1. Stellenwert der Informationssicherheit
Die Verwaltungsgemeinschaft Ilmmünster besitzt eine enorme Aufgabenvielfalt die permanen- ten Änderungen unterliegt. Eine wirtschaftliche, zeitnahe Aufgabenerfüllung stützt sich dabei zunehmend auf die Möglichkeiten der Informationstechnologie und ist für die Verwaltungsge- meinschaft Ilmmünster unabdingbar. Sie eröffnet völlig neue Möglichkeiten, die auch die Ver- waltungsgemeinschaft Ilmmünster aktiv nutzt. In Abwägung der zu schützenden Werte, der gesetzlichen Anforderungen, Informationen und der damit verbundenen Risiken wird ein an- gemessenes Informationssicherheitsniveau geschaffen. Durch diese Informationssicherheits- leitlinie (ISL) wird die Übernahme der Gesamtverantwortung durch den Unterzeichner zum Ausdruck gebracht.
Informationssicherheit umfasst neben IT-Systemen auch Papierunterlagen in Form von Akten und sonstigen Papierunterlagen und Daten im allgemeinen Sinn. Sie umfasst die Summe aller organisatorischen, personellen und technischen Maßnahmen, um die Informationssicherheit zu gewährleisten. Somit ist jede*r Beschäftigte*r für die Informationssicherheit in seinem oder ihrem Zuständigkeitsbereich mitverantwortlich.
Modernes Handeln erfordert den Einsatz aktueller Informationstechnologien, um die Aufga- benerfüllung der Kommunalverwaltung im Sinne der Bürgerschaft, ortsansässiger Unterneh- men oder weiterer Partner effizient und effektiv zu gestalten. Dies trifft auch auf die Verwal- tungsgemeinschaft Ilmmünster zu. Beim Einsatz von Informationstechnologie muss darauf ge- achtet werden, dass der Sensibilität, der ihr übertragenen und von ihren verarbeiteten Infor- mationen und Daten, mit der nötigen Sorgfalt Rechnung getragen wird. Die Informationssi- cherheit ist eine unverzichtbare Grundlage für ein Handeln, dem die Bürgerschaft, die Unter- nehmen und alle Partner ihr Vertrauen schenken können. Daher muss sich die Verwaltungs- gemeinschaft Ilmmünster dem Thema Sicherheit in der Informationstechnik in geeigneter Form stellen und die verarbeiteten Daten geeignet schützen.
2. Geltungsbereich der Informationssicherheitsleitlinie
Der Geltungsbereich der Informationssicherheitsleitlinie wird für den gesamten Tätigkeitsbe- reich der Verwaltungsgemeinschaft Ilmmünster folgendermaßen festgelegt:
- Das Rathaus der Verwaltungsgemeinschaft Ilmmünster in der Freisinger Straße 3 in 85304 Ilmmünster
- Der Bauhof VG Ilmmünster, Logenweg 15, 85276 Hettenshausen
- Das Rathaus der Gemeinde Hettenshausen, Hauptstraße 65, 85276 Hettenshausen
- Der gemeindliche Kindergarten Kreuzberg 2A in 85276 Hettenshausen
- Der gemeindliche Kindergarten Kirchberg 2, 85304 Ilmmünster
- Die Gemeindebücherei im Benefiziatenhaus, -Arsatius-Straße 4, 85304 Ilmmünster
Die Umsetzung der Maßnahmen (Scope für Prüfabnahme) zum gewählten Informationssicher- heitsmanagementsystem (ISMS) wird bis zum geplanten Internen Wiederholungsaudit auf den zentralen Verwaltungsbereich (Rathaus) festgelegt.
3. Zielsetzungen
Für die Umsetzung der Informationssicherheit werden jährlich Ziele festgelegt. Diese werden im Dokument A-060 Ziele Informationssicherheit festgeschrieben.
4. Bezug der Informationssicherheit zu den Aufgaben
Es ist notwendig, das Zusammenspiel der Informationen, IT-Verfahren und Aufgaben sowie der Infrastruktur der Informationstechnik und Kommunikationskanälen ganzheitlich zu betrach- ten. Bei den Aufgaben der Verwaltungsgemeinschaft Ilmmünster, intern und für Kunden, wer- den Informationen verarbeitet. Sowohl bei der Erbringung der Pflichtaufgaben als auch der Aufgaben, die Verwaltungsgemeinschaft Ilmmünster auf freiwilliger Basis übernimmt, werden Informationen erhoben und verarbeitet, deren Vertraulichkeit, Integrität und Verfügbarkeit ein hohes Gut darstellen. Hierbei handelt es sich z. B. um Daten, die entsprechend gesetzli- chen Anforderungen geschützt werden müssen, oder auch um wettbewerbsrelevante Informa- tionen von Unternehmen, die Unberechtigten nicht bekannt werden dürfen.
Begriffserklärung:
Vertraulichkeit
Vertraulichkeit bedeutet Schutz vor unberechtigtem Einblick und Verrat von Informationen o- der vertraulichen Daten.
Integrität
Integrität bezeichnet das durchgängige Funktionieren von IT-Systemen sowie die Vollständig- keit und Richtigkeit von Daten und Informationen. In Bezug auf die Informationssicherheit bedeutet Integrität das Verhindern von nicht genehmigten Veränderungen oder Löschen von wichtigen Informationen. Integrität von Daten kann man z. B. durch Verschlüsselung erreichen.
Verfügbarkeit
Verfügbarkeit definiert, zu welchem Grad IT-Systeme, IT-Anwendungen, IT-Netzwerke und elektronische Informationen einer oder einem Benutzer*in zur Verfügung stehen und ohne Einschränkung verwendet werden können.
5. Kernelemente der Sicherheitsstrategie
- Informationssicherheit ist für das Handeln der Verwaltungsgemeinschaft Ilmmünster sehr wichtig.
- Jede*r Beschäftigte ist für Informationssicherheit verantwortlich. Die Informationssi- cherheit gehört zu den Dienstpflichten aller Beschäftigten. Nur wenn alle Beschäftig- ten ihre Verantwortung in der täglichen Arbeit wahrnehmen, kann ein geeignetes Ni- veau der Informationssicherheit erreicht
- Dieses Dokument ist für alle Beschäftigten verbindlich und wird von dem Gemein- schaftsvorsitzendem und der Behördenleitung voll unterstützt.
Als zentrale Sicherheitsinstanz ernennt der Gemeinschaftsvorsitzende eine*n Informationssi- cherheitsbeauftragte*n (ISB), der oder die für alle Belange, Fragen und Umsetzung der Infor- mationssicherheit zuständig ist. Er oder Sie ist der Behördenleitung in dieser Rolle direkt un- terstellt. Dem/Der ISB sind sowohl geeignete Qualifizierungsmaßnahmen als auch zeitliche Ressourcen zu ermöglichen, um seine oder ihre Verantwortung fachlich und zeitlich zu erfül- len. Ein Informationssicherheits-Managementsystem (ISMS) ist weiterhin im Einsatz und wird angepasst. In regelmäßigen Abständen ist zu prüfen, ob die ausgewählten Sicherheitsmaß- nahmen noch ausreichend sind.
Die Verwaltungsgemeinschaft Ilmmünster verankert das Thema Informationssicherheit in der Organisation. Eine vereinfachte Übersicht über die Geschäftsverteilung kann im Dokument A- 130 Organisationsplan eingesehen werden.
Die Verwaltungsgemeinschaft Ilmmünster verankert das Thema Informationssicherheit in
- einer geeigneten Informationssicherheitsorganisation, die aktiv das Thema Informati- onssicherheit betreibt - siehe A-090 Informationssicherheitsteam,
- klar formulierte Sicherheitsvorgaben in Form von Dienstanweisungen, die für alle Be- schäftigten verbindlich sind,
- die Integration von Sicherheitsaspekten in alle aus Sicht der Informationssicherheit relevanten Prozesse,
- kontinuierliche und flächendeckende Sensibilisierungsmaßnahmen für alle Beschäf-
Die Verwaltungsgemeinschaft Ilmmünster sorgt auch für eine Absicherung der IT-Infrastruktur durch Umsetzung geeigneter Sicherheitsmaßnahmen auf der Infrastrukturebene.
Personen und Unternehmen, die nicht zur Verwaltungsgemeinschaft Ilmmünster gehö- ren, für diesen aber Leistungen erbringen (Auftragnehmer), haben die Vorgaben des Auftraggebers zur Einhaltung der Informationssicherheitsziele gemäß dieser ISL einzu- halten. Der Auftraggeber informiert den Auftragnehmer über diese Regeln und ver- pflichtet ihn in geeigneter Weise zur Einhaltung (durch AVV = Auftragsverarbeitungsvertrag).
Sicherheitsanforderungen von übergeordnetem Interesse, für deren Umsetzung eine vertrag- liche oder gesetzliche Verpflichtung besteht, sind zu erfüllen. Entsprechende Vorschriften und Maßnahmen stellen den Mindeststandard bei der Formulierung interner Vorschriften und Maß- nahmen dar.
6. Verpflichtung zur Umsetzung
Der/die Unterzeichner*in trägt die Gesamtverantwortung für die Informationssicherheit. Es ob- liegt ihr/ihm, für die Umsetzung der Maßnahmen zur Gewährleistung der Informationssicher- heit zu sorgen und die dafür benötigten Ressourcen bereitzustellen. Die Verwaltungsgemein- schaft Ilmmünster plant, sich für die Umsetzung von Informationssicherheit am Standard BSI Kommunalprofil zu orientieren.
Alle Beschäftigten sind verpflichtet, sorgfältig mit den zur Verfügung stehenden Informationen umzugehen und aktiv bei der Umsetzung der Maßnahmen zur Gewährleistung der Informati- onssicherheit mitzuwirken. Einzelne Maßnahmen zur Verbesserung des Sicherheitsniveaus
werden in Informationssicherheitsrichtlinien und Dienstanweisungen konkretisiert und umge- setzt. Erlassene Informationssicherheitsrichtlinien und Dienstanweisungen sind für alle Be- schäftigten bindend.
Für bereits betriebene und geplante Informationstechnik ist eine Sicherheitskonzeption (F-010 Sicherheitskonzept) zu erstellen. Die sich daraus ergebenden Maßnahmen sind auch dann umzusetzen, wenn sich Beeinträchtigungen für die Nutzung ergeben. Der Verantwortli- che hat bei Verstößen und Beeinträchtigungen die zur Aufrechterhaltung des Betriebes und der Informationssicherheit geeignete und angemessene Maßnahmen zu ergreifen. Die Sicher- heitskonzeption wird von der oder dem ISB jährlich auf Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst.
7. Verpflichtung
zur kontinuierlichen Verbesserung (PDCA)
Der Gemeinschaftsvorsitzender verpflichtet sich die Optimierung der Informationssicherheit in die Geschäftsprozesse zu integrieren. Der Gemeinschaftsvorsitzender ist regelmäßig bzw. im Einzelfall akut über den aktuellen Sicherheitszustand durch den oder die ISB zu informieren und ist für die Absicherung der Kontinuität des Sicherheitsprozesses verantwortlich.
Der oder Die ISB ist bei allen organisatorisch-technischen Neuerungen oder Änderungen, die Auswirkungen auf die Informationssicherheit haben können, frühzeitig einzubinden. Verant- wortlich für die Weiterentwicklung der ISL und der Sicherheitskonzeption ist der oder die ISB, wobei er oder sie von den Fachverantwortlichen bestmöglich unterstützt wird. Die Beschäftig- ten sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben.
Informationssicherheit ist kein unveränderlicher Zustand, sondern hängt von vielen internen und externen Begebenheiten und Einflüssen ab, wie z. B. neuen Bedrohungen, neuen Geset- zen oder auch der Entwicklung neuer technischer Lösungen, denen Rechnung getragen wer- den müssen.
8. Aktualisierung der Leitlinie Informationssicherheit
Das Sicherheitskonzept wird von der/dem ISB jährlich auf seine Aktualität und Wirksamkeit geprüft und bei Bedarf angepasst. Der Gemeinschaftsvorsitzender unterstützt die ständige Verbesserung des Sicherheitsniveaus. Mögliche Verbesserungen oder Schwachstellen sind an den/die ISB weiterzugeben.
Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das ange- strebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation zu verbessern und ständig auf dem aktuellen Stand der Sicherheitstechnik zu halten.
9. Inkraftsetzung
Die Informationssicherheitsleitlinie tritt mit Unterzeichnung in Kraft, ersetzt damit die bisherige Leitlinie und wird allen Beschäftigten nach Unterschrift umgehend zur Kenntnis gebracht.
Ilmmünster, den 06.02.2024
Georg Ott, Gemeinschaftsvorsitzender