I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000



Ähnliche Dokumente
E i n f ü h r u n g u n d Ü b e r s i c h t

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

D i e n s t e D r i t t e r a u f We b s i t e s

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Hilfedatei der Oden$-Börse Stand Juni 2014

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Informationssicherheit als Outsourcing Kandidat

MIT NEUEN FACHTHEMEN

Informationen zur Erstellung des Projektantrags in den IT-Berufen und zum AbschlussPrüfungOnlineSystem (CIC-APrOS)

Massenversand Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Lehrer: Einschreibemethoden

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.

WinWerk. Prozess 6a Rabatt gemäss Vorjahresverbrauch. KMU Ratgeber AG. Inhaltsverzeichnis. Im Ifang Effretikon

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Die rechtsformunabhängige Revisionspflicht

SEPA-Umstellungsanleitung Profi cash

VfW-Sachverständigenordnung

Drei Fragen zum Datenschutz im. Nico Reiners

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Nutzung dieser Internetseite

White Paper - Umsatzsteuervoranmeldung Österreich ab 01/2012

DOKUMENTATION. Verfahren bei Schliessungen und Verlegungen von Poststellen und Postagenturen (Art. 34 VPG)

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Kommunikationskonzept der Einwohnergemeinde Menzingen

In diesem Tutorial lernen Sie, wie Sie einen Termin erfassen und verschiedene Einstellungen zu einem Termin vornehmen können.

Anleitung Administration Spitex-Organisationen

Erstellung eines Verfahrensverzeichnisses aus QSEC

Word 2010 Schnellbausteine

2 Grundsätze der Datenbeschaffung im Bewerbungsverfahren


ELBA für Raiffeisen-Mitarbeiter Version 5. Anleitung zur Einrichtung der Bankdaten am BANK-PC

Internet- und -Überwachung in Unternehmen und Organisationen

Bedienung des Web-Portales der Sportbergbetriebe

INTERNET SERVICES ONLINE

Dokumentenverwaltung im Internet

Angaben zu einem Kontakt...1 So können Sie einen Kontakt erfassen...4 Was Sie mit einem Kontakt tun können...7

15 Social-Media-Richtlinien für Unternehmen!

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Leitlinien. über die bei Sanierungsplänen zugrunde zu legende Bandbreite an Szenarien EBA/GL/2014/ Juli 2014

Pflegeberichtseintrag erfassen. Inhalt. Frage: Antwort: 1. Voraussetzungen. Wie können (Pflege-) Berichtseinträge mit Vivendi Mobil erfasst werden?

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Anleitung über den Umgang mit Schildern

Einführungskurs MOODLE Themen:

Anleitung zur Verwendung der VVW-Word-Vorlagen

Datenexport aus JS - Software

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Bedienungsleitfaden ERINNERUNGSDIENST. Ein Service für gesündere Zähne und gesundes Zahnfleisch unterstützt von

Wege zur Patientensicherheit - Fragebogen zum Lernzielkatalog für Kompetenzen in der Patientensicherheit

1 D -Dienste. 2 Zuständige Behörde

Anhang G: Fragebogen zur Herstellungsqualität

Anleitung zum Öffnen meiner Fotoalben bei web.de

Informationssicherheitsmanagement

StudyDeal Accounts auf

Änderung des IFRS 2 Anteilsbasierte Vergütung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

ecall sms & fax-portal

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Stammdatenanlage über den Einrichtungsassistenten

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

IINFO Storyboard

Leitfaden. zur Einführung neuer Studiengänge

Protect 7 Anti-Malware Service. Dokumentation

Online Intelligence Solutions TESTABLAUF. 7 Schritte für ein erfolgreiches Testing.

Satzung der Hochschule Aalen Technik und Wirtschaft über die Zulassung für die höheren Fachsemester vom 21. Januar 2013

Erfahrungsbericht der Stadt Engen, Landkreis Konstanz, zur Bauhoflösung

Anzeige von eingescannten Rechnungen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

User Manual Data 24. Login und Layout

1. Allgemein Speichern und Zwischenspeichern des Designs Auswahl der zu bearbeitenden Seite Text ergänzen Textgrösse ändern 3

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Geld Verdienen im Internet leicht gemacht

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

Mit der Maus im Menü links auf den Menüpunkt 'Seiten' gehen und auf 'Erstellen klicken.

Richtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

1. Einführung. 2. Weitere Konten anlegen

Hinweise zum elektronischen Meldeformular

Eingangsseite Umwelt-online

Update VR-NetWorld-Software 3.34 PROFILWECHSEL SICHERHEITSDATEI (ALT) NACH SICHERHEITSDATEI (NEU) Anleitung nur für Versionen ab 3.34.

BERECHNUNG DER FRIST ZUR STELLUNGNAHME DES BETRIEBSRATES BEI KÜNDIGUNG

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

How to do? Projekte - Zeiterfassung

Elternzeit Was ist das?

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Gästeverwaltung. Gästestammdaten. Gäste verwalten. Hotelsoftware für Klein- und Mittelbetriebe

Erstellen und Bearbeiten von Inhalten (Assets)

Datenbank LAP - Chefexperten Detailhandel

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Produktschulung WinDachJournal

Inhaltsverzeichnis. Vergabe von Funktionen... 3 Vergeben einer Funktion...4 Vergebene Funktionen entziehen oder Berechtigungszeitraum festlegen...

Vorgehensweise bei Lastschriftverfahren

Anforderungsanalyse: Tutor

Transkript:

Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an die Informationssicherheit... 3 3.1 Schritt 1: Sicherheitsstrategie festlegen... 3 3.2 Schritt 2: Organisationsstruktur für Informationssicherheit aufbauen... 3 3.3 Schritt 3: Schutzbedarf festlegen... 4 3.3.1 Inventar der Fachanwendungen erstellen... 4 3.3.2 Anwendungsverantwortliche bestimmen... 4 3.3.3 Schutzbedarf der Fachanwendungen festlegen... 5 3.4 Schritt 4: Sicherheitsmassnahmen planen... 5 3.4.1 Sicherheitsmassnahmen den Verantwortlichen zuweisen... 5 3.4.2 Basis-Sicherheitscheck vornehmen... 5 3.4.3 Umsetzung der Sicherheitsmassnahmen planen... 6 3.4.4 Revision planen... 7 3.5 Schritt 5: Fehlende Sicherheitsmassnahmen umsetzen... 7 3.5.1 Weisungen für die Mitarbeitenden erstellen... 7 3.5.2 Sensibilisierung der Mitarbeitenden planen... 7 3.5.3 Rollen- und Berechtigungskonzept erstellen... 8 4 Halten des Informationssicherheitsniveaus... 8 4.1 Regelmässige Überprüfung der Umsetzung der Massnahmen... 8 4.2 Regelmässige Überprüfung der Massnahmen... 8 5 Links... 9

Seite 02 1 Einleitung Dieser Leitfaden richtet sich an Gemeinden mit weniger als 6000 Einwohnerinnen und Einwohnern. Er enthält eine Übersicht der vom Gesetz über die Information und den Datenschutz (IDG, LS 170.4) geforderten Massnahmen zur Informationssicherheit sowie eine Einführung, wie diese umgesetzt werden. Im Weiteren werden die vom Datenschutzbeauftragten (DSB) zur Verfügung gestellten Anleitungen und Vorlagen erläutert. Das Vorgehen, die Massnahmen und die damit verbundenen Empfehlungen richten sich nach dem international anerkannten Standard vom Bundesamt für Sicherheit in der Informationstechnik (BSI). 2 Übersicht Dokumente Dokumente Leitfaden Glossar und Abkürzungsverzeichnis Anleitungen Vorlagen Thema Informationssicherheit in Gemeinden Glossar und Abkürzungen Informationssicherheit Sensibilisierung der Mitarbeitenden für Informationssicherheit Leitlinie zur Informationssicherheit Weisung zur Informationssicherheit Erklärung zur Informationssicherheit Beispiel Rollen- und Berechtigungskonzept der Gemeinde Y Schutzbedarfsfeststellung Fachanwendungen Checklisten Minimummassnahmenkatalog

Seite 03 3 Umsetzung der Anforderungen an die Informationssicherheit Die Umsetzung der Anforderungen an die Informationssicherheit in den Gemeinden mit weniger als 6000 Einwohnerinnen und Einwohnern erfolgt in fünf Schritten: 1. Sicherheitsstrategie festlegen 2. Organisationsstruktur für Informationssicherheit aufbauen 3. Schutzbedarf festlegen a) Inventar der Fachanwendungen erstellen b) Anwendungsverantwortliche bestimmen c) Schutzbedarf der Fachanwendungen festlegen 4. Sicherheitsmassnahmen planen a) Sicherheitsmassnahmen den Verantwortlichen zuweisen b) Basis-Sicherheitscheck vornehmen c) Umsetzung der Sicherheitsmassnahmen planen d) Revision planen 5. Fehlende Sicherheitsmassnahmen umsetzen 3.1 Schritt 1: Sicherheitsstrategie festlegen Die Sicherheitsstrategie, das angestrebte Sicherheitsniveau sowie die für die Gemeinde gültigen Sicherheitsziele müssen definiert und festgehalten werden. Der DSB stellt eine Leitlinie zur Informationssicherheit zur Verfügung. 1. Layout an das Corporate Design anpassen 2. Inhalt überprüfen und ergänzen 3. Leitlinie durch einen Beschluss der Exekutive in Kraft setzen 4. Leitlinie an einem für alle Mitarbeitenden zugänglichen Ort publizieren 3.2 Schritt 2: Organisationsstruktur für Informationssicherheit aufbauen Um das von der Gemeinde angestrebte Sicherheitsniveau zu erreichen, muss ein Informationssicherheitsprozess definiert, dokumentiert und umgesetzt werden. Zu diesem Zweck muss eine Organisationsstruktur aufgebaut, die Rollen festgelegt und diesen die Aufgaben zugeordnet werden. Eine mögliche Regelung ist in der Leitlinie zur Informationssicherheit dokumentiert.

Seite 04 1. Rollenträgerinnen und -träger definieren 2. Aufgaben in die Stellenbeschreibungen integrieren 3. Ressourcen den Rollenträgern zuweisen 4. Ausbildungsmassnahmen durchführen 3.3 Schritt 3: Schutzbedarf festlegen Ziel der Schutzbedarfsfeststellung gemäss Informatiksicherheitsverordnung (ISV, LS 170.8) ist es, die in Bezug auf das Risiko angemessenen Sicherheitsmassnahmen festzulegen. Dazu sind die folgenden Schritte notwendig: 3.3.1 Inventar der Fachanwendungen erstellen Für die Schutzbedarfsermittlung sind alle Fachanwendungen, welche die Erfüllung oder Unterstützung bestimmter Aufgaben ermöglichen, zu erheben und zu inventarisieren (siehe Beispiel Schutzbedarfsfeststellung Fachanwendungen): - Liste der Fachanwendungen erstellen 3.3.2 Anwendungsverantwortliche bestimmen Für alle Fachanwendungen beziehungsweise Informationen muss festgelegt werden, wer für deren Sicherheit verantwortlich ist. Die Aufgaben der Anwendungsverantwortlichen finden sich in der Leitlinie zur Informationssicherheit. 1. Interne Verantwortliche bestimmen und dokumentieren 2. Externe Verantwortliche (z. B. Auftragnehmer) dokumentieren 3. Datenstandort (intern / extern) dokumentieren

Seite 05 3.3.3 Schutzbedarf der Fachanwendungen festlegen Für jede der dokumentierten Fachanwendungen ist der Schutzbedarf zu bestimmen (siehe dazu das Beispiel Schutzbedarfsfeststellung Fachanwendungen): 1. Schutzbedarfskategorien überprüfen und ergänzen 2. Einstufung der Fachanwendungen (Vertraulichkeit, Verfügbarkeit, Integrität) anhand der Schutzbedarfskategorien überprüfen und ergänzen 3.4 Schritt 4: Sicherheitsmassnahmen planen Zur Planung von Sicherheitsmassnahmen stellt der DSB einen Minimummassnahmenkatalog zur Verfügung. 3.4.1 Sicherheitsmassnahmen den Verantwortlichen zuweisen Sicherheitsmassnahmen werden nur plangemäss umgesetzt, wenn die Verantwortlichkeiten festgelegt sind. Diese können im Minimummassnahmenkatalog in der Spalte Verantwortung dokumentiert werden. - Für jede Massnahme ist der für die Umsetzung verantwortliche Mitarbeitende beziehungsweise Auftragnehmende einzutragen 3.4.2 Basis-Sicherheitscheck vornehmen Beim Basis-Sicherheitscheck wird geprüft, ob die Minimummassnahmen umgesetzt wurden oder ob Sicherheitsmassnahmen fehlen. Der Sicherheitsstatus wird anhand

Seite 06 von Unterlagen, Gesprächen mit Verantwortlichen sowie stichprobenartigen Überprüfungen vor Ort ermittelt. Werden Dienstleistungen durch externe Auftragnehmer erbracht, ist die Gemeinde dafür verantwortlich, dass die erforderlichen Sicherheitsmassnahmen umgesetzt sind. Bei Unklarheiten bezüglich der Ermittlung des Sicherheitsstatus ist der DSB zu kontaktieren. Im Minimummassnahmenkatalog stehen vier Möglichkeiten zur Verfügung, um den Umsetzungsgrad der Massnahmen zu dokumentieren: ja, wenn alle in der Massnahme genannten Anforderungen vollständig umgesetzt sind, teilweise, wenn einige, aber nicht alle Anforderungen umgesetzt sind, nein, wenn keine oder nahezu keine der Anforderungen umgesetzt sind, entbehrlich, wenn die Massnahme nicht benötigt wird, weil mindestens gleichwertige alternative Massnahmen umgesetzt wurden oder weil das zu schützende Objekt nicht vorhanden ist. Jeder der im Minimummassnahmenkatalog aufgeführten Massnahmen ist eine eindeutige Nummer zugeordnet (z. B. M 2.192). In «Google» kann durch die Eingabe dieser Nummer die vollständige Beschreibung der Massnahme aufgerufen werden. Auf Grund der enthaltenen Prüffragen kann der Status der Massnahme ermittelt werden. In der Spalte «Umsetzungstermin» kann festgehalten werden, bis wann die Massnahme umgesetzt werden muss. 1. Status der Massnahmen bestimmen und dokumentieren. 2. Wird bei einer Massnahme der Status «entbehrlich» gewählt, so ist dies im Feld «Bemerkung» zu begründen. 3. Im Feld «Nachweisdokument» ist auf das Dokument, in welchem die Massnahme beschrieben ist, zu verweisen. 4. Im Feld betroffene IT-Systeme sind diejenigen Systeme einzutragen, für welche die Massnahme anwendbar ist. 3.4.3 Umsetzung der Sicherheitsmassnahmen planen 1. Umsetzungstermin festlegen, falls die Massnahme noch nicht oder nur teilweise umgesetzt ist 2. Bei Bedarf zusätzlich Priorität und Kosten eintragen

Seite 07 3.4.4 Revision planen Bei der Durchführung von Revisionen kann zur Unterstützung der Minimummassnahmenkatalog beigezogen werden. Bei jeder Massnahme kann der Termin der letzten und nächsten Revision sowie der verantwortliche Revisor dokumentiert werden. Der Status der Massnahmen sollte mindestens alle drei Jahre überprüft werden. - Termin für Revision festlegen 3.5 Schritt 5: Fehlende Sicherheitsmassnahmen umsetzen Bei der Umsetzung sind die folgenden Massnahmen prioritär zu behandeln. 3.5.1 Weisungen für die Mitarbeitenden erstellen Der DSB stellt die Vorlage Weisung zur Informationssicherheit zur Verfügung. 1. Layout an das Corporate Design anpassen 2. Inhalt überprüfen und ergänzen 3. Weisung durch das zuständige Organ (z. B. Gemeinderat) in Kraft setzen 4. Weisung den Mitarbeitenden abgeben und allenfalls mit Unterschrift bestätigen lassen (siehe Erklärung zur Informationssicherheit) 5. Weisung an einem für alle Mitarbeitenden zugänglichen Ort publizieren 3.5.2 Sensibilisierung der Mitarbeitenden planen Sensibilisierungsmassnahmen müssen geplant und umgesetzt werden. Die Anleitung finden Sie im Dokument Sensibilisierung der Mitarbeitenden für Informationssicherheit. 1. Bedürfnisse betreffend Sensibilisierungsmassnahmen abklären 2. Massnahmen planen und umsetzen Anleitung BSI (B 1.13): https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/_content/ baust/b01/b01013.html

Seite 08 3.5.3 Rollen- und Berechtigungskonzept erstellen Der DSB stellt das Beispiel Rollen- und Berechtigungskonzept Gemeinde Y zur Verfügung. - Rollen- und Berechtigungskonzept der Gemeinde Y an die Bedürfnisse anpassen Anleitungen BSI (M 2.30, M 2.31): https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/_conte nt/m/m02/m02030.html https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/_conte nt/m/m02/m02031.html 4 Halten des Informationssicherheitsniveaus Die Massnahmen selbst sowie deren Status müssen regelmässig überprüft werden. 4.1 Regelmässige Überprüfung der Umsetzung der Massnahmen Der Stand der Umsetzung muss regelmässig überprüft werden und die Gemeindeschreiberin oder der Gemeindeschreiber ist über das Ergebnis zu informieren. 4.2 Regelmässige Überprüfung der Massnahmen Erkenntnisse aus sicherheitsrelevanten Zwischenfällen, Veränderungen im technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen erfordern eine Anpassung der bestehenden Sicherheitsmassnahmen. Deshalb sollten die Massnahmen mindestens alle drei Jahre, respektive immer wenn sich das Umfeld verändert, überprüft und angepasst werden. Detaillierte Beschreibung vom BSI: https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutzkataloge/inhalt/_conte nt/m/m02/m02199.html

Seite 09 5 Links https://www.bsi-fuer-buerger.de https://www.bsi.bund.de/grundschutz http://www.datenschutz.ch https://review.datenschutz.ch http://passwortcheck.ch Sicherheitsthemen benutzerfreundlich erklärt Umfangreiche Anleitung für das Erstellen eines IT-Sicherheitskonzepts nach IT-Grundschutz, detaillierte Massnahmenbeschreibungen Diverse Dokumente zum Thema Datenschutz und Informationssicherheit Online-Anwendung, um den Stand der Informationssicherheit zu überprüfen Anwendung, um die Sicherheit seines Passwortes zu überprüfen V 3.0 / Juli 2015

Datenschutzbeauftragter des Kantons Zürich Postfach, 8090 Zürich Telefon 043 259 39 99 Fax 043 259 51 38 datenschutz@dsb.zh.ch www.datenschutz.ch

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback