Byrådssak 1191 /15. Klassifisering av informasjonssystemer i Bergen kommune ESARK

Like dokumenter
Rapport - hoveddel Klassifisering av informasjonssystemer i Bergen kommune

Byrådssak 1383 /15. Ny strategi for informasjonssikkerhet ESARK

Seksjon for internkontroll - Overføring fra Byrådsavdeling for finans, eiendom og eierskap til Byrådsleders avdeling

Hva saken gjelder: Saken gjelder nærværet i Bergen kommune for 2014 og årlig utvikling i sykefraværet.

Strategi for Informasjonssikkerhet

Byrådssak 1377 /15. Offentleglova og fagnotaters status i Bergen kommune ESARK

NTNU Retningslinje for arbeid med sikkerhetskultur og opplæring innen informasjonssikkerhet

Fylkesberedskapsrådet i Hordaland Styring og kontroll - informasjonssikkerhet. Øyvind Grinde Seksjonssjef for informasjonssikkerhet 18.

Dato: 8. desember Søknad på «Skjønnsmidlar til omstilling og utvikling i kommunane 2012»

Bankavtale for Bergen kommune fra til med opsjon til forlengelse til

INTERNKONTROLL KFIN

Internkontroll i Bergen kommune. Liv Røssland Byråd for finans, eiendom og eierskap

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

Tilbakemelding 2014 på Forvaltningsrevisjonsrapport Prosedyrer og rutiner for Journalføring og tilgjengeliggjøring av dokument/saksutredning.

Helhetlig arbeid med informasjonssikkerhet. Remi Longva

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Risikovurdering av Public 360

Høringsnotat. Forslag til endring av energiloven 9-5 (innhenting av politiattest)

Policy for informasjonssikkerhet og personvern i Sbanken ASA

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

BERGEN KOM M U N E Telefonsentral

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor

Oversikt. Remi Longva

Vedtakskompetanse: Gjeldende budsjettfullmakter Sist endret i bystyresak 304/12 den

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Veilederen må oppheves og erstattes av et mer helhetlig og hensiktsmessig rammeverk for å operasjonalisere instruksen.

Budsjettjusteringer pr. november Byrådets kompetanse

Formålet med kommunal beredskapsplikt Dette oppnås gjennom på tvers av sektorer i kommunen Redusere risiko helhetlig ROS

Evaluering og revidering av etablert varslingsordning i Bergen kommune

Vedtakskompetanse: Byrådets fullmakter, vedtatt av bystyret i sak i møte 21. september 2016:

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Objektsikkerhet. Sikkerhetsloven gir krav til beskyttelse av både informasjon( 12) og objekt( 17b).

Byrådssak 1401 /14. Internkontroll i Bergen kommune. Overordnet rammeverk ESARK

Kvalitetssikring av arkivene

Fylkesmannen i Hordaland la frem Fylkes-ROS 12. oktober Denne skal følges opp av alle kommunene.

Revisjon av regelverk for bruk av kommunale parker, friområder og sentrale byrom til kulturarrangementer mm med hensyn til gatemusikanter i Bergen

Sikring mot terror og andre villede handlinger rettet mot de nasjonale transportaktørene (jern- og tunnelbane)

Overordnet IT beredskapsplan

Erfaringer fra tilsyn etter 4 år med. lov om kommunal beredskapsplikt

OMRÅDER. ROS analyser sammenhenger

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Olje- og energidepartementet

Sikring av vannforsyning mot tilsiktede uønskede hendelser (security) VA - DAGENE I VRÅDAL

Veiledningsmateriellet Internkontroll i praksis - informasjonssikkerhet. For toppleder Oppdatert:

«Føre var» Risiko og beredskap

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Melding om Fylkesmannens systemtilsyn med helse, - omsorgs, - og barnevernstjenesten i Byrådsavdeling for helse og omsorg

Byrådssak 1058 /14. IKT Drift - avklaring vedrørende organisasjonsmodell ESARK

Tiltaksplan digitalisering 2019

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Prosjektmandat Hovedprosjekt. Informasjonssikkerhet

Informasjonssikkerhet - konsernprosedyre

Retningslinje for risikostyring for informasjonssikkerhet

/17. Hovedarbeidsmiljøutvalget. Oversikt over sykefraværet i Bergen kommune for 1. kvartal 2017 ESARK

Sikkerhetsmessig verdivurdering

Prosess ved realisering av nye skolebygg Fra bestiller og utførers ståsted

Informasjonssikkerhet og anskaffelser. Svanhild Gundersen Seniorrådgiver Seksjon for informasjonssikkerhet

Robusthet i kraft, ekom, informasjon og velferdsteknologi i Agder.

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato:

Byrådssak 1059 /15. Organisatoriske endringer på eiendomsområdet ESARK

Digitalisering som verktøy for forenkling og forbedring av tjenestetilbudet i Bergen kommune

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Byrådssak 107/16. Høringsuttalelse til Kunnskapssektoren sett utenfra ESARK

Vedtatt av: Byrådet Vedtatt: Erstatter: Saksnr: Brv 1316/02

Avito Bridging the gap

Uttalelse til Rapport fra BDO «Evaluering av Bergen kommune sitt overordnede arbeid med å forebygge, avdekke og håndtere økonomisk kriminalitet»

Prinsipper for virksomhetsstyring i Oslo kommune

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

PLAN FOR SAMFUNNSSIKKERHET OG BEREDSKAP I OSEN KOMMUNE

Helhetlig Risiko- og sårbarhetsanalyse for Alstahaug kommune

Opplegg for rapportering og arbeid med politisk tilsyn og kontroll i bystyrets organer

Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) Lov av i kraft

Saksbehandler: Marianne Støa Arkivsaksnr.: 16/ Dato:

Byrådssak /10. Dato: 18. januar Byrådet. Oppgaver og ressursbruk: Utviklingstrekk SARK

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Styringssystem i et rettslig perspektiv

Bergen kommunes strategi for informasjonssikkerhet

Utviklingsprosjekt: Endring av beredskapsorganisering i Helse Fonna HF. Nasjonalt topplederprogram. Anne Hilde Bjøntegård

Informasjonssikkerhet

Revisjon av regelverk for bruk av kommunale parker, friområder og sentrale byrom til kulturarrangementer mm med hensyn til gatemusikanter i Bergen

Etableringsplan. Internkontroll for informasjonssikkerhet og personvern

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

Oslo kommune Byrådsavdeling for finans

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Byrådssak 1181 /14. Videreutvikling av lokal lønnspolitikk - delegasjon av lønnsfullmakt ESARK

Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren

Informasjonsaktiva. - en (forsøksvis) praktisk tilnærming til kategorisering av data. Harald Rishovd. Oslo kommune, Vann- og avløpsetaten

5/14. Hovedarbeidsmiljøutvalget. Oversikt over nærværet i Bergen kommune for 2013 ESARK

Velkommen til Sevesokonferansen Åpningsforedrag. Anne Rygh Pedersen, Avdelingsdirektør DSB. 20.september 2018

Krav til informasjonssikkerhet. DRI1010 forelesning Jon Berge Holden

Deltakelse i prosjekt for mulig samarbeid innen brann- og redningstjenesten i regionen

Transkript:

Byrådssak 1191 /15 Klassifisering av informasjonssystemer i Bergen kommune LIBR ESARK-1727-201512221-1 Hva saken gjelder: Byråden for finans, eiendom og eierskap legger i denne saken frem en rapport som omhandler klassifisering av systemer som behandler informasjon. I dagens samfunn er informasjonsteknologi og digitale løsninger tatt i bruk på de aller fleste områder. Alle kommunens tjenester og ansatte er på ulike vis berørt av helt eller delvis elektroniske systemer. I alt hadde Bergen kommune pr. første kvartal 2015 mer enn 300 elektroniske systemer (store og små) som behandler informasjon av en eller annen karakter. I denne saken omtales disse systemer som informasjonssystemer. Rapporten presenterer et nylig gjennomført klassifiseringsprosjekt, som har hatt som målsetting å kartlegge, klassifisere og verdivurdere kommunens informasjonssystemer. Det er gjennomført risiko- og sårbarhetsanalyser, for å avdekke hvilke systemer som må anses å være kritiske for kommunen. Bergen kommune er med dette arbeidet blant de kommunene som er kommet lengst i verdivurdering av nødvendige informasjonssystemer. Samtidig er dette et helt nødvendig arbeid for å styrke sikringen av kritiske systemer. Bergen kommune er også i tett dialog og samarbeid med nasjonale aktører innen informasjonssikkerhet, og ligger generelt sett godt an i forhold til dette arbeidet. Byrådet har i henhold til kommuneloven 20 nr. 2 ansvar for å sikre at administrasjonen driver i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Herunder eforvaltningsforskriftens 15, med krav til «internkontroll på informasjonssikkerhetsområdet». Byrådet har de siste årene tatt en rekke grep for å sikre betryggende kontroll. Dette kartleggings- og klassifiseringsarbeidet av informasjonssystemer kan ses som en del av dette arbeidet. Klassifiseringsprosjektet har avdekket at 10 informasjonssystemer er klassifisert som «kritisk» og at kommunen ikke i tilstrekkelig grad har etablert et driftsregime som kan håndtere de kravene som bør stilles til informasjonssystemer, som understøtter virksomhets- og samfunnskritiske tjenester. Dersom informasjonen i disse systemene blir utilgjengelig, eksponert for uvedkommende eller har feil kvalitet, kan det føre til at virksomhets- og samfunnskritiske tjenester ikke kan produseres eller produseres i tilstrekkelig mengde eller med tilfredsstillende kvalitet. Det er spesielt i forhold til de kritiske systemene klassifiseringsprosjektet foreslår å sette inn tiltak. Ett av de foreslåtte tiltakene er å få utredet muligheten for alternative driftsløsninger, utenfor kommunens eksisterende driftslokaler, som sikrer at de mest kritiske systemene fortsatt fungerer, selv om kommunens systemer og/eller infrastruktur rammes av driftsproblemer eller driftsstans. Alternativ driftsløsning skal overta dersom kommunens ordinære driftssted faller ut. I tillegg anbefales det at det utarbeides og besluttes en grunnleggende prioritering av gjenoppretting av kritiske informasjonssystemer, i tilfeller der flere systemer er involvert i en hendelse. Tiltakene presenteres i sin helhet i saksutredningens kap. 4. Der tiltak vil ha økonomiske konsekvenser ut over vedtatt budsjettramme (gjelder tiltak 1), vil forslag om iverksetting av tiltak fremmes på vanlig måte gjennom de ordinære budsjett- og økonomiplanprosessene. Rapporten fra klassifiseringsprosjektet følger som vedlegg til saken. Rapportens vedlegg B D er med hjemmel i offentlighetsloven 24 tredje ledd unntatt fra offentligheten. 1

Vedtakskompetanse: Byrådets fullmakter 2.4: «Byrådet har ansvar og myndighet til å forestå den løpende drift av kommunens virksomhet.» Byråden for finans, eiendom og eierskap innstiller til byrådet å fatte følgende vedtak: 1. Alternativ driftsløsning skal utredes for informasjonssystemer hvor risiko er kritisk. 2. Beredskapsplaner skal etableres for informasjonssystemer som er klassifisert som kritisk og bør vurderes for informasjonssystemer som er klassifisert som høy, eller byråden for finans på annet grunnlag anser dette som nødvendig. 3. Beredskap på IKT-området skal integreres med kommunens øvrige beredskapsarbeid. 4. Berørte byråder får ansvar for å beslutte en grunnleggende prioritering av gjeninnføring/oppretting av kritiske informasjonssystemer i tilfeller hvor to eller flere systemer er involvert i en hendelse. 5. Forslag om iverksetting av tiltak vurderes gjennom de ordinære budsjett- og økonomiplanprosessene. Dato: 26. mai 2015 Dette dokumentet er godkjent elektronisk. Liv Røssland byråd for finans, eiendom og eierskap Vedlegg: 1. Rapport kartlegging og klassifisering 1.0 2. Rapport kartlegging og klassifisering - vedlegg b-d. U.off iht Off. loven 24 tredje ledd 2

Saksutredning: 1. Innledning I dagens samfunn er informasjonsteknologi og digitale løsninger tatt i bruk på de aller fleste områder. Dette ser vi også i kommunesektoren. Alle kommunens tjenester og ansatte er på ulike vis berørt av helt eller delvis elektroniske systemer. Noen av disse er gjennomgående systemer som benyttes for hele eller store deler av kommunen (sak-arkiv-system, økonomisystem, HR-system, epost-program osv.) Andre er sektorspesifikke, knyttet til bestemte tjenesteområder (journalsystem, turnus- og vikarsystem, kvalitetsog avvikssystemer osv.). En hel del systemer er rent fagspesifikke systemer som støtter en konkret funksjon/oppgaveløsning i en fagetat/avdeling (vannbehandlingssystem, brannvarslingssystem, trygghetsalarm osv.). I alt hadde Bergen kommune pr. første kvartal 2015 mer enn 300 elektroniske systemer (store og små) som behandler informasjon av en eller annen karakter. I denne saken omtales disse systemene som informasjonssystemer. En viktig målsetting i IKT Strategi 2014-2017 er at Bergen kommune skal være i stand til å håndtere forutsette og uforutsette hendelser på IKT-området på en slik måte at kritisk tjenesteproduksjon i minst mulig grad blir rammet og tilstrekkelig raskt kan tilbakeføres til ordinær drift. Klassifiseringsprosjektet er et tiltak for å sikre at Bergen kommune klarer å oppfylle denne målsettingen. Bergen kommune er med dette arbeidet blant de kommunene som er kommet lengst i verdivurdering av nødvendige informasjonssystemer. Samtidig er dette et helt nødvendig arbeid for å styrke sikringen av kritiske systemer. Bergen kommune er også i tett dialog og samarbeid med nasjonale aktører innen informasjonssikkerhet, og ligger generelt sett godt an i forhold til dette arbeidet. Det er i perioden september 2013 mars 2015 gjennomført en kartlegging og klassifisering av de ulike informasjonssystemene som er i bruk i kommunen (klassifiseringsprosjektet). Som ledd i dette arbeidet er det gjennomført risiko- og sårbarhetsanalyser, for å avdekke hvilke systemer som må anses å være kritiske for kommunen. Med utviklingen av nye teknologiske løsninger følger også nye trusler. Dette understrekes av både Nasjonal sikkerhetsmyndighet, PST og forsvarets etterretningstjeneste i deres risikovurderinger for 2015. Når virksomheten, i takt med samfunnet for øvrig, i stadig større grad baseres på og blir avhengig av elektroniske løsninger, øker også konsekvensene av både organiserte hackerangrep og andre former for sabotasje mot viktig infrastruktur og systemer som er avgjørende for å sikre kvalitet i kommunens tjenesteproduksjon. Men også uten slik organisert kriminalitet utenfra, er det risiko for systemsvikt og at kritisk og/eller konfidensiell informasjon skal komme på avveier, bli endret eller gå tapt. Konsekvensene av slike hendelser kan i noen tilfeller være svært alvorlige, med lovbrudd, materielle skader, økonomisk tap og i verste fall fare for liv og helse som resultat. Byrådet har i henhold til kommuneloven 20 nr. 2 ansvar for å sikre at administrasjonen driver i samsvar med lover, forskrifter og overordnede instrukser, og at den er gjenstand for betryggende kontroll. Av eforvaltningsforskriftens 15, følger krav til «internkontroll på informasjonssikkerhetsområdet». Byrådet har de siste årene tatt en rekke grep for å sikre betryggende kontroll. Det gjennomførte kartleggings- og klassifiseringsarbeidet av informasjonssystemer er en del av dette arbeidet. Samtidig med at klassifiseringsprosjektet har pågått, er det som ledd i arbeidet med samfunnssikkerhet og beredskap gjennomført overordnete ROS-analyse for Bergen kommune. Disse arbeidene er sett i sammenheng, slik at klassifiseringsprosjektet fungerer som en Nivå 2 ROS for IKT- og informasjonssikkerhetsområdet. 2. Om saken I denne saken gis en omtale av klassifiseringsprosjektet. Det gis en aggregert oversikt over verdivurderte (klassifiserte) systemer pr byrådsavdeling samt hvilke tiltak som anbefales for informasjonssystemer og tilhørende IKT-infrastruktur. 3

Formålet med saken er å på et overordnet nivå presentere resultater fra klassifiseringsprosjektet og å foreslå tiltak for å sikre et stabilt driftsregime for de informasjonssystemene som er rangert som «kritisk». Den viktigste anbefalingen er å få utredet muligheten for alternative driftsløsninger, utenfor kommunens eksisterende driftslokaler, som sikrer at de mest kritiske systemene fortsatt fungerer, selv om kommunens systemer og/eller infrastruktur rammes av driftsproblemer eller driftsstans. I tillegg anbefales det at det utarbeides og besluttes en grunnleggende prioritering av gjenoppretting av kritiske informasjonssystemer, i tilfeller der flere systemer er involvert i en hendelse. I det følgende gis en nærmere omtale av klassifiseringsprosjektet. Resultatene fra klassifiseringsarbeidet presenteres og det gis en orientering om de standarder som ligger til grunn for den klassifiseringen som foreligger (kap. 3). Deretter beskrives det hva resultatene fra klassifiseringsarbeidet vil innebære av tiltak (kap. 4). Avslutningsvis gis det en omtale av økonomiske konsekvenser og hvordan disse skal håndteres (kap 5). Rapporten fra klassifiseringsprosjektet følger som vedlegg til saken. Rapportens vedlegg B D er med hjemmel i offentlighetsloven 24 tredje ledd unntatt fra offentligheten. 3. Presentasjon av klassifiseringsprosjektet. Standarder som er benyttet og resultater. Seksjon IKT Konsern i Byrådsavdeling for finans, eiendom og eierskap har gjennomført prosjektet med bistand fra konsulentselskapet KPMG. I tillegg har sentrale aktører i byrådsavdelingene deltatt i gjennomføring av konsekvens- og sikkerhetsvurdering. Styringsgruppen har bestått av kommunaldirektører som har ansvar for tjenester med tettest kobling mellom kritisk tjenesteproduksjon og understøttende informasjonssystemer. Bergen kommunes systemoversikt, har vært grunnlag for arbeidet med klassifisering av informasjonssystemene. En del av arbeidet har vært å kvalitetssikre systemoversikten slik at den er i overensstemmelse med kommunens portefølje av informasjonssystemer. Oversikten inneholder blant annet en detaljert beskrivelse av hvilken informasjon som behandles i systemene, samt en del nøkkelinformasjon om systemene. Detaljene i denne oversikten er unntatt offentlighet(vedlegg B i fremlagte rapport). Begrunnelse for dette er at oversikten inneholder opplysninger som kan benyttes til å skade Bergen kommune dersom de kommer uvedkommende i hende. I denne klassifiseringen er informasjonssystemene plassert i kategorier fra "lav" til "kritisk". Kategoriene har følgende definisjoner, som er basert på kjente standarder innenfor området. Klasse/Område Tilgjengelighet Konfidensialitet Integritet Kritisk Systemet understøtter funksjoner og tjenester som er tidskritisk for kommunen i en krisesituasjon. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunen i en krisesituasjon. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunen i en krisesituasjon. Høy Systemet understøtter funksjoner og tjenester som er tidskritisk for kommunens daglige drift. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunens daglige drift. systemet vil være ødeleggende for funksjoner og tjenester som er kritisk for kommunens daglig drift. Middels Systemet understøtter funksjoner og tjenester som er viktig for kommunen, men ikke tidskritisk. systemet vil kunne skade kommunens funksjoner og tjenester i daglig drift. systemet vil kunne skade kommunens funksjoner og tjenester i daglig drift. 4

Lav Systemet understøtter ikke funksjoner eller tjenester som er tidskritiske for kommunens daglige drift. systemet vil ikke påvirke kommunens funksjoner og tjenester i daglig drift. systemet vil ikke påvirke kommunens funksjoner og tjenester i daglig drift. Krisesituasjon En alvorlig situasjon eller hendelse som avviker fra de som kan betraktes som normalt. Daglig drift Tjenester og funksjoner som kommunen normalt utøver Tidskritiske Hendelsen får umiddelbar negativ effekt for liv, helse, økonomi, effektivitet osv. Konfidensialitet At informasjon bare behandles av de som har behov for den, og at utilsiktet innsyn i informasjon unngås. Integritet At informasjonens innhold er korrekt. Tilgjengelighet At informasjonen er tilgjengelig når det er behov for den. Oppsummert har prosjektet utviklet en oversikt over de informasjonssystemene gruppert pr. byrådsavdeling, klassifisert innenfor de kategorier som beskrevet i ovenstående tabell. Som vist nedenfor er det avdekket at 10 informasjonssystemer er klassifisert som «kritisk». Dersom informasjonen i disse systemene blir utilgjengelig, eksponert for uvedkommende eller har feil kvalitet, kan det føre til at de virksomhets- og samfunnskritiske tjenestene ikke kan produseres eller produseres med tilstrekkelig kvalitet. Det er først og fremst i forhold til disse systemene klassifiseringsprosjektet foreslår å sette inn tiltak. I forhold til systemer som er klassifisert som høy, middels og lav ansees etablert driftsnivå som tilstrekkelig. BLED BBKM BFEE BBS BHO BSBO BKNIK Bystyrets organer Kritisk 1 3 2 0 4 0 0 0 Høy 12 9 5 6 2 1 0 0 Middels 33 64 58 10 19 26 14 5 Lav 1 12 19 12 6 1 2 2 Kun informasjonssystemer klassifisert til "kritisk" er verdivurdert, det kan derfor være forskyvninger mellom de andre kategoriene. 4. Hva klassifiseringen innebærer. Tiltak Klassifiseringsprosjektet har bl.a. avdekket at kommunen ikke i tilstrekkelig grad har etablert et driftsregime som kan håndtere de kravene som bør stilles til informasjonssystemer som understøtter virksomhets- og samfunnskritiske tjenester. Dersom en hendelse fører til bortfall eller feil i informasjonsgrunnlaget til et informasjonssystem, vil dette få umiddelbare og store konsekvenser for kommunen ved at tjenesteleveranser blir betydelig forringet eller står i fare for å stanse opp. Dette kan føre til alvorlige økonomiske konsekvenser, lovbrudd, materielle skader og i ytterste konsekvens fare for liv og helse blant innbyggerne og/eller ansatte. Bergen kommune ble rammet av et tjenestenektangrep høsten 2014, som rammet hele IKT-infrastrukturen og Bergen kommune var uten IKT-tjenester en hel dag. I vår digitale tidsalder må en kommune som Bergen forvente cyberangrep (organiserte hacker-angrep) av både mer sofistikert karakter og med mer alvorlig virkning enn det som har vært observert til nå (jf. NSM, PST og e-tjenestens risikovurderinger). Kommunens regime for drift av IKT-infrastruktur og systemer er i dag tilpasset driftsnivåer i daglig bruk. Gjennom klassifiseringsarbeidet har det blitt klart at det over tid har eksistert et udekket behov for sikring av informasjonssystemene som er klassifisert som "kritisk". Konkret foreslås det at følgende tiltak settes i verk for å etablere et tilfredsstillende sikkerhetsregime for de mest kritiske informasjonssystemer i Bergen kommune: 1. Alternativ driftsløsning skal utredes for informasjonssystemer hvor risiko er kritisk. 5

2. Beredskapsplaner skal etableres for informasjonssystemer som er klassifisert som kritisk og bør vurderes for informasjonssystemer som er klassifisert som høy, eller byråden for finans på annet grunnlag anser dette som nødvendig. 3. Beredskap på IKT-området skal integreres med kommunens øvrige beredskapsarbeid. 4. Berørte byråder får ansvar for å beslutte en grunnleggende prioritering av gjeninnføring/oppretting av kritiske informasjonssystemer i tilfeller hvor to eller flere systemer er involvert i en hendelse. 5. Økonomiske og administrative konsekvenser av foreslåtte vedtak Skal Bergen kommune sikre et driftsregime som kan håndtere de kravene som bør stilles til informasjonssystemer som understøtter virksomhets- og samfunnskritiske tjenester, må det etableres tiltak som bl.a. å få utredet alternative driftsløsninger. Resultatet av denne utredning vil utløse behov for nye investeringer og påfølgende driftskostnader. Størrelsen på disse kostnadene vil avhenge av hvilke løsninger som velges, og vil først være klar når utredningsarbeidet er gjennomført og strategi for alternative driftsløsninger er valgt. Som ledd i arbeidet med å velge løsning må det gjøres kost- /nyttevurderinger. Det anbefales at investerings- og driftsbehovet behandles gjennom de ordinære budsjett- og økonomiplanprosessene. Øvrige tiltak (2-4) håndteres i utgangspunktet innenfor eksisterende rammer. 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding