 Side 6 Kapittel 1 Formål, virkeområde og definisjoner 1 Formål og virkeområde Oslo kommune skal ha en formålstjenelig og kostnadseffektiv bruk og forvaltning av informasjons- og kommunikasjonsteknologi som ivaretar kravene til informasjonssikkerhet og som støtter definerte behov i kommunens virksomheter. Bestemmelsene fastlegger ansvars-, oppgave- og fullmaktsfordeling for anvendelse av informasjons- og kommunikasjonsteknologi og for informasjonssikkerhet i Oslo kommunes virksomheter. 2 Definisjoner I dette reglement forstås med begrepene: a) Avtaler: Driftsavtale: Avtale om hvilke systemer, verktøy, infrastruktur og hvilken maskinvare som skal være i produksjon. Kjøpsavtale: Avtale med systemleverandør som gir kommunen rettighet til bruk eller eiendomsrett til et system og eller verktøy. Vedlikeholdsavtale: Avtale med systemleverandør om feilretting og videreutvikling av et system. Tjenesteavtale: Avtale om tjenesteleveranser og servicegrad. b) Brukerundersøkelse: Målrettet undersøkelse overfor brukere av et IKT-system og IKT-tjenester for å kartlegge kvaliteten på tjenesten/systemet. Det kan gjennomføres som intervju/samtale basert på et standardisert spørreskjema eller ved skriftlig besvarelse av spørreskjema fra en utvalgt brukergruppe. c) Ekstern leverandør: Leverandør utenom Oslo kommune som leverer tjenester, utstyr eller systemer til Oslo kommune. d) IKT: Informasjons- og kommunikasjonsteknologi. e) IKT - strategi: Langsiktig og systematisk strategi og overordnet plan for bruk av informasjons- og kommunikasjonsteknologi (IKT) for å nå de til enhver tid fastsatte mål for Oslo kommunes virksomhet. Saksm: _34

7 Side 7 IKT - arkitektur: Forholdet mellom data (informasjon), verktøy. systemer og infrastruktur nedfelt i et sett av prinsipper, sammenhenger og tekniske valg for å oppnå ønsket forretningsmessig og teknisk standardisering og integrasjon. Informasjonssikkerhet Begrepet informasjonssikkerhet i dette reglementet omfatter fysiske, systemtekniske og organisatoriske tiltak for å sikre tilfredsstillende konfidensialitet, integritet, tilgjengelighet og kvalitet for personopplysninger og annen informasjon. Annen informasjon kan være informasjon som er unntatt offentlighet etter offentleglova eller informasjon som er taushetsbelagt i lov. Infrastruktur: Tjenester, operativsystemer, maskinvare og kommunikasjonsløsninger som er nødvendig for å få systemer til å fungere og til å samhandle slik at opplysninger kan utveksles mellom virksomheter internt i Oslo kommune og mellom Oslo kommune og kommunens innbyggere, brukere, kunder og næringsliv. Tjenester kan være fil/print, navne- og katalogtjenester mv. Operativsystemer(logisk nivå) kan være for servere, PC - er, databaser, backupsystem mv. Maskinvare(fysisk nivå) kan være servere, skrivere, telefonsentraler, telefonapparat, IP-telefoner, PC - er, nettverkselektronikk mv. Kommunikasjonsløsninger kan være leide linjer i offentlige nett, mobilt datanett, kabling i eide og leide bygg, lokale trådløse nett mv. Intern leverandør: Leverandør av drift og vedlikehold av systemer og infrastruktur i henhold til tjenesteavtaler inngått med kommunens virksomheter. Sektor: Alle virksomheter under en byrådsavdelings ansvarsområde. Systembegreper: System: Et eller flere dataprogrammer og databaser utviklet og satt sammen for å understøtte definerte prosesser i organisasjonen. Systemklassifisering: Fordeling av systemer i klassene fellessystemer, sektorsystemer, tverrsektorielle systemer og virksomhetsspesifikke systemer. Systemeier: Utpekt eier av system, eierskapet medfører ansvar, oppgaver og fullmakter i henhold til reglement. Fellessystem: System som er valgt som et felles system innenfor et aktuelt anvendelsesområde på tvers av alle byrådsavdelingers instruksjons- og myndighetsområde. Sektorsystem: Saksm: _34

8 Side 8 System som er valgt som et felles system innenfor et aktuelt anvendelsesområde innenfor én byrådsavdelings instruksjons- (3 myndighetsområde. Tverrsektorielt system: System innenfor et aktuelt anvendelsesområde som benyttes i fiere virksomheter, men ikke alle virksomheter, på tvers av fiere byrådsavdelingers instruksjons- og myndighetsområde. Virksomhetsspesifikt system: System som er valgt og anskaffet av en enkelt virksomhet. Systemforvaltning: Det samlede sett av oppgaver som må utføres for at systemet til en hver tid skal understøtte de definerte prosesser på en hensiktsmessig måte. Eksempler på slike oppgaver er å sørge for brukerundersøkelser, spesifisering av behov, retting av feil i programvare og videreutvikling av systemet, test av nye versjoner, vedlikehold av kodeverk, malverk og tilgangskontrollmekanismer, oppdatering av rutinebeskrivelser og opplæring i systemet. Virksomhet: Byrådsavdeling, bydelsadministrasjon, etat og kommunale foretak jf byrådsreglementets 3-1, fjerde ledd. Der særskilte bestemmelser gjelder for byrådsavdeling er begrepet byrådsavdeling brukt. Kapittel 2 Overordnet IKT - styring og ledelse og informasjonssikkerhet 3 Overordnet IKT - styring og ledelse (ansvar, oppgaver og fullmakter) Ansvar: Byråden for finans har overordnet ansvar for at kommunen har hensiktsmessige fel lessystemer, IKT - arkitektur og infrastruktur som støtter tjenesteproduksjon og virksornhetsprosesser, å sørge for og legge til rette for elektronisk sarnhandling med Oslo kommunes innbyggere, brukere, kunder, leverandører, andre samarbeidspartnere og kommunens egne ansatte. Oppgaver: Innen byrådens overordnede ansvar for IKT styring og ledelse ligger bl.a. følgende oppgaver: utarbeidelse av kommunens IKT strategi. Denne skal være en langsiktig og systematisk plan for bruk av informasjons- og kommunikasjonsteknologi (IKT) for å nå de til enhver tid fastsatte mål for Oslo kommunes virksomhet ivareta eierskapet til komnmnens IKT - arkitektur. Denne skal vise forholdet mellom data (informasjon), systemer, verktøy og infrastruktur nedfelt i et sett av policies, sammenhenger og tekniske valg for å oppnå ønsket forretningsmessig og teknisk standardisering og integrasjon Saksnr.: _34

9 Side 9 ivareta eierskapet til kommunens infrastruktur. Denne skal bestå av tjenester, operativsystemer, maskinvare og kommunikasjonsløsninger som er nødvendig for å få systemer til å fungere og til å samhandle slik at opplysninger kan utveksles mellom virksomheter internt i Oslo kommune og mellom Oslo kommune og kommunens innbyggere, brukere, kunder og næringsliv sørge for koordinering og prioritering av IKT - prosjekter på overordnet nivå sørge for og legge til rette for elektronisk samhandling med Oslo kommunes innbyggere, brukere, kunder, leverandører. andre samarbeidspartnere og kommunens egne ansatte sørge for utføring av overordnede risikovurderinger på IKT - området samt oppsummering og koordinering av oversikt over totalrisiko i kommunens IKT miljø sørge for overordnet oversikt over kommunens infrastruktur og arkitektur stille overordnet krav til kvaliteten på kommunens IKT drift opprette og drive IKT-styringsforum, endringsforum infrastruktur og IKTforum Byråden skal sikre forankring av det ovennevnte arbeid i kommunens virksomheter ved at spørsmål gjeldende de ovennevnte oppgaver skal behandles i IKT styringsforum ( 12). Fullmakter: Byråden for finans har fullmakt til, innen rammen av lovgivning, Oslo kommunes strategi for informasjons- og kommunikasjonsteknologi, Instruks for informasjonssikkerhet i Oslo kommune og andre vedtak fattet av overordnet organ, å vedta styrende dokumenter for Oslo kommunes IKT - arkitektur og infrastruktur. Utkast til styrende dokumenter skal behandles i IKT - styringsforum ( 12) og endringsforum infrastruktur ( 14). Ved uenighet i IKT - styringsforum skal spørsmålet legges fram for byrådet for avgjørelse. Byråden for finans har fullmakt til å instruere kommunens virksomheter innen rammen av Oslo kommunes IKT - strategi, øvrige rammer vedtatt av byrådet og innen rammen av vedtatte styrende dokumenter for Oslo kommunes IKT arkitektur og infrastruktur. Instrukser skal gå via ansvarlig byrådsavdeling. Ved uenighet bringes saken inn for byrådet. 4 InfOrmasjonssikkerhet ansvar, oppgaver og JUIlmakter) Ansvar: Byråden for finans har overordnet ansvar for informasjonssikkerheten kommune. i Oslo Oppgaver: Innen byrådens overordnede ansvar for informasjonssikkerhet oppgaver: ligger bl.a. følgende Saksnr.: _34

10 Side 10 legge til rette for og følge opp at Oslo kommune ivaretar informasjonssikkerhet og intern kontroll i henhold til personopplysningsloven, annen lovgivning og kommunens eget regelverk på informasjonssikkerhetsområdet definere krav til akseptabel sikkerhetsrisiko på overordnet nivå basert på innspill fra den enkelte sektor utvikle, stille til disposisjon og vedlikeholde metodeverk, verktøy, maler mv for systemeierne følge opp at de metoder og verktøy som er stilt til disposisjon tas i bruk av kommunens virksomheter følge opp informasjonssikkerhetsbrudd for å iverksette aktiviteter som hindrer gjentakelse av informasjonssikkerhetsbrudd (3) Fullmala Byråden for finans får fullmakt til å instruere kommunens virksomheter innen rammen av lovgivning eller kommunens eget regelverk for informasjonssikkerhet. Instrukser skal gå via ansvarlig byrådsavdeling. Ved uenighet bringes saken fram for byrådet. Kapittel 3 IKT - styring, ledelse og informasjonssikkerhet i byradsavdelingene 5 IKT - styring og ledelse (ansvar, oppgaver og fillmakter) (1) Ansvar: Byrådene har ansvar for ledelse og styring av IKT, beslutning av felles initiativ og etablering av sektorløsninger innen egen sektor innen rammen av overordnet IKT - strategi for Oslo kommune, vedtatte standarder og øvrige overordnede føringer på IKT - området. (2) Oppgaver: Innen byrådenes ansvar for styring av egen sektor mv. ligger bl.a. følgende oppgaver: bidra til Oslo kommunes strategi for informasjons- og kommunikasjonsteknologi utarbeide og beslutte IKT - strategi innen egen sektor iht. Oslo kommunes strategi for informasjons- og kommunikasjonsteknologi ha overordnet kontroll med IKT - kostnader i egen sektor representere interessene til systemeierne i egen sektor koordinere IKT - initiativer og -prosjekter innen egen sektor t) etablere sektorsystemer der dette er hensiktsmessig iht. rammene i Oslo kommunes vedtatte IKT - strategi sørge for at vedtatte instrukser, standarder, metoder og verktøy tas i bruk sørge for at underliggende virksomheter inngår tjenesteavtaler med Intern leverandør eller ekstern leverandør i de tilfeller dette er besluttet opprette og drive IKT-sektorforum Saksw.: _34

11 Side 11 (3) Fullmakter: Byrådene har fullmakt til å fatte beslutninger og til å instruere virksomheter innenfor eget ansvarsområde innen lovgivningen, rammer, vedtatt av byrådet og byråden for fmans. Spørsmål som berører andre byrådsavdelingers ansvarsområde eller utnyttelse av kommunens felles IKT - ressurser, skal legges frem for behandling i IKT - styringsforum ( 12) før avgjørelse. Ved uenighet i IKT - styringsforurn skal spørsmålet legges fram for byrådet for avgjørelse. 6 Informasjonssikkerhet (ansvar, oppgaver og fullmakter) (1) Ansvar: Byrådene har ansvar for informasjonssikkerheten i egen sektor. (2) Oppgaver: Innen byrådenes ansvar for informasjonssikkerhet ligger bl.a. følgende oppgaver: (3 ) Fullmakter: ivareta informasjonssikkerhet og intern kontroll i henhold til personopplysningsloven, annen lovgivning og kommunens eget regelverk på IKT - området samt følge opp at underliggende virksomhet følger lov og regelverk for informasjonssikkerhet beslutte akseptabel sikkerhetsrisiko på sektornivå basert på innspill fra den enkelte virksomhet i egen sektor sørge for at det er definerte krav til kompetanse innen informasjonssikkerhet og at kompetansen etableres og følges opp innen egen sektor Byrådene har fullmakt til å instruere underliggende virksomheter innen rammen av lovgivning eller kommunens eget regelverk for informasjonssikkerhet. Kapittel 4 1KT - styring og ledelse og informasjonssikkerhet i virksomhetene 7 IKT - styring og ledelse (ansvar, oppgaver ogfidlmakter) (1) Ansvar: Saksnr.: _34

12 Side 12 Virksomhetsleder har ansvar for styring og ledelse av IKT i vedkommende virksomhet innen rammen av overordnet IKT - strategi, vedtatte standarder, overordnede føringer på IKT - området samt kommunens IKT - strategi for vedkommende sektor. Virksomhetsleder har videre ansvar for å sørge for drift av virksomhetsspesifikke systemer og eventuelle tverrsektorielle systemer og infrastruktur som ikke er omfattet av tjenesteavtalen med intern leverandør. (2) Oppgaver: Innen virksomhetsleders ansvar for styring av IKT ligger bl.a. følgende oppgaver: (3) Fullmalaer: utarbeide og vedta IKT - strategi for egen virksomhet iht. Oslo kommunes strategi for informasjons- og kommunikasjonsteknologi, og foringer som er gitt for vedkommende sektor bidra til IKT - strategi på vedkommende sektor ha overordnet kontroll med IKT - kostnader i egen virksomhet. prioritere, lede og følge opp prosjekter i egen virksomhet sikre løsninger for felles prosesser i egen virksomhet t) inngå tjenesteavtaler med intern leverandør for egen virksomhet og for de tilfeller virksomheten er systemeier for tverrsektorielle systemer som brukes av andre virksomheter i kommunen inngå eventuelle avtale om drift med ekstern leverandør i tilfeller det er besluttet drift i egenregi i henhold til 7(3) benytte de felles- og sektorsystemer, standarder, metoder og verktøy som er valgt ivareta systemeierrollen for de systemer virksomheten er utpekt til systemeier for sørge for nødvendig kompetanse i bruk av de løsninger som benyttes Den enkelte virksomhetsleder har fullmakt til å velge å drifte virksomhetsspesifikke systemer i egen regi dersom minst ett av vilkårene nedenfor er oppfylt: sentral drift ville medført stort tap av fleksibilitet og funksjonalitet drift i egen regi gir akseptable driftskostnader for kommunen totalt sett Valg av driftsleverandør, skal før beslutning fattes, forelegges intern leverandør. Ved uenighet mellom intern leverandør om systemet skal driftes lokalt eller av intern leverandør skal uenigheten bringes til byråden for finans til avgjørelse. Før byråden fatter sin beslutning skal saken legges fram til behandling i IKT - styringsforum. Ved uenighet i IKT - styringsforum skal spørsmålet legges fram for byrådet for avgjørelse. 8 Informasjonssikkerhet (ansvar og oppgaver) Ansvar: Den enkelte leder har ansvar for informasjonssikkerheten i egen virksomhet. Oppgaver: Saks= _34

13 Side 13 Innen virksomhetsleders ansvar for informasjonssikkerhet oppgaver: ligger bl.a. følgende ivareta informasjonssikkerhet og intern kontroll i henhold til personopplysningsloven, annen lovgivning og kommunens eget regelverk sørge for at leverandører det inngås avtale med om behandling av personopplysninger, oppfyller kravene til informasjonssikkerhet i henhold til lov og regelverk på informasjonssikkerhetsområdet definere akseptabelt risiko nivå på virksomhetens systemportefølje og forelegge dette for overordnet byrådsavdeling for beslutning sorge for at krav til informasjonssikkerhetskompetanse defineres og følges opp i egen virksomhet Kapittel 5 Klassifisering av og eierskap til systemer 9 Klassifisering og eierskap til systemer Kommunens systemer klassifiseres i henhold til kriterier for klassifisering av systemer i virksomhetssystemer, sektorsystemer, tverrsektorielle systemer og fellessystemer. Byråden for finans gis fullmakt til å vedta kriterier for klassifisering av systemer etter forutgående behandling i 1KT - styringsforum. Systemeierskapet til felles og sektorsystem ligger til den byrådsavdeling som har ansvar for den arbeidsprosessen systemet understøtter. Systemeierskapet til virksomhetssystemer ligger til vedkommende virksomhets leder. Systemeierskapet til tverrsektorielle systemer ligger til byrådsavdelingen i den sektor som er største bruker av systemet eller til leder i den virksomheten som er mest kompetent bruker av systemet. Ved uenighet om plassering av systerneierskapet, bestemmer byråden for finans systemeierskapet etter forutgående behandling i IKT - styringsforum. leder. Systemeierskapet til virksomhetssystemer ligger til vedkommende virksomhets Kapittel 6 Systemeier 10 Ansvar og oppgaver (1) Ansvar: Den virksomhet som er systemeier har ansvaret for at systemet dekker tjenestens behov, at det er i samsvar med gjeldende lover og regler og at det blir tilpasset ved behov Saks=

14 Side 14 for endringer. Systemeier har videre ansvar for at systemet implementeres og brukes på en optirnal måte, slik at systemets gevinstpotensial realiseres. (2) Oppgaver: Innen systemeiers ansvar ligger bl.a. folgende oppgaver: fatte beslutninger om anskaffelse, videreutvikling og utfasing av systemer etter forutgående avklaringer om arkitektur og infrastruktur med intern leverandør eie og forvalte systemets kjøps-, vedlikeholds- og utviklingsavtaler og eventuelle driftsavtaler med ekstern driftsleverandør i de tilfeller virksomheten drifter system i egenregi i medhold av 7 (3) sørge for at leverandører, det inngås avtale om behandling av personopplysninger med, oppfyller kravene til informasjonssikkerhet i henhold til lov og regelverk på informasjonssikkerhetsområdet beslutte modell for forvaltning av systemet (i egen regi, i annen kommunal virksomhet, hos ekstern leverandør eller en kombinasjon av disse mv.) sikre en forsvarlig systemforvaltning (spesifisere behov, teste nye versjoner, definere oppsett for bruk og tilgangskontroll, utarbeide dokumentasjon mv.) inngå tjenesteavtale med intern leverandør sikre nødvendig informasjon om og opplæring i og bruk av systemet opprette og drive brukerform og endringsforum for systemet sørge for at det gjennomføres brukerundersøkelser Kapittel 7 Intern leverandør 11 Ansvar, oppgaver og fullmakter Ansvar: Utviklings- og kompetanseetaten som intern leverandør har ansvar for at det leveres funksjonelle og stabile driftstjenester til kommunens virksomheter i henhold til tjenesteavtaler inngått med virksomheter og systemeiere og i henhold til særskilte bestillinger fra virksomheter og systemeiere. Intern leverandør er ansvarlig for den operative informasjonssikkerheten kommunens felles og virksomhetenes lokale infrastruktur. for Oppgaver: Innen intern leverandørs ansvarsområde ligger bl.a. følgende oppgaver: inngå tjenesteavtaler med kommunens virksomheter og systerneiere. Tjenesteavtalen skal minimum inneholde hvilke tjenester som skal leveres som feilrettingstid, informasjonssikkerhet, oppetid, endringsarbeid, og priser og kompensasjon ved avvik fra avtalt tjenestenivå inngå, følge opp og fase ut inngåtte avtaler med eksterne driftsleverandører Saksnr.: _34

15 Side 15 ha løpende oversikt over og kontroll med kommunens felles og lokale infrastruktur og påse at denne er i samsvar med kommunens vedtatte IKT - arkitekturprinsipper. følge kommunens vedtatte arkitekturmål og prinsipper etablere og å løpende oppdatere systemoversikt over kommunens IKT-portefølge i henhold til krav fastsatt av overordnet byrådsavdeling t) fortløpende foreta nødvendige installasjoner, oppgraderinger og annet endringsarbeid i henhold til avtaler, tildelingsbrev, bevilgninger mv. jevnlig rapportering til byråden for finans om drift av systemer, dvs. status på stabilitet, tilgjengelighet og svartider på systemer og infrastruktur herunder beskrive og foreslå aktuelle tiltak identifisere, beskrive og prioritere større oppgraderingsbehov og/eller anskaffelser, legge disse fram for ansvarlig byrådsavdeling/virksomhet for beslutning og gjennomføre de tiltak som besluttes koordinere endringsarbeid med systemeiere, systemleverandører og eksterne driftsleverandører ved behov søre for at leverandører, som det inngås avtale om behandling av personopplysninger med, oppfyller kravene til informasjonssikkerhet i henhold til lov og regelverk på informasjonssikkerhetsområdet gjennomføre målrettede informasjonssikkerhetsrevisjoner i Oslo kommunes lokale og felles infrastruktur 1) Varsle om feilsituasjoner og forventet feilrettingstid (3) Fullmakt: Intern leverandør har fullmakt til å inngå tjenesteavtaler med kommunens virksomheter og systemeiere om drift av systemer og til å imøtekomme bestillinger fra virksomheter/systemeiere innenfor rammene av IKT - reglernentet og øvrig lov og regelverk som gjelder for Oslo kommune. Konsept for tjenesteavtaler skal behandles av IKT styringsforum med de regler som gjelder for dette. Ved uenighet skal saken legges fram for byrådet for avgjørelse. Ved uenighet om utformingen av enkeltavtaler mellom intern leverandør og en enkelt virksomhet kan uenigheten bringes fram for byrådet av byråden for finans eller berørt fagbyråd. Intern leverandør har fullmakt til å på Oslo kommunes vegne inngå driftsavtaler med eksterne leverandører med utgangspunkt i intern leverandørs tjenesteavtaler med virksomheter og systemeiere. Kapittel 8 Samhandling og koordinering 12 IKT - styringsfbrum IKT - styringsforum er forum for koordinering og drøfting av overordnede prinsipielle spørsmål innen IKT - området. Forumet skal behandle utkast til komrnuneovergripende strategisk plan for IKT, utkast til beslutninger i medhold av reglementets kapittel 2 3(3) og kapittel 3 5(3), overordnet status innen IKT - området, større og/eller endringsbehov av kommuneovergripende karakter, store og/eller kritiske Saksnr.: _34

16 Side 16 prosjekter og annet innen IKT -området. Ved uenighet i IKT - styringsforum om fremlagte forslag i henhold til denne bestemmelse, skal saken legges fram for byrådet til endelig avgjørelse. IKT - styringsforum ledes av kommunaldirektøren i Byrådsavdeling for finans og næring og består av byrådsavdelingenes øverste administrative ledere eller den vedkommende utpeker med fullmakter på IKT området. IKT - styringsforum møtes regelmessig og ved behov. 13 IKT - -sektorforum IKT - sektorforum er forum for koordinering og drøfting av spørsmål innen IKT området innen vedkommende sektor. Forumet skal behandle utkast til sektorstrategier, status på IKT, felles endringer eller endringsbehov, prosjekter, gjensidig informasjon og annet på IKT området innen vedkommende sektor. Saker som gjelder sektor eller virksomhet i sektor og som skal til behandling i IKT - styringsforum, behandles i IKT -sektorforum før den behandles i IKT styringsforum, der det anses hensiktsmessig. Innen den enkelte sektor kan det ved behov etableres flere sektorfora. IKT - sektorforum ledes av vedkommende byrådsavdeling og består av representanter for virksomhetene innen vedkommende sektor 14 Endringsfora Endringsfbrum infrastruktur Endringsforum infrastruktur er forum for forslag til prioritering av større endringsbehov innen kommunens felles infrastruktur. Endringsforum infrastruktur ledes av Byrådsavdeling for finans og næring, og består av byrådsavdelingenes øverste administrative ledere eller den vedkommende utpeker med fullmakter på IKT området. Endringsfbrum systemer Endringsforum systemer er forum for forslag til prioritering av større endringsbehov innen felles-, sektor eller tverrsektorielle systemer og ved behov for større endringer i virksomhetskritiske systemer samt kommunens infrastruktur. Endringsforum systemer ledes av vedkommende systemeier. Endringsforaene møtes regelmessig og etter behov. Vedkommende foras leder har ansvar for innkalling. 15 Brukerlbrum Saksnr.: _34

17 Side 17 Brukerforum opprettes for hvert enkelt felles-, sektor- eller tverrsektorielle system. Brukerforum behandler informasjon om bruk og planlagte endringer, tilbakemeldinger fra brukerne om bruk og endringsønsker. Brukerforurn ledes av systemeier. Forumet består av representanter for brukere av systemet. 16 IKT - forum IKT - forum er forum for overordnet informasjon om status på IKT området i kommunen og for erfaringsdeling knyttet til utøvelse av de ulike rollene på IKT området. IKT - forum ledes av Byrådsavdeling for finans og næring, IKT - forum har to samlinger i året og er åpent for deltakelse fra alle kommunens virksomheter. 17 Ikralitredelse og opphevelse av tidligere instruks Dette reglementet trer i kraft ved vedtaksdato. Fra samme tidspunkt oppheves IKT - instruks for Oslo kommune vedtatt i byrådssak sak 1052/05. Byrådsavdeling for finans og næring, den 4 OKT 2010 Kristin Vinje Vedlegg tilgjengelig på Internett: Høringsbrev av Oppsummering av høringen Vedlegg ikke tilgjengelig på Internett: Ingen Saksnn: _34