Nach einem knapp zweijährigen Prozeß hat die Gemeinde Haar im Mai 2019 die ISIS12-Zertifizierung erreicht. ISIS12 ist ein Standard für ein Informationssicherheitsmanagementsystem (kurz ISMS) und bildet in 12 anschaulichen Schritten auf Basis des bekannten IT-Grundschutz des BSI (Bundesamt für Sicherheit in der Informationstechnik) ein Informationssicherheitskonzept ab. ISIS12 wurde explizit für kleine und mittlere Unternehmen (KMU) und kommunale Einrichtungen entwickelt, für die aufgrund personeller Anforderungen der „große“ IT-Grundschutz nicht durchführbar ist.

In den 24 Monaten der Einführung des Informationssicherheitskonzepts hat die Gemeinde Haar unter anderem Schulungen und Mitarbeitersensibilisierungen in Sachen Informationssicherheit durchgeführt. Denn nicht nur das (technische) System an sich muss in alle Richtungen sicher gemacht werden, sondern auch die Menschen, die mit den Daten umgehen, müssen für das Thema sensibilisiert und geschult werden. Das reicht von der Aktivierung der Bildschirmsperre auch bei kürzester Abwesenheit vom Arbeitsplatz bis hin zur unachtsamen Freigabe von Daten, wie etwa Passwörter offen am Schreibtisch liegen zu lassen.
Zeitgleich wurden Prozesse im Haus verbessert und Konzepte erarbeitet, die IT-Struktur unter die Lupe genommen und ein Notfallmanagement auf die Beine gestellt. Denn Datenschutz und Informationssicherheit müssen nicht nur im Alltag funktionieren – auch echte Notfall-Szenarien wurden durchgespielt und behandelt: Was, wenn das Rathaus mit all seinen Servern abbrennt? Selbst dafür gibt es Lösungen.

Federführend waren bei der Einführung von ISIS12 die Informationssicherheitsbeauftragte der Gemeinde Haar Andrea Schmerber und die a.s.k. Datenschutz Beratung unter Leitung von Sascha Kuhrau. Sie waren es auch, die den Auditor Andreas Mann bei der Erstzertifizierung des Zertifizierungsverbundes – Rathaus mit Bürgerhaus und die Kita Casinostraße – durch die Dokumente, Konzepte und die Gebäude begleiteten. Mit Erfolg, denn die Erstzertifizierung hat geklappt.

Jetzt gilt es, das Informationssicherheitskonzept aktuell und am Laufen zu halten. Daher wird jährlich überprüft, ob die Informationssicherheitsrichtlinien eingehalten werden – denn die Technik ist schnellebig und auch im Personal gibt es von Zeit zu Zeit einen Wechsel. Außerdem werden nach und nach immer mehr der gemeindlichen Einrichtungen in den Zertifizierungsverbund integriert. In der Öffentlichkeit wird der zeitintensive und arbeitsaufwendige Prozess kaum wahrgenommen – und dennoch ist er für jede einzelne Bürgerin und jeden einzelnen Bürger von hoher Wichtigkeit. Denn es sind ihre Daten, die damit geschützt werden. Anlass für die Einführung von ISIS12 in der Gemeinde Haar war das Bayerische E-Government-Gesetz von 2016. Dieses verpflichtet ausnahmslos alle kommunalen Verwaltungseinrichtungen zur Einführung und zum Betrieb eines Informationssicherheitskonzepts. Die Gemeinde Haar, allen voran deren Informationssicherheitsbeauftragte Andrea Schmerber haben sich dieser Herausforderung gestellt und das Ziel erreicht.

Übrigens ist ein Informationssicherheitskonzept (eingeführt und in Betrieb natürlich) auch für das Thema Datenschutz interessant. Betrachtet man Art. 32 DSVGO Sicherheit der Verarbeitung (externer Link) genauer, so findet man darin im Absatz 1 folgende Aussagen:

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
– die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
– die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
– die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
– ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Und genau das stellt ein funktionierendes Informationssicherheitskonzept sicher. Dabei beschränkt sich der Schutz eines solchen Konzepts nicht nur auf personenbezogene Daten, sondern schließt alle schützenswerten Daten Ihrer Organisation mit ein. Genial, oder?

Sie wollen in Ihrer Organisation ebenfalls ein Informationssicherheitskonzept einführen? BSI IT-Grundschutz und ISO 27001 sind unpassend? Sprechen Sie uns an.

Zur Meldung der Gemeinde Haar (externer Link)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.