Informationssicherheit
Leitlinie zur Informationssicherheit des Landratsamtes Garmisch-Partenkirchen
Stellenwert der Informationssicherheit
Das Landratsamt Garmisch-Partenkirchen besitzt eine enorme Aufgabenvielfalt, die permanenten Änderungen unterliegt. Eine wirtschaftliche, zeitnahe Aufgabenerfüllung stützt sich dabei stark auf die Möglichkeiten der Informationstechnologie und ist für die Organisation unabdingbar. In Abwägung der zu schützenden Werte, der gesetzlichen Anforderungen, Informationen und der damit verbundenen Risiken wird ein angemessenes Informationssicherheitsniveau geschaffen.
Informationssicherheit umfasst neben IT-Systemen auch Papierunterlagen in Form von Akten und sonstigen Papierunterlagen und Daten im allgemeinen Sinn. Sie umfasst die Summe aller organisatorischen, personellen und technischen Maßnahmen, um die Informationssicherheit zu gewährleisten. Somit ist jede Mitarbeiterin und jeder Mitarbeiter für die Informationssicherheit zuständig.
Modernes Verwaltungshandeln erfordert zunehmend den Einsatz aktueller Informationstechnologien, um die Aufgabenerfüllung der Kommunalverwaltung im Sinne der Bürgerinnen und Bürger, Unternehmen oder weiterer Partner effizient und effektiv zu gestalten. Beim Einsatz von Informationstechnologie muss darauf geachtet werden, dass der Sensibilität der ihr übertragenen und von ihr verarbeiteten Informationen und Daten mit der nötigen Sorgfalt Rechnung getragen wird. Die Informationssicherheit ist daher eine unverzichtbare Grundlage für das Verwaltungshandeln.
Geltungsbereich
Diese Leitlinie gilt für den gesamten Tätigkeitsbereich des Landratsamtes Garmisch-Partenkirchen. Sie enthält die Leitsätze für die Informationssicherheit und die zugehörige Sicherheitsstrategie. Werden Dritte mit der Erbringung von Leistungen beauftragt, ist durch vertragliche Vereinbarungen sicherzustellen, dass die Bestimmungen dieser Leitlinie in den Leistungsbeziehungen berücksichtigt werden.
Bezug der Informationssicherheit zu den Zielen und Aufgaben
Es ist notwendig das Zusammenspiel der Informationen, IT-Fachverfahren, Aufgaben und Produkte sowie der Infrastruktur der Informationstechnik und Kommunikationskanäle ganzheitlich zu betrachten. Informationssicherheit umfasst die Summe aller organisatorischen, personellen und technischen Maßnahmen, um diese Ziele zu erreichen. Sowohl bei der Erbringung der Pflichtaufgaben als auch der Aufgaben, die das Landratsamt Garmisch-Partenkirchen auf freiwilliger Basis übernimmt, werden Informationen erhoben und verarbeitet, deren Vertraulichkeit, Integrität und Verfügbarkeit ein hohes Gut darstellen. Hierbei handelt es sich z.B. um Daten, die entsprechend gesetzlicher Anforderungen geschützt werden müssen, oder auch um wettbewerbsrelevante Informationen von Unternehmen, die Unberechtigten nicht bekannt werden dürfen.
Kernelemente der Sicherheitsstrategie
- Jede Mitarbeiterin und jeder Mitarbeiter ist für Informationssicherheit verantwortlich. Die Informationssicherheit gehört zu den Dienstpflichten aller Beschäftigten. Nur wenn alle Beschäftigten ihre Verantwortung in der täglichen Arbeit wahrnehmen, kann ein geeignetes Niveau der Informationssicherheit erreicht werden.
- Es ist ein Informationssicherheitsmanagementsystem (ISMS) zu etablieren.
- Das Landratsamt Garmisch-Partenkirchen orientiert sich bei der Umsetzung von Informationssicherheit an allgemein gültigen Standards (ISO 27001, IT-Grundschutzkatalog und ISIS12).
In regelmäßigen Abständen ist zu prüfen, ob die ausgewählten Sicherheitsmaßnahmen noch ausreichend sind. - Es wird eine geeignete Informationssicherheitsorganisation eingerichtet, die aktiv das Thema Informationssicherheit betreibt.
- Sicherheitsvorgaben sind in Form von Dienstanweisungen zu formulieren, die für alle Beschäftigten verbindlich sind.
- Sicherheitsaspekte werden in alle aus Sicht der Informationssicherheit relevanten Prozesse integriert.
- Es werden geeignete Sicherheitsmaßnahmen zur Absicherung der IT-Infrastruktur - (Infrastrukturebene) ergriffen.
- Sensibilisierungsmaßnamen sind kontinuierlich und flächendeckend für alle Beschäftigen anzubieten.
- Personen und Unternehmen, die Leistungen für das Landratsamt Garmisch-Partenkirchen erbringen (Auftragnehmer) sind vertraglich zur Einhaltung der Informationssicherheitsziele gemäß dieser Dienstanweisung (Auftragsverarbeitung) zu verpflichten. Der Auftraggeber informiert den Auftragnehmer über diese Regeln und verpflichtet ihn in geeigneter Weise zur Einhaltung.
- Sicherheitsanforderungen von übergeordnetem Interesse, für deren Umsetzung eine vertragliche oder gesetzliche Verpflichtung besteht, sind zu erfüllen. Entsprechende Vorschriften und Maßnahmen stellen den Mindeststandard bei der Formulierung behördeninterner Vorschriften und Maßnahmen dar.
Aufbauorganisation
Als zentrale Sicherheitsinstanz ernennt die Behördenleitung einen Informationssicherheitsbeauftragten (ISB), der für alle Belange und Fragen der Informationssicherheit zuständig ist. Er ist der Behördenleitung organisatorisch direkt unterstellt und berichtet ihr unmittelbar. Ein Austausch mit der Leitung der Informationstechnik findet regelmäßig statt.
Dem Sicherheitsbeauftragten werden erforderliche Ressourcen bereitgestellt. Ihm werden geeignete Qualifizierungsmaßnahmen ermöglicht, um seine Aufgaben zeitlich und fachlich zu erfüllen.
Es wird ein Informationssicherheits-Management-Team (ISMT) eingerichtet. Dieses wirkt im gesamten Informationssicherheits-Managementprozess und bei der Einschätzung der Informationssicherheits-Maßnahmen mit. Das ISMT unterstützt den ISB in seiner Aufgabenerfüllung.
Umsetzung der Informationssicherheitsstrategie
Personal- und Finanzmittel werden im erforderlichen Rahmen bereitgestellt, um ein angemessenes Informationssicherheitsniveau bei der Verarbeitung schützenswerter Daten sicher zu stellen. Diese werden durch die Verfahrensverantwortlichen / Fachbereiche in Abstimmung mit dem Informationssicherheitsbeauftragten eingeplant.
Für bereits betriebene und für geplante Informationstechnik ist eine Sicherheitskonzeption zu erstellen. Die sich daraus ergebenden Maßnahmen sind auch dann umzusetzen, wenn sich Beeinträchtigungen für die Nutzung ergeben.
Die Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch Sicherheitsvorfälle verursacht werden kann. Dies schließt auch Schäden ein, die monetär schwer fassbar sind, wie zum Beispiel Ruf- und Ansehensschäden oder Personenschäden. Stehen mehrere alternative Maßnahmen zur Erreichung eines Sicherheitsziels zur Verfügung, so wird diejenige ausgewählt, die hinsichtlich der Investitionen und Betriebskosten die wirtschaftlichste ist. Die Sicherheitskonzeption wird vom dem ISB regelmäßig auf Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst.
Verpflichtung zur kontinuierlichen Verbesserung
Die Amtsleitung und alle Mitarbeiterinnen und Mitarbeiter verpflichten sich zur Optimierung der Informationssicherheit. Die Amtsleitung ist regelmäßig bzw. im Einzelfall akut über den aktuellen Sicherheitszustand durch den ISB zu informieren. Informationssicherheit ist kein unveränderlicher Zustand, sondern hängt von vielen internen und externen Begebenheiten und Einflüssen ab, wie z. B. neuen Bedrohungen, neuen Gesetzen oder auch der Entwicklung neuer technischer Lösungen, denen Rechnung getragen werden muss.
Aktualisierung des Informationssicherheitskonzepts
Das Sicherheitskonzept wird vom ISB jährlich auf seine Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst. Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheit- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der Sicherheitstechnik zu halten.