(GZ-18-2021) |
► Aus ISIS12 wird CISIS12: |
Drei Kommunalverwaltungen auf der sicheren Seite |
Autor: Ralf Turban, Mein-Datenschutzberater Die Gemeinde Adelsdorf in Mittelfranken, der Markt Postbauer-Heng in der Oberpfalz und die Große Kreisstadt Neuburg an der Donau in Oberbayern sind unter den ersten Verwaltungen, die sich dem Zertifizierungsaudit des „nagelneuen“ Informationssicherheitsmanagements (ISMS) mit der Norm CISIS12 unterzogen haben. CISIS12 ist die neue Version 3.0 des etablierten ISIS12 und erweitert die Funktionen um die Themen Compliance, Prozesse und Notfallthematiken. Der Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten. Gemäß der Vorgaben des BayEGovG müssen die Behörden bezüglich der Sicherheit der informationstechnischen Systeme angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Datenschutz- Grundverordnung (DSGVO) und Art. 32 des Bayerischen Datenschutzgesetzes (BayDSG) treffen und die hierzu erforderlichen Informationssicherheitskonzepte erstellen. Um hier den Bayerischen Verwaltungen unter die Arme zu greifen hat das BayStMI eine noch laufende Fördermaßnahme aufgelegt, die 50 Prozent der entstehenden Beratungskosten bei CISIS12 erstattet. Ständige Änderung und Aktualisierung Die drei Verwaltungen haben schnell erkannt, dass die Informationssicherheit kein starrer Zustand ist und ständiger Änderung und Aktualisierung unterliegt. Somit wird aus dem geforderten InformationssicherheitsKONZEPT und der ständigen Rechenschaftspflicht der Verwaltungsleitung aus der DSGVO ein Informationssicherheits-MANAGEMENT und aus der Nachweisbarkeit leitet sich der Anspruch der Verwaltungsleitung der Zertifizierung und damit regelmäßigen, jährlichen Überwachung durch einen Dritten (Zertifizierungsgesellschaft) ab. Die Koordination der Bearbeitung von CISIS12 über alle drei Verwaltungen (Adelsdorf, Postbauer-Heng und Neuburg an der Donau) hinweg wurde mit der Fachfirma „Mein-Datenschutzberater“ vorgenommen. Damit war, im durchaus fordernden Projektablauf bis zu den beiden jeweils erfolgreichen Zertifizierungstagen im Juli, die bestmögliche gemeinsam koordinierte Praxisumsetzung gegeben. „Mein-Datenschutzberater.de“ verfügt nach langjähriger ISIS12 Erfahrung und Miterprobung der CISIS12-Umsetzung im kommunalen Umfeld über die passende Expertise, um bayerische Verwaltungsstrukturen „im Rahmen der Verhältnismäßigkeit“ auf dem Weg zur ISMS-Zertifizierung zu begleiten. Für den Erhalt des Zertifikates musste bei einem zweitägigen Audit die Umsetzung der 12 Schritte und somit der nachhaltige Aufbau des ISMS den Auditoren dargestellt werden. Im Rahmen der Umsetzung wurde einiges an Dokumentationen erstellt, angefangen von der Informationssicherheitsleitlinie zum IT-Betriebshandbuch sowie Inhalte für die Risikobehandlung gemäß BSI Gefährdungslagen bis zum IT-Notfallhandbuch. Die zwölf Schritte von CISIS12: 1. Leitlinie erstellen Abgebildet wurden die zwölf Schritte der Informationssicherheit mit dem Programm M24S, das die Einteilung der Tätigkeiten und den strukturierten Aufbau der zu bearbeiteten Punkte passend unterstützt. Die Variabilität des CISIS12 im Hinblick auf die verschiedenen Kommunalstrukturen wurde über die zentralen Verwaltungen hinaus bei jeder Zertifizierung deutlich; so sind z.B. in Adelsdorf die Kindertagesstätten, in Postbauer-Heng die Wasserversorgung und Abwasserentsorgung und in der Großen Kreisstadt Neuburg an der Donau die Abwasserentsorgung und die Bücherei mit im Zertifizierungsumfang enthalten. Werthaltige Zertifizierung „Wir haben durch die Umsetzung von CISIS12 nun einen sehr guten Überblick, welche Projekte im Bereich der Informationssicherheit in den nächsten Auditzyklen angegangen werden müssen. Die durchgeführte werthaltige Zertifizierung und das anschließend erhaltene Zertifikat zeigen, dass der eingeschlagene Weg für uns absolut passend ist – gerade auch im Hinblick auf die vielen Angriffe auf die technischen Systeme, welche in letzter Zeit in der Presse zu lesen waren“, so Dr. Bernhard Gmehling, der Oberbürgermeister der Großen Kreisstadt Neuburg an der Donau. |
Ralf Turban, Mein-Datenschutzberater
Dieser Artikel hat Ihnen weitergeholfen? |