Zum Inhalt springen

För­der­mit­tel­au­dit Kom­mu­nal­pro­fil im Rah­men der BSI IT-Grund­schutz Basisabsicherung

För­der­mit­tel für die erfolg­rei­che Ein­füh­rung eines ISMS bei baye­ri­schen Kommunen

Um ein nach­hal­ti­ges und hohes IT-Sicher­heits­ni­veau in der gesam­ten baye­ri­schen Ver­wal­tung zu errei­chen, för­dert der Frei­staat Bay­ern im Rah­men der Initia­ti­ve Cyber­si­cher­heit nach Maß­ga­be einer För­der­richt­li­nie die Imple­men­tie­rung eines Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tems (ISMS) bei Kom­mu­nal­ver­wal­tun­gen. Dadurch erhal­ten Kom­mu­nen eine antei­li­ge För­de­rung für Bera­tung, Schu­lung und Abnah­me einer erfolg­rei­chen Ein­füh­rung aner­kann­ter ISMS-Stan­dards. Zu den geför­der­ten Stan­dards zäh­len VDS 10o00 (ehe­mals 3473), die sog. Arbeits­hil­fe der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne, CISIS12 des IT-Sicher­heits­clus­ters Regens­burg, die drei Absi­che­rungs­stu­fen (Basis, Kern und Stan­dard) des BSI IT-Grund­schutz und das in der Basis-Absi­che­rung ent­hal­te­ne Kom­mu­nal­pro­fil sowie die welt­weit aner­kann­te Norm ISO 27001.

Was wird als Nach­weis einer erfolg­rei­chen Ein­füh­rung eines ISMS durch eine baye­ri­sche Kom­mu­ne von der bay­ri­schen För­der­stel­le anerkannt?

Um nach der erfolg­rei­chen Ein­füh­rung des ISMS auf Basis einer der genann­ten Nor­men die För­der­mit­tel­aus­schüt­tung zu bean­tra­gen, sind unter­schied­li­che Nach­wei­se nötig. Wäh­rend für ein erfolg­reich ein­ge­führ­tes ISMS auf Basis der Arbeits­hil­fe das Sie­gel “Kom­mu­na­le IT-Sicher­heit” des Lan­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik Bay­ern (kurz LSI) in aktu­el­ler Ver­si­on nach­ge­wie­sen wer­den muss, sind für ISMS in ande­ren Stan­dards ent­we­der ein erfolg­rei­ches För­der­mit­tel­au­dit oder das BSI Basis-Tes­tat oder eine Zer­ti­fi­zie­rung nachzuweisen.

Die ers­ten baye­ri­schen Kom­mu­nen ste­hen vor dem Ende der erfolg­rei­chen Einführung

  • des BSI IT-Grund­schut­zes Kom­mu­nal­pro­fils im Rah­men der Basis­ab­si­che­rung oder
  • der BSI IT-Grund­schut­zes Basis-Absicherung.

Für das Kom­mu­nal­pro­fil sieht das BSI kei­nen Nach­weis im Rah­men des sog. Testats für eines Basis-Absi­che­rung vor. Hier muss ein För­der­mit­tel­au­dit durch­ge­führt wer­den, das bei Bestehen einen posi­ti­ven Prüf­nach­weis zum Ergeb­nis hat. Mit die­sem Prüf­nach­weis kann die Kom­mu­ne die Aus­schüt­tung der För­der­mit­tel bei der För­der­stel­le bei der Regie­rung Ober­fran­ken (für ganz Bay­ern) bean­tra­gen. Sofern die kom­plet­te Basis-Absi­che­rung umge­setzt wur­de, sind sowohl ein För­der­mit­tel­au­dit mit Prüf­nach­weis als auch der erfolg­rei­che Erhalt des Testats nach der Basis-Absi­che­rung als Aus­lö­ser für die Aus­schüt­tung mög­lich. Es müs­sen nicht bei­de Nach­wei­se erbracht werden.

Was wird für das För­der­mit­tel­au­dit im Rah­men des Kom­mu­nal­pro­fils oder der Basis-Absi­che­rung des BSI IT-Grund­schutz benötigt?

Wie kann ich als baye­ri­sche Kom­mu­ne ein sol­ches För­der­mit­tel­au­dit und bei Bestehen den posi­ti­ven Prüf­nach­weis erhal­ten? Ganz ein­fach. Sie brau­chen Folgendes:

  • Ent­we­der einen zer­ti­fi­zier­ten BSI IT-Grund­schutz-Audi­tor oder einen zer­ti­fi­zier­ten ISO 27001 Audi­tor. Gut zu wis­sen: Der Audi­tor muss nicht bei einer Zer­ti­fi­zie­rungs­stel­le akkre­di­tiert sein. Es reicht der Nach­weis der Fach­kun­de als Audi­tor durch das Per­so­nen­zer­ti­fi­kat des Audi­tors für einen der bei­den Stan­dards aus.
  • Ein zuge­las­se­nes Prüf­sche­ma, das mög­li­chen Rück­fra­gen der För­der­stel­le zu den geprüf­ten Details und den durch den Audi­tor getrof­fe­nen Bewer­tun­gen standhält.

Wie läuft so ein För­der­mit­tel­au­dit ab?

Das Prüf­sche­ma sieht vor, dass ein sol­ches Audit einen zeit­li­chen Umfang von 1,5 Tagen (bei bis zu 250 IT-Arbeits­plät­zen) bis zu 2,0 Tagen (bei mehr als 250 IT-Arbeits­plät­zen) haben muss. Das Audit ist in 3 Pha­sen unterteilt:

  1. Doku­men­ten­prü­fung
  2. Prü­fung des Informationsverbundes
  3. Bau­stein­prü­fung

Wäh­rend bei der Doku­men­ten­prü­fung die für ein ISMS übli­cher­wei­se not­wen­di­gen Pflicht­do­ku­men­ta­tio­nen geprüft wer­den, wird in der 2. Pha­se der gewähl­te Infor­ma­ti­ons­ver­bund betrach­tet, bewer­tet und auf des­sen kor­rek­ter Abbil­dung in der IT-Grund­schutz-Sys­te­ma­tik geach­tet. In Pha­se 3, der Bau­stein­prü­fung gilt es 3 Pflicht­bau­stei­ne und eine Anzahl an Wahl­bau­stei­nen (in Abhän­gig­keit von der Orga­ni­sa­ti­ons­grö­ße) auf kor­rek­te Bear­bei­tung zu prüfen.

Am Ende erfolgt die Bewer­tung nach dem klas­si­schen Mus­ter: Erfüllt, Emp­feh­lung (Ver­bes­se­rungs­po­ten­ti­al vor­han­den), gering­fü­gi­ge Abwei­chung und schwer­wie­gen­de Abwei­chung. Sofern kei­ne gering­fü­gi­gen und /​ oder schwer­wie­gen­den Abwei­chun­gen vor­lie­gen, steht dem Aus­stel­len eines posi­ti­ven Prüf­nach­weis nichts im Wege. Neben dem Prüf­nach­weis erstellt der Audi­tor einen aus­führ­li­chen Prüf­be­richt mit sei­nen Bewer­tun­gen und Ergebnissen.

Führt die a.s.k. Daten­schutz För­der­mit­tel­au­dits im Rah­men des Kom­mu­nal­pro­fils oder der Basis-Absi­che­rung des BSI IT-Grund­schutz für baye­ri­sche Kom­mu­nen durch?

Wir freu­en uns, dass wir baye­ri­schen Kom­mu­nen den not­wen­di­gen Audi­tor bie­ten und das För­der­mit­tel­au­dit auf Basis eines belast­ba­ren und nach­voll­zieh­ba­ren Prüf­sche­mas durch­füh­ren kön­nen. Unter­stützt wird das Audit und die Audit-Doku­men­ta­ti­on durch unser haus­in­ter­nes Audit-Tool, das am Ende einen belast­ba­ren und nach­voll­zieh­ba­ren Audit-Bericht erstellt. Soll­ten Sie als baye­ri­sche Kom­mu­ne ein För­der­mit­tel­au­dit pla­nen bzw. benö­ti­gen, dann spre­chen Sie uns bit­te früh­zei­tig an.

Dabei gibt es jedoch eine klas­si­sche Audit-Regel zu beach­ten: Wer berät, audi­tiert nicht. Wenn Sie also durch uns bei der Ein­füh­rung Ihres ISMS auf Basis des BSI IT-Grund­schutz beglei­tet wur­den, kön­nen wir Sie nicht audi­tie­ren. Das ver­steht sich eigent­lich von selbst. Ger­ne stel­len wir Ihnen aber in die­sem Fall den Kon­takt zu qua­li­fi­zier­ten Audi­to­ren her. Aus­wäh­len müs­sen Sie dann jedoch selbst 🙂

Bedarf für ein För­der­mit­tel­au­dit für das Kom­mu­nal­pro­fil im Rah­men der Basis-Absi­che­rung oder die kom­plet­te Basis-Absi­che­rung des IT-Grund­schut­zes? Dann spre­chen Sie uns doch ein­fach an.

 

Die mobile Version verlassen