Gem. Art. 11 Abs. 1 BayEGovG haben Behörden im Rahmen der Verhältnismäßigkeit die Sicherheit der informationstechnischen Systeme sicherzustellen. Es müssen dazu angemessene technische und organisatorische Maßnahmen getroffen, sowie ein Informationssicherheitskonzept erstellt werden. Es genügt nicht die Vorgaben der neuen Datenschutzgrundverordnung einzuhalten. Vielmehr sind unter dem Begriff Informationssicherheit neben der Technik auch die Organisation, die Prozesse und die Mitarbeiterinnen und Mitarbeiter betroffen. Informationssicherheit bedeutet Sicherheit der Daten und Sicherheit von Prozessen und Abläufen. Sämtliche Informationen, Dokumente und Daten, die bekannt, verarbeitet und gespeichert werden müssen gesichert, vor Zerstörung, Verlust, Enthüllung und Missbrauch von innen und außen geschützt werden.
Ein Teilbereich betrifft die Informationstechnologie, deren Sicherheit im Rahmen des Rechenzentrumsbetriebs gewährleistet ist. Neben dem Schutz vor Zugriffen Dritter und Zerstörung durch Brand oder anderer Einflüsse werden unsere Daten täglich gesichert, so dass sie zu jeder Zeit wiederhergestellt werden können.
Daten werden aber auch in Papierform verarbeitet und abgelegt. Mitarbeiterinnen und Mitarbeiter arbeiten täglich mit sensiblen Daten, die besonderen schutzwürdigen Interessen unterliegen. Der Arbeitgeber muss auch Vorkehrungen zum Datenmissbrauch treffen.
Daher ist es notwendig ein Informationssicherheitskonzept zu erstellen, das nach einer Bestandsaufnahme einer Bewertung unterzogen wird und daraus resultierende Maßnahmen umgesetzt werden. Die Frist zur Umsetzung ist um ein Jahr bis zum 01.01.2019 verlängert worden.
Die Innovationsstiftung Bayerischer Kommunen hat dazu eine Arbeitshilfe erstellt, die aber dermaßen umfangreich, komplex und für Laien schwer zu vollziehen ist. Daneben bietet sie auch nur ein mittelmäßiges Schutzniveau, so dass für eine Kommune unserer Größenordnung eine Umsetzung nach ISIS 12 in Betracht kommt.
Informationssicherheit in 12 Schritten bedeutet:
- Leitlinie erstellen
- Mitarbeiter sensibilisieren
- Informationssicherheitsteam aufbauen
- IT-Dokumentation erstellen
- IT-Service-Management-Prozess einführen
- Kritische Anwendungen identifizieren
- IT-Struktur analysieren
- Sicherheitsmaßnahmen modellieren
- IST-SOLL vergleichen
- Umsetzung planen
- Umsetzen
- Revision
Dieser Prozess ist nicht nur eine einmalige Angelegenheit, sondern muss laufend überprüft und entsprechend angepasst werden.
Ohne fachliche Begleitung ist dies aber nicht möglich, so dass die Verwaltung zur Umsetzung der Informationssicherheit ein Angebot eingeholt hat. Eine weitere Angebotsaufforderung blieb unbeantwortet.
In geschätzt 10 Beratertagen wird gemeinsam eine Dokumentation erstellt, die Implementierung von ISIS 12 betreut und begleitet, alle Mitarbeiter (Verwaltung, Kindergärten, Minijobber etc.) geschult und sensibilisiert. Daneben der Informationssicherheitsbeauftragte geschult und eine Projektdokumentation erstellt. Das Angebot beläuft sich auf 14.042,00 € brutto und wird vom Bayer. Innenministerium gefördert. Mit Schreiben vom 20. Juni wurde eine Projektförderung von 50 % der Kosten bis maximal 12.000,00 € bestätigt und ein Vertrag über die Zuwendung zugesandt. Dieser ist bis spätestens 18.07.2018 zurückzusenden.
