Fördermittel für die erfolgreiche Einführung eines ISMS bei bayerischen Kommunen
Um ein nachhaltiges und hohes IT-Sicherheitsniveau in der gesamten bayerischen Verwaltung zu erreichen, fördert der Freistaat Bayern im Rahmen der Initiative Cybersicherheit nach Maßgabe einer Förderrichtlinie die Implementierung eines Informationssicherheits-Managementsystems (ISMS) bei Kommunalverwaltungen. Dadurch erhalten Kommunen eine anteilige Förderung für Beratung, Schulung und Abnahme einer erfolgreichen Einführung anerkannter ISMS-Standards. Zu den geförderten Standards zählen VDS 10o00 (ehemals 3473), die sog. Arbeitshilfe der Innovationsstiftung Bayerische Kommune, CISIS12 des IT-Sicherheitsclusters Regensburg, die drei Absicherungsstufen (Basis, Kern und Standard) des BSI IT-Grundschutz und das in der Basis-Absicherung enthaltene Kommunalprofil sowie die weltweit anerkannte Norm ISO 27001.
Was wird als Nachweis einer erfolgreichen Einführung eines ISMS durch eine bayerische Kommune von der bayrischen Förderstelle anerkannt?
Um nach der erfolgreichen Einführung des ISMS auf Basis einer der genannten Normen die Fördermittelausschüttung zu beantragen, sind unterschiedliche Nachweise nötig. Während für ein erfolgreich eingeführtes ISMS auf Basis der Arbeitshilfe das Siegel “Kommunale IT-Sicherheit” des Landesamts für Sicherheit in der Informationstechnik Bayern (kurz LSI) in aktueller Version nachgewiesen werden muss, sind für ISMS in anderen Standards entweder ein erfolgreiches Fördermittelaudit oder das BSI Basis-Testat oder eine Zertifizierung nachzuweisen.
Die ersten bayerischen Kommunen stehen vor dem Ende der erfolgreichen Einführung
- des BSI IT-Grundschutzes Kommunalprofils im Rahmen der Basisabsicherung oder
- der BSI IT-Grundschutzes Basis-Absicherung.
Für das Kommunalprofil sieht das BSI keinen Nachweis im Rahmen des sog. Testats für eines Basis-Absicherung vor. Hier muss ein Fördermittelaudit durchgeführt werden, das bei Bestehen einen positiven Prüfnachweis zum Ergebnis hat. Mit diesem Prüfnachweis kann die Kommune die Ausschüttung der Fördermittel bei der Förderstelle bei der Regierung Oberfranken (für ganz Bayern) beantragen. Sofern die komplette Basis-Absicherung umgesetzt wurde, sind sowohl ein Fördermittelaudit mit Prüfnachweis als auch der erfolgreiche Erhalt des Testats nach der Basis-Absicherung als Auslöser für die Ausschüttung möglich. Es müssen nicht beide Nachweise erbracht werden.
Was wird für das Fördermittelaudit im Rahmen des Kommunalprofils oder der Basis-Absicherung des BSI IT-Grundschutz benötigt?
Wie kann ich als bayerische Kommune ein solches Fördermittelaudit und bei Bestehen den positiven Prüfnachweis erhalten? Ganz einfach. Sie brauchen Folgendes:
- Entweder einen zertifizierten BSI IT-Grundschutz-Auditor oder einen zertifizierten ISO 27001 Auditor. Gut zu wissen: Der Auditor muss nicht bei einer Zertifizierungsstelle akkreditiert sein. Es reicht der Nachweis der Fachkunde als Auditor durch das Personenzertifikat des Auditors für einen der beiden Standards aus.
- Ein zugelassenes Prüfschema, das möglichen Rückfragen der Förderstelle zu den geprüften Details und den durch den Auditor getroffenen Bewertungen standhält.
Wie läuft so ein Fördermittelaudit ab?
Das Prüfschema sieht vor, dass ein solches Audit einen zeitlichen Umfang von 1,5 Tagen (bei bis zu 250 IT-Arbeitsplätzen) bis zu 2,0 Tagen (bei mehr als 250 IT-Arbeitsplätzen) haben muss. Das Audit ist in 3 Phasen unterteilt:
- Dokumentenprüfung
- Prüfung des Informationsverbundes
- Bausteinprüfung
Während bei der Dokumentenprüfung die für ein ISMS üblicherweise notwendigen Pflichtdokumentationen geprüft werden, wird in der 2. Phase der gewählte Informationsverbund betrachtet, bewertet und auf dessen korrekter Abbildung in der IT-Grundschutz-Systematik geachtet. In Phase 3, der Bausteinprüfung gilt es 3 Pflichtbausteine und eine Anzahl an Wahlbausteinen (in Abhängigkeit von der Organisationsgröße) auf korrekte Bearbeitung zu prüfen.
Am Ende erfolgt die Bewertung nach dem klassischen Muster: Erfüllt, Empfehlung (Verbesserungspotential vorhanden), geringfügige Abweichung und schwerwiegende Abweichung. Sofern keine geringfügigen und / oder schwerwiegenden Abweichungen vorliegen, steht dem Ausstellen eines positiven Prüfnachweis nichts im Wege. Neben dem Prüfnachweis erstellt der Auditor einen ausführlichen Prüfbericht mit seinen Bewertungen und Ergebnissen.
Führt die a.s.k. Datenschutz Fördermittelaudits im Rahmen des Kommunalprofils oder der Basis-Absicherung des BSI IT-Grundschutz für bayerische Kommunen durch?
Wir freuen uns, dass wir bayerischen Kommunen den notwendigen Auditor bieten und das Fördermittelaudit auf Basis eines belastbaren und nachvollziehbaren Prüfschemas durchführen können. Unterstützt wird das Audit und die Audit-Dokumentation durch unser hausinternes Audit-Tool, das am Ende einen belastbaren und nachvollziehbaren Audit-Bericht erstellt. Sollten Sie als bayerische Kommune ein Fördermittelaudit planen bzw. benötigen, dann sprechen Sie uns bitte frühzeitig an.
Dabei gibt es jedoch eine klassische Audit-Regel zu beachten: Wer berät, auditiert nicht. Wenn Sie also durch uns bei der Einführung Ihres ISMS auf Basis des BSI IT-Grundschutz begleitet wurden, können wir Sie nicht auditieren. Das versteht sich eigentlich von selbst. Gerne stellen wir Ihnen aber in diesem Fall den Kontakt zu qualifizierten Auditoren her. Auswählen müssen Sie dann jedoch selbst 🙂
Bedarf für ein Fördermittelaudit für das Kommunalprofil im Rahmen der Basis-Absicherung oder die komplette Basis-Absicherung des IT-Grundschutzes? Dann sprechen Sie uns doch einfach an.