Gastbeiträgezurück

(GZ-18-2021)
Gastbeiträge

► Aus ISIS12 wird CISIS12:

 

Drei Kommunalverwaltungen auf der sicheren Seite

 

Autor: Ralf Turban, Mein-Datenschutzberater

Die Gemeinde Adelsdorf in Mittelfranken, der Markt Postbauer-Heng in der Oberpfalz und die Große Kreisstadt Neuburg an der Donau in Oberbayern sind unter den ersten Verwaltungen, die sich dem Zertifizierungsaudit des „nagelneuen“ Informationssicherheitsmanagements (ISMS) mit der Norm CISIS12 unterzogen haben. CISIS12 ist die neue Version 3.0 des etablierten ISIS12 und erweitert die Funktionen um die Themen Compliance, Prozesse und Notfallthematiken. Der Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten.

Gemäß der Vorgaben des BayEGovG müssen die Behörden bezüglich der Sicherheit der informationstechnischen Systeme angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Datenschutz- Grundverordnung (DSGVO) und Art. 32 des Bayerischen Datenschutzgesetzes (BayDSG) treffen und die hierzu erforderlichen Informationssicherheitskonzepte erstellen. Um hier den Bayerischen Verwaltungen unter die Arme zu greifen hat das BayStMI eine noch laufende Fördermaßnahme aufgelegt, die 50 Prozent der entstehenden Beratungskosten bei CISIS12 erstattet.

Ständige Änderung und Aktualisierung

Die drei Verwaltungen haben schnell erkannt, dass die Informationssicherheit kein starrer Zustand ist und ständiger Änderung und Aktualisierung unterliegt. Somit wird aus dem geforderten InformationssicherheitsKONZEPT und der ständigen Rechenschaftspflicht der Verwaltungsleitung aus der DSGVO ein Informationssicherheits-MANAGEMENT und aus der Nachweisbarkeit leitet sich der Anspruch der Verwaltungsleitung der Zertifizierung und damit regelmäßigen, jährlichen Überwachung durch einen Dritten (Zertifizierungsgesellschaft) ab.

Die Koordination der Bearbeitung von CISIS12 über alle drei Verwaltungen (Adelsdorf, Postbauer-Heng und Neuburg an der Donau) hinweg wurde mit der Fachfirma „Mein-Datenschutzberater“ vorgenommen. Damit war, im durchaus fordernden Projektablauf bis zu den beiden jeweils erfolgreichen Zertifizierungstagen im Juli, die bestmögliche gemeinsam koordinierte Praxisumsetzung gegeben.

Mein-Datenschutzberater.de“ verfügt nach langjähriger ISIS12 Erfahrung und Miterprobung der CISIS12-Umsetzung im kommunalen Umfeld über die passende Expertise, um bayerische Verwaltungsstrukturen „im Rahmen der Verhältnismäßigkeit“ auf dem Weg zur ISMS-Zertifizierung zu begleiten.

Für den Erhalt des Zertifikates musste bei einem zweitägigen Audit die Umsetzung der 12 Schritte und somit der nachhaltige Aufbau des ISMS den Auditoren dargestellt werden. Im Rahmen der Umsetzung wurde einiges an Dokumentationen erstellt, angefangen von der Informationssicherheitsleitlinie zum IT-Betriebshandbuch sowie Inhalte für die Risikobehandlung gemäß BSI Gefährdungslagen bis zum IT-Notfallhandbuch.

Die zwölf Schritte von CISIS12:

1. Leitlinie erstellen
2. Beschäftigte regelmäßig sensibilisieren
3. Informationssicherheitsteam aufbauen
4. IT-Doku-Struktur festlegen
5. IT-Servicemanagement Prozesse
6. Compliance, Prozesse und Anwendungen
7. IT-Struktur analysieren
8. Risikomanagement
9. Soll-Ist-Vergleich
10. Umsetzung planen und umsetzen
11. Internes Audit
12. Revision

Abgebildet wurden die zwölf Schritte der Informationssicherheit mit dem Programm M24S, das die Einteilung der Tätigkeiten und den strukturierten Aufbau der zu bearbeiteten Punkte passend unterstützt. Die Variabilität des CISIS12 im Hinblick auf die verschiedenen Kommunalstrukturen wurde über die zentralen Verwaltungen hinaus bei jeder Zertifizierung deutlich; so sind z.B. in Adelsdorf die Kindertagesstätten, in Postbauer-Heng die Wasserversorgung und Abwasserentsorgung und in der Großen Kreisstadt Neuburg an der Donau die Abwasserentsorgung und die Bücherei mit im Zertifizierungsumfang enthalten.

Werthaltige Zertifizierung

„Wir haben durch die Umsetzung von CISIS12 nun einen sehr guten Überblick, welche Projekte im Bereich der Informationssicherheit in den nächsten Auditzyklen angegangen werden müssen. Die durchgeführte werthaltige Zertifizierung und das anschließend erhaltene Zertifikat zeigen, dass der eingeschlagene Weg für uns absolut passend ist – gerade auch im Hinblick auf die vielen Angriffe auf die technischen Systeme, welche in letzter Zeit in der Presse zu lesen waren“, so Dr. Bernhard Gmehling, der Oberbürgermeister der Großen Kreisstadt Neuburg an der Donau.

Ralf Turban, Mein-Datenschutzberater

 

Erster Bürgermeister Karsten Fischkal (l.) und der Informationssicherheitsbeauftragte Gerhard Lang der Gemeinde Adelsdorf sind stolze Besitzer der Zertifizierungsurkunde für CISIS12. „Die Zertifizierung der Gemeinde Adelsdorf mit dem CISIS 12 System ermöglicht erstmals auf der Ebene der Prozessbetrachtung eine Schwachstellenanalyse der Gemeindeverwaltung einschließlich sogar baulicher Mängel. Das Audit zeigte jede Menge von Entwicklungspotential zur Verbesserung der eigenen Verwaltungsabläufe auf, welches wir in den kommenden Jahren Stück für Stück heben wollen. Das ‚Unterwerfen‘ der gesamten Organisationsstruktur unter dem Prozess von CISIS12 stellt eine Herausforderung für jede Verwaltung dar, der Lohn in Form zahlreicher Erkenntnisse ist aber hoch und rechtfertigt den Aufwand“, so der Bürgermeister. Bild: Gemeinde Adelsdorf
Erster Bürgermeister Karsten Fischkal (l.) und der Informationssicherheitsbeauftragte Gerhard Lang der Gemeinde Adelsdorf sind stolze Besitzer der Zertifizierungsurkunde für CISIS12. „Die Zertifizierung der Gemeinde Adelsdorf mit dem CISIS 12 System ermöglicht erstmals auf der Ebene der Prozessbetrachtung eine Schwachstellenanalyse der Gemeindeverwaltung einschließlich sogar baulicher Mängel. Das Audit zeigte jede Menge von Entwicklungspotential zur Verbesserung der eigenen Verwaltungsabläufe auf, welches wir in den kommenden Jahren Stück für Stück heben wollen. Das ‚Unterwerfen‘ der gesamten Organisationsstruktur unter dem Prozess von CISIS12 stellt eine Herausforderung für jede Verwaltung dar, der Lohn in Form zahlreicher Erkenntnisse ist aber hoch und rechtfertigt den Aufwand“, so der Bürgermeister. Bild: Gemeinde Adelsdorf

 

CISIS12-Zertifizierung der Großen Kreisstadt Neuburg a.d. Donau. V.l.: Zweiter Bürgermeister Dr. Johann Habermeyer, Informationssicherheitsbeauftragter Dominik Weiss, Ralf Turban von Mein-Datenschutzberater. Bild: Stadt Neuburg
CISIS12-Zertifizierung der Großen Kreisstadt Neuburg a.d. Donau. V.l.: Zweiter Bürgermeister Dr. Johann Habermeyer, Informationssicherheitsbeauftragter Dominik Weiss, Ralf Turban von Mein-Datenschutzberater. Bild: Stadt Neuburg

 

Dieser Artikel hat Ihnen weitergeholfen?
Bedenken Sie nur, welche Informationsfülle ein Abo der Bayerischen GemeindeZeitung Ihnen liefern würde!
Hier geht’s zum Abo!

GemeindeZeitung

Gastbeiträge

GZ Archiv

Kolumnen & Kommentare aus Bayern

AppStore

TwitterfacebookinstagramYouTube

Google Play

© Bayerische GemeindeZeitung