Betriebsreglement über Informationssicherheit, Datenschutz und ICT-Technologie
2
I. ALLGEMEINE BESTIMMUNGEN Artikel Zweck des Dokuments 1 Grundlagen 2 Geltungsbereich 3 II. ICT-STRATEGIE Auftrag der ICT der Gemeinde 4 Trends und übergeordnete Strategien 5 Anforderungen an die ICT 6 Strategische Vorgaben 7 ICT-Steuerungsgremium 8 III. IV. AUFBAU INFORMATIONSSICHERHEITSORGANISATION Informationssicherheitsorganisation 9 Informationssicherheitsverantwortung 10 Organigramm der Informationssicherheitsorganisation 11 LEITLINIE ZUR INFORMATIONSSICHERHEIT Informationssicherheitsniveau 12 Informationssicherheitsziele 13 V. REGELUNG DER DATENSICHERHEIT Vertrauliche Daten 14 Personendaten 15 Klassifizierung 16 Datensicherung 17 Virenschutz 18 Hard- und Software 19 Zugangs- und Zugriffsschutz 20 Passwörter 21 Nutzung von E-Mail und Internet 22 Einsatz mobiler Geräte 23 Einsatz fremder Geräte (easydesk mobile) 24 VI. REGELUNG ZUM EINSATZ MOBILER GERÄTE Geltungsbereich 25 Private, geschäftliche Handy-Nutzung 26 Laptop/Ipad/usw. 27 3
VII. KONTINUIERLICHE VERBESSERUNG DER INFORMATIONSSICHERHEIT Einhaltung 28 Aktualität 29 VIII. SYSTEMVERWALTUNG Ausgangslage ICT 30 Betriebssicherheit 31 Datensicherheit 32 Externe Leistungserbringer 33 IX. SCHLUSSBESTIMMUNGEN Ausnahmen 34 Protokollierung und Kontrollen 35 Administrativuntersuchung 36 Prüfung und Vernichtung der Unterlagen 37 Inkrafttreten 38 4
I. ALLGEMEINE BESTIMMUNGEN Zweck des Dokuments Grundlagen Art. 1 Die Gemeinde Fällanden ist für ihre Aufgabenerfüllung von zuverlässig funktionierenden Systemen der Informations- und Kommunikationstechnologie abhängig. Um die Integrität, Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit und Authentizität der Informationen und deren Verarbeitungssysteme zu gewährleisten, verabschiedet der Gemeinderat dieses Betriebsreglement über Informationssicherheit und ICT-Technologie. Es trägt zum sicheren Betrieb und zur sicheren Nutzung der ICT bei, indem es die von der Gemeinde angestrebte ICT-Strategie, die Informationssicherheit, -organisation und Nutzung sowie deren regelmässige Sensibilisierung grundsätzlich regelt und die geeigneten Massnahmen definiert. Art. 2 Die rechtliche Grundlage für dieses Betriebsreglement bilden Gesetz über die Information und den Datenschutz (IDG, LS 170.4) Verordnung über die Information und den Datenschutz (IDV, LS 170.41) Gemeindegesetz (GG, LS 131.1) Informatiksicherheitsverordnung (LS 170.8) Weiter sind datenschutzrechtliche Bestimmungen in den verschiedenen Spezialgesetzen und -verordnungen (insbesondere im Personalrecht) zu beachten. Ergänzend gelten die folgenden betriebsinternen Verordnungen und Weisungen: Informations- und Kommunikationsreglement, Personalverordnung und Vollzugsbestimmungen zur Personalverordnung. Geltungsbereich Art. 3 Dieses Betriebsreglement gilt für das Personal der politischen Gemeinde Fällanden. Externe Leistungserbringer (Vertragspartner), welche Dienstleistungen im Bereich ICT erbringen, werden zur Einhaltung der im Folgenden aufgeführten Anforderungen verpflichtet. II. ICT-STRATEGIE Auftrag der ICT der Gemeinde Trends und übergeordnete Strategien Art. 4 Die Informations- und Kommunikationstechnologie (ICT) ermöglicht der Gemeinde Fällanden eine effiziente und effektive Tätigkeit mit dem Ziel die Dienstleistungs- und Wertschöpfungsprozesse zu unterstützen, dabei soll bei Entscheidungen das Kostenbewusstsein zum Notwendigen Grundlage sein. Art. 5 Die Gemeinde Fällanden nimmt Trends wahr und setzt sie im nötigen Masse um, soweit diese die Tätigkeiten der Gemeinde unterstützen und ein Gewinn für die Bevölkerung darstellen. Die Gemeinde Fällanden ist nicht Trendsetter 5
und nimmt nur an Pilotprojekten (E-Goverment, kantonale Projekte, etc.) teil, wenn die Ressourcen der Gemeindeverwaltung es zulassen. Anforderungen an die ICT Art. 6 Abgeleitet aus dem Auftrag der ICT werden die infrastrukturellen Voraussetzungen geschaffen, die eine durchgehende Unterstützung der Geschäftsprozesse notwendig machen. Die Ziele, Vertraulichkeit, Integrität, Verfügbarkeit, Nachvollziehbarkeit und Authentizität werden angemessen gewährleistet. Die Vernetzung über alle föderalen Ebenen und Organisationseinheiten hinweg stellt eine wichtige Anforderung an eine kompatible ICT-Infrastruktur und deren Software-Standards. Strategische Vorgaben Art. 7 Das ICT-Steuerungsgremium erarbeitet die ICT-Vorgaben, prüft die Evaluation neuer Software auf deren Kompatibilität zur bestehenden und zukunftsgerichteter Infrastruktur. Die Umsetzung wird in Zusammenarbeit mit der/den betroffenen Abteilung/en koordiniert. ICT- Steuerungsgremium Art. 8 Das ICT-Steuerungsgremium setzt sich zusammen aus: a) ICT-verantwortliche Personen für Support und Projekte b) Fachexperte aus der/den betroffenen Abteilung/en (je nach Projekt) c) Beratende Person externe Leistungserbringer (Softwarelieferant) d) Beratende Person des ICT-Infrastruktur Vertragspartners III. AUFBAU INFORMATIONSSICHERHEITSORGANISATION Die technologische Strategie verfolgt das Ziel, dass die eingesetzten Mittel standardisiert, homogenisiert und kundenorientiert aufgebaut sind. Die von wenigen Lieferanten angebotenen und etablierten Anwendungen für die Kernapplikationen der Gemeinden schränkt den Handlungsspielraum der Gemeinde Fällanden stark ein. Eine Überprüfung der ICT-Strategie der Gemeinde Fällanden erfolgt alle vier Jahre durch die ICT-verantwortlichen Personen für Support und Projekte. Das Resultat wird dem Gemeinderat unterbreitet. Informationssicherheitsorganisation Art. 9 Die zentralen Rollen in der Informationssicherheitsorganisation sind die Gemeindeschreiberin/der Gemeindeschreiber, die Informationssicherheitsverantwortliche/der Informationssicherheitsverantwortliche und den für die einzelnen Bereiche zuständigen Daten- und Anwendungsverantwortlichen (Superuserin/Superuser). 6
Informationssicherheitsverantwortung Art. 10 Gemeinschreiberin / Gemeindeschreiber Die Gemeindeschreiberin/der Gemeindeschreiber trägt die Gesamtverantwortung für die Informationssicherheit in der Gemeinde Fällanden. Aufgaben Legt die Leitlinie zur Informationssicherheit fest Genehmigt die für die Informationssicherheit erforderlichen Massnahmen und Mittel Ist Ansprechpartner/in für betroffene Bürgerinnen und Bürger Datenschutzberaterin / Datenschutzberater Der Datenschutz und die Informationssicherheit sind für alle ICT-Systeme und ICT-Prozesse, mit deren Hilfe personenbezogene Daten verarbeitet werden, von grundlegender Bedeutung. Die Datenschutz beauftragte Person arbeitet eng mit der/dem Informationssicherheitsverantwortliche/n zusammen. Aufgaben Schafft Transparenz in Datenbearbeitung Instruiert die Mitarbeitenden über die datenschutzrechtlichen Anforderungen Ist Ansprechperson für Datenschutzfragen und berät im Bereich Datenschutz Überprüft die Notwendigkeit einer Vorabkontrolle durch den Datenschutzbeauftragten Informationssicherheitsverantwortliche / Informationssicherheitsverantwortlicher Die informationssicherheitsverantwortliche Person trägt die Verantwortung für die Umsetzung des Betriebsreglements. Sie koordiniert sämtliche Aktivitäten im Bereich der Informationssicherheit. Aufgaben Ist zuständig für Initialisierung, Überwachung und Kontrolle der Leitlinie zur Informationssicherheit Erstellt, überarbeitet und überprüft Sicherheitsvorgaben Genehmigt Abweichungen vom Sicherheitsstandard (evtl. in Absprache mit der Gemeindeschreiberin / dem Gemeindeschreiber) und dokumentiert das Restrisiko Ist erste Ansprechpartner/in der Gemeinde in Informationssicherheitsfragen Berichtet der Gemeindeschreiberin / dem Gemeindeschreiber über den Stand der Informationssicherheit Berät Mitarbeitende und Leitung in Fragen der Informationssicherheit Begleitet und prüft Projekte aus Sicht der Informationssicherheit Informiert die Gemeindeschreiberin / den Gemeindeschreiber über zu treffende, budgetrelevante Informationssicherheitsmassnahmen und 7
führt eine Entscheidung herbei Kontrolliert den Fortschritt der Realisierung von Informationssicherheitsmassnahmen Plant und führt Kontrollen über die Wirksamkeit von Informationssicherheitsmassnahmen im laufenden Betrieb durch (z.b. Schwachstellenanalysen) und leitet daraus Massnahmen ab Koordiniert Sensibilisierungs- und Schulungsmassnahmen zum Thema Informationssicherheit Bestimmt die Daten- und Anwendungsverantwortlichen Beschafft und bewertet sicherheitsrelevante Informationen Daten- und Anwendungsverantwortliche (Superuser/in) Für alle Prozesse, Daten, ICT-Anwendungen und ICT-Systeme wird eine verantwortliche Person benannt, die den jeweiligen Schutzbedarf (Klassifizierung) bestimmt und die Zugriffsberechtigungen vergibt. Aufgaben Stellen sicher, dass der Zugriff auf Informationssysteme zur Nutzung, Administration, Wartung und zu anderen Zwecken nur durch Berechtigte erfolgt Sind verantwortlich für den sicheren Betrieb ihrer Anwendung (Integrität und Vertraulichkeit der Datensammlungen) Bestimmen, wer auf die Anwendung in welcher Form Zugriff hat Regeln die Massnahmen für die Informationssicherheit und deren Kontrolle Sind verantwortlich für die Dokumentation der Sicherheitsvorkehrungen Informieren die Informationssicherheitsverantwortlichen über nicht behebbare Schwachstellen Erstellen Notfallpläne für längere Ausfälle Sind die Informationsstelle bezüglich der in ihren Verantwortungsbereich liegenden Anwendung Sind die Informationsstelle bezüglich der in ihrer, resp. ihrem Verantwortungsbereich liegenden Datensammlung Klassifizieren die Daten, die in ihren Verantwortungsbereich bearbeitet werden (Vertraulichkeit, Integrität, Verfügbarkeit) Kontrollieren die Erfüllung der Datenschutz- und Informationssicherheitsbestimmungen Verwalten die Zugriffsrechte auf ihre Daten Sind verantwortlich für die Bearbeitung (inklusive Bekannt- und Weitergabe), Archivierung oder Vernichtung der in ihren Verantwortungsbereich liegenden Daten 8
Art. 11 Gemeindeschreiberin / Gemeindeschreiber Informationsicherheitsverantwortliche / -verantwortlicher Datenschutzberaterin / -berater Daten- und Anwendungsverantwortliche / -verantwortlicher Abteilungen Daten- und Anwendungsverantwortliche / -verantwortlicher Stabsstellen Daten- und Anwendungsverantwortliche / -verantwortlicher Einwohnerkontrolle IV. LEITLINIE ZUR INFORMATIONSSICHERHEIT Organigramm der Informationssicherheitsorganisation Informationssicherheitsniveau Informationssicherheitsziele Art. 12 Das Informationssicherheitsniveau der Gemeinde Fällanden wird als «mittel» eingestuft. Dies entspricht der Sicherheitsstufe 2 nach 8 Abs. 2 Informatiksicherheitsverordnung. Diese Einstufung erfolgt aufgrund der Tatsache, dass alle wesentlichen Funktionen und Aufgaben durch ICT-Systeme unterstützt werden und ein Ausfall von ICT-Systemen die Aufgabenerfüllung nicht beeinträchtigen darf. Als öffentliche Verwaltung bearbeitet die Gemeinde auch Daten, welche einen erhöhten Schutz vor unberechtigten Zugriffen und von unerlaubten Änderungen benötigen. Art. 13 Abgeleitet aus der ICT-Strategie und der Einstufung ergeben sich die folgenden Informationssicherheitsziele ( 7 IDG): Informationen dürfen nicht unrechtmässig zur Kenntnis gelangen. Informationen müssen richtig und vollständig sein. Informationsbearbeitungen müssen einer Person zugerechnet werden können. Veränderungen von Informationen müssen erkennbar und nachvollziehbar sein. Informationen müssen bei Bedarf vorhanden sein. Die Ausfallzeiten dürfen keine wesentlichen Auswirkungen auf den Verwaltungsbetrieb haben. Politische Behörden und die Mitarbeitenden der Politischen Gemeinde sind sich ihrer Verantwortung beim Umgang mit ICT-Systemen und Anwendungen bewusst. Sie unterstützen die Informationssicherheitsziele. 9
Aus den Informationssicherheitszielen ergeben sich folgende Massnahmen: Die Zugänge zu allen Systemen, Daten und Anwendungen sind durch mitarbeiterabhängige Passworte gesichert. Der Zugriff auf die Informationen ist durch ein Berechtigungskonzept geregelt. Die Zugriffsberechtigungen für Mitarbeitende auf Systeme und Netzwerke sind für die Erfüllung der Aufgaben geeignet und erforderlich. Die Datensicherung wird regelmässig durchgeführt. Die Sicherungsmedien werden an getrennten Orten aufbewahrt und sind physisch geschützt. Es wird gewährleistet, dass kurzfristig verlorene oder fehlerhafte Teile des Informationsbestandes wiederhergestellt werden können. Viren-Schutzprogramme werden auf allen ICT-Systemen eingesetzt. Durch entsprechende Massnahmen wird sichergestellt, dass die Risiken der Internetnutzung möglichst gering bleiben. Der Einsatz von Arbeitsplatzrechnern und mobilen Geräten sowie die Installation von Software auf Arbeitsplatzrechnern und Servern sind im Detail geregelt. Für Daten mit erhöhtem Risiko auf Missbrauch werden die entsprechenden technischen und organisatorischen Massnahmen ergriffen. Gebäude und Räume sowie ICT-Systeme werden durch ein ausreichendes Schliesssystem und weiteren Massnahmen für die physische Sicherheit angemessen geschützt. Die Datenübertragung von Informationen, die aufgrund ihres Missbrauchspotentials und der damit zusammenhängenden Risiken einen erhöhten Schutz benötigen, wie z.b. von besonderen Personendaten erfolgt über öffentliche Netze verschlüsselt. Die Verfügbarkeit und Qualität von Internet-Diensten für Bürgerinnen und Bürger wird laufend überprüft. Die Mitarbeitenden werden angewiesen, die Gesetze sowie die vertraglichen Regelungen und internen Richtlinien einzuhalten. Sie unterstützen durch eine sicherheitsbewusste Arbeitsweise die Sicherheitsmassnahmen. ICT-Sicherheitsfragen und Hinweise auf Schwachstellen werden an die für die Informationssicherheit verantwortliche Person gerichtet. Für alle Funktionen wird die Stellvertretung geregelt. Durch ausreichende Dokumentation und Instruktion wird sichergestellt, dass die Stellvertretenden ihre Aufgabe erfüllen können. Die Mitarbeitenden nehmen mindestens jährlich an einer internen Sicherheitsschulung der für die Informationssicherheit verantwortlichen Person teil. Sie werden regelmässig über aktuelle Gefahren und zu treffende Massnahmen informiert. Alle Netzwerkzugänge werden gesichert. Schutzmechanismen werden so konfiguriert und administriert, dass sie einen wirkungsvollen Schutz gewährleisten und Manipulationen verhindern. Die Network Security Policy der übergeordneten Netzwerke wird eingehalten. 10
V. REGELUNG DER DATENSICHERHEIT Vertrauliche Daten Art. 14 Alle Angestellten sind persönlich dafür verantwortlich, dass vertrauliche Daten entsprechend ihrer Natur gesichert aufbewahrt werden. Grundsätzlich wird zwischen physischen und elektronischen Daten unterschieden: a) Physische Daten: Sind im Büro unter Verschluss zu halten und dürfen den Arbeitsplatz nur in Ausnahmefällen und nach Rücksprache mit dem oder der Sicherheitsverantwortlichen verlassen (z.b. Bewerbungsdossiers). b) Elektronische Daten: Sind mit einem entsprechenden Passwort vor unerlaubtem Zugriff zu schützen. Solche Daten dürfen nur nach Rücksprache mit dem oder der Sicherheitsverantwortlichen via E-Mail an Berechtigte versandt werden. Personaldaten Klassifizierung Art. 15 Personendaten im Sinne des Datenschutzgesetzes oder andere vertrauliche Informationen dürfen ausnahmslos und nur an Amtsstellen auf ausdrückliche Anordnung übermittelt werden. Dies gilt auch für eingefügte Dokumente und/oder Anlagen (so genannte "Attachments") sowie für ausführbare Programme. Art. 16 Vertrauliche Dokumente und/oder Daten sind als solche zu kennzeichnen (Vermerk: "vertraulich"). Der interne Versand von vertraulichen, physischen Daten erfolgt ausschliesslich in einem verschlossenen adressierten Kuvert an den Empfängerkreis mit dem Vermerk "vertraulich". Datensicherung Virenschutz Art. 17 Geschäftsbezogene Daten müssen auf Serverlaufwerken gespeichert werden. Nicht mehr benötigte Daten müssen von Datenträgern unwiederbringlich gelöscht werden. Die auf dem Server gespeicherten Daten werden automatisch gesichert. Für die Datensicherung an den PC-Arbeitsstationen sind die Angestellten selbst zuständig. Der oder die Informatikverantwortliche kann entsprechende Richtlinien erlassen. Art. 18 Die Mitarbeitenden dürfen die Sicherheitssoftware (Virenschutz, Firewall usw.) nicht ausschalten, blockieren oder umkonfigurieren. E-Mails mit unbekanntem Absender, verdächtigem Betreff oder unüblichem Inhalt sind im Hinblick darauf, dass sie von der Virenschutzsoftware nicht erkannte Viren enthalten könnten, vorsichtig zu behandeln. Deren Beilagen sollen keines- 11
falls geöffnet werden. Jeder Verdacht auf Virenbefall muss sofort dem Informatikverantwortlichen gemeldet werden. Hard- und Software Zugangs- und Zugriffsschutz Passwörter Art. 19 Die Politische Gemeinde Fällanden stellt die zur Arbeitserfüllung notwendige Hard- und Software inklusive der standardisierten Peripherie-Geräte zur Verfügung. Die Mitarbeitenden dürfen keine Software und keine Hardware- Erweiterungen, insbesondere keine Kommunikationseinrichtungen und externe Massenspeicher installieren bzw. anschliessen. Die Mitarbeitenden dürfen Informatiksysteme, die am Netzwerk angeschlossen sind, nicht gleichzeitig mit einem Netz oder System ausserhalb des Gemeinde- Netzwerkes verbinden. Nur der Informationssicherheitsverantwortliche darf Geräte in die Reparatur oder zur Entsorgung geben. Er stellt sicher, dass keine schützenswerten Daten auf diesem Weg die Amtsstelle verlassen. Art. 20 Der Arbeitsplatz ist aufgeräumt zu hinterlassen, so dass Unbefugte (Servicetechniker, usw.) keinen Zugriff auf Informationen und ICT- Anwendungen ermöglicht wird. Hierzu sind Räume falls möglich zu verschliessen. Die Weitergabe von eigenen Benutzerkennungen und sonstigen Authentisierungshilfsmitteln (z.b. Passwörtern) an Dritte ist unzulässig. Beim Verlassen des Arbeitsplatzes muss die Arbeitsstation abgemeldet, mit einem Passwortschutz gesperrt oder heruntergefahren werden. Mobile Geräte und Datenträger müssen eingeschlossen werden. Wenn der Verdacht besteht, dass die eigenen Zugangs- und Zugriffsberechtigungen unberechtigt durch Dritte genutzt werden, ist das Passwort umgehend zu ändern. Mitarbeitende dürfen nur ihre persönlichen Benutzerkonti oder die ihnen zugeteilten funktionellen Konti verwenden. Sie sind für die mit ihren Konti erfolgten Zugriffe verantwortlich. Ausdrucke mit vertraulichen Informationen sind umgehend aus dem Drucker zu entfernen. Art. 21 Passwörter sind vertraulich zu behandeln. Sie dürfen nicht aufgeschrieben, unverschlüsselt auf Systemen gespeichert oder anderen Personen (z.b. Vorgesetzen, Informationssicherheitsverantwortlichen usw.) bekannt gegeben werden. Passwörter müssen mindestens acht Stellen lang sein und sollen eine Kombination von Klein- und Grossbuchstaben, Ziffern und Sonderzeichen enthalten. Hier gelten zusätzlich die Regelungen der externen Leistungserbringer der Gemeinde. Leicht erratbare Passwörter und solche, die einen Bezug zur eigenen Person aufweisen, sind nicht erlaubt. Geschäftlich genutzte Passwörter dürfen nicht privat verwendet werden. Passwörter müssen regelmässig (alle 90 Tage) gewechselt werden. Sie sind sofort zu ändern, wenn ein Verdacht besteht, dass sie Dritten zur Kenntnis gelangt sind. Ein früher bereits benutztes Passwort darf nicht mehr gewählt werden. Gruppenpasswörter werden nur vergeben, wenn dies zwingend erforderlich ist. Sie sind umgehend zu ändern, wenn sich die Zusammensetzung 12
der Gruppe verändert. Gleiches gilt, wenn sie nicht autorisierten Personen bekannt geworden sind. Initialpasswörter müssen sofort geändert werden. Nutzung von E-Mail und Internet Art. 22 Internet und E-Mail werden für die Erfüllung dienstlicher Aufgaben nach den Grundsätzen der Wirtschaftlichkeit, der Datensicherheit und des Datenschutzes eingesetzt. Die Nutzung von E-Mail und Internet während der Arbeitszeit für private Zwecke ist auf ein Minimum zu beschränken. Unzulässig ist Die Anwahl oder Nutzung von Internetseiten mit rechtswidrigem, pornografischen, rassistischem, sexistischem oder gewaltverherrlichendem Inhalt; das Versenden von E-Mails mit rechtswidrigem, rassistischem, sittlich oder religiös anstössigem oder illegalem Inhalt, mit unnötig grossem Verteiler oder mit der Aufforderung zum Weiterversand im Schneeballsystem; die automatische Umleitung (Forwarding) von E-Mails an externe E-Mail- Adressen, bei mehrtägigen Abwesenheiten ist die Funktion des Abwesenheitsassistenten zu nutzen; das ohne Bewilligung erfolgende Herunterladen oder die Installation von Spielen sowie Audio- und Videodateien aus dem Internet; geschäftsrelevante Daten ohne formelles Einverständnis der Gemeindeschreiberin / des Gemeindeschreibers im Internet zu publizieren oder z.b. in Formularen bekannt zu geben. Untersagt zu privaten Zwecken ist das Ablegen von dienstlichen E-Mail-Adressen im Internet, der Versand von E-Mails mit starker Netzwerkbelastung, insbesondere der Versand an einen grossen Empfängerkreis oder von grossen Datenmengen, der Zugriff auf Plauderboxen (Chatrooms, etc.), Tauschbörsen, Online- Ticker und Social Medias (Facebook, etc.). Vorgesetzte Stellen können ergänzende Bestimmungen erlassen und die private Nutzung von Internet oder E-Mail sowie die verbindlichen Regeln zur Datensicherheit weiter einschränken. Einsatz mobiler Geräte Art. 23 Auf mobilen Geräten (z.b. Notebook, USB-Datenträger, Smartphone, usw.) müssen Dokumente mit vertraulichem bzw. schützenswertem Inhalt verschlüsselt gespeichert werden. Mobile Arbeitsgeräte müssen mit einem Boot-Passwort geschützt werden. Die Benutzerinnen und Benutzer von mobilen Arbeitsstationen sind selbst für die Datensicherung und die datenschutzgerechte Aufbewahrung verantwortlich. Mobile Geräte dürfen in öffentlich zugänglichen Räumen nicht unbeaufsichtigt gelassen werden. Die Geräte dürfen nicht Dritten zur Nutzung überlassen werden. Der Verlust 13
eines mobilen Gerätes ist unverzüglich der/dem Informationssicherheitsverantwortlichen zu melden. Es dürfen keine zusätzlichen Applikationen installiert werden. Besteht ein begründeter Bedarf, ist die Genehmigung der/des Informationssicherheitsverantwortlichen einzuholen. Eine Verbindung zu drahtlosen Netzwerken (z.b. WLAN) ist nur zulässig, wenn eine Verschlüsselung eingesetzt wird. Drahtlose Komponenten (z.b. Bluetooth, WLAN, Infrarot etc.) sind bei Nichtgebrauch oder im Ausland zu deaktivieren. Die Ortungsdienste sind bei Nichtgebrauch oder im Ausland zu deaktivieren. Einsatz fremder Geräte (easydesk mobile) Art. 24 Mitarbeitende, welche für den Einsatz von easydesk mobile vorgesehen sind, müssen die Sicherheitsrichtlinien des externen Leistungserbringers einhalten und deren Bestimmungen zur Kenntnis genommen haben und mit der Unterschrift bestätigen. Die Bestimmung, welche Mitarbeitende über die Nutzung von easydesk mobile verfügen dürfen, obliegt der Gemeindeschreiberin / dem Gemeindeschreiber. VI. REGELUNG ZUM EINSATZ MOBILER GERÄTE Geltungsbereich Private, geschäftliche Handy-Nutzung Art. 25 Für den Einsatz von mobilen Geräten gelten folgende grundsätzliche Regeln, welche durch die/den Informationssicherheitsbeauftragte/n geprüft und kontrolliert werden. Art. 26 Wird ein privates Handy für geschäftliche Zwecke verwendet, dann wird ein Pauschalbetrag als Entschädigung in Zusammenarbeit mit der/dem Gemeindeschreiber/in, der Stabsstelle Personal und der/dem Abteilungsleiter/in vereinbart. Die Wahl des Handys, des Abos und der Telefonnummer kann von der Benutzerin/vom Benutzer frei gewählt werden sofern sie mit der ICT- Infrastruktur der Gemeinde kompatibel sind. Wird ein Geschäftshandy benötigt, bestimmt die Gemeinde Fällanden über den Typ und das Abonnement. Die Telefonnummer gehört der Gemeinde und muss bei einem Austritt abgegeben werden. Die Kontrolle über die Gesprächskosten und die Informationssicherheitsregeln werden sporadisch durch die/den Informationssicherheitsverantwortliche/n geprüft. Die Nutzung eines Geschäftshandys wird in der Personalsoftware der Stabsstelle Personal registriert. Die Synchronisierung des Handys mit dem Geschäftskalender ist bei Bedarf für Abteilungsleiterinnen und -leiter, deren Stellvertretungen, Stabsstellenle- 14
terinnen und Stabsstellenleiter, Bereichsleitende und Mitarbeitende mit Aussendienstaufgaben vorbehalten. Die Voraussetzung für die Synchronisation mit dem Outlook wird mit der/dem Informationssicherheitsbeauftragte/n und dem externen Leistungserbringer geprüft Die Registrierung der Telefonnummer bei Swisscom wird vom externen Leistungserbringer vorgenommen, so dass eine Exchange- Synchronisierung (gesicherte Datenleitung) ermöglicht werden kann und der Datenschutz eingehalten bleibt. Anträge für ein Geschäftshandy sowie Synchronisation benötigen die Genehmigung des Abteilungsleiters/der Abteilungsleiterin sowie der/dem Informationssicherheitsbeauftragte/n. Laptop/Ipad/usw. Art. 27 Das Anschliessen von privaten Laptops, Ipads, etc. an das ICT-System der Gemeinde sind untersagt. Die Gemeinde Fällanden stellt 3 Laptops für diesen Zweck zur Verfügung. Geschäftsrelevante Daten dürfen nicht auf den Laptops gespeichert bzw. müssen nach deren Verwendung wieder gelöscht werden. Die Laptops werden regelmässig von der/dem Informationssicherheitsbeauftragte/n geprüft und auf die Standardsausführung zurückgesetzt. Die Laptops dürfen nicht für private Zwecke nach Hause genommen noch an externe Personen weitergegeben werden. VII. KONTINUIERLICHE VERBESSERUNG DER INFORMATIONS- SICHERHEIT Einhaltung Aktualität Art. 28 Der Gemeinderat unterstützt die Einhaltung und weitere Verbesserung des Informationssicherheitsniveaus. Er gibt mit der periodischen Überarbeitung dieses Betriebsreglements zur Informationssicherheit und ICT-Technologie die notwendigen Leitplanken für eine sichere und gesetzeskonforme Informationsverarbeitung. Sie wird mindestens alle 4 Jahre überarbeitet. Art. 29 Das Betriebsreglement wird regelmässig auf die Aktualität und die Wirksamkeit geprüft. Festgestellte Abweichungen werden innert nützlicher Frist behoben. Die zu ergreifenden Massnahmen orientieren sich am Stand der Technik sowie an nationalen und internationalen Standards. 15
VIII. SYSTEMVERWALTUNG Ausgangslage ICT Betriebssicherheit Datensicherheit Art. 30 Die Betreuung der ICT-Technologie der Gemeinde Fällanden, welche die Softwarebereitstellung einschliesslich Hardware sowie die Datensammlung und Datensicherheit beinhaltet, wird grösstenteils durch externe Leistungserbringer gewährleistet. Die Updates der Fachapplikationen und deren Benutzungsrechte werden durch diese externen Leistungserbringer aufgrund der Angaben der Daten- und Anwendungsverantwortlichen sichergestellt. Art. 31 Die Betriebssicherheit muss durch die externen Leistungserbringer gewährleistet sein. Das Kadergremium (Abteilungsleiterinnen und -leiter, Stabsstellenleiterinnen und -leiter) hat für Notfallsituation eine externe Zugriffsmöglichkeit (easydesk mobile), sodass die Aufrechterhaltung des Betriebs der in dieser Situation notwendigen Arbeiten gewährleistet ist. Art. 32 Die Datensicherheit wird durch externe Leistungserbringer gewährleistet. Back-up und Zugriffsberechtigungen werden von diesen umgesetzt und kontrolliert. Gelten weiterführende Richtlinien der externen Leistungserbringer sind die Mitarbeitenden der Politischen Gemeinde verpflichtet, diese ebenfalls entsprechend einzuhalten. In der Gemeinde Fällanden ist eine mit dem Datenschutz beauftragte Person ernannt, welche die Einhaltung der internen wie externen Regelungen prüft. Externe Leistungserbringer Art. 33 Werden Leistungen von externen Firmen erbracht, gelten sinngemäss die gleichen Vorgaben wie für die internen Mitarbeitenden. Der Leistungserbringer, ob intern oder extern, wird nach wirtschaftlichen Kriterien bestimmt. IX. SCHLUSSBESTIMMUNGEN Ausnahmen Protokollierung und Kontrollen Art. 34 Gesuche um Ausnahmen von dem vorliegenden Betriebsreglement sind dem Informationssicherheitsverantwortlichen per E-Mail mit Begründung einzureichen. Art. 35 Zur Überwachung des richtigen Funktionierens, der Sicherheit, der Integrität und der Verfügbarkeit der Informatik werden Systeme eingesetzt, die Protokolle und Warnmeldungen erzeugen. Internetzugriffe werden aufge- 16
zeichnet und ein halbes Jahr gespeichert. Eine personenbezogene Auswertung ist nur nach vorgängiger Information des betroffenen Mitarbeitenden möglich. Der E-Mail-Verkehr, die Nutzung easydesk mobile sowie das Nichtbefolgen der verbindlichen Regeln des Datenschutzes kann bei einem konkreten Verdacht auf Missbrauch personenbezogen kontrolliert und ausgewertet werden. Ein widerrechtliches oder weisungswidriges Verhalten im Umgang mit Datenschutz und Informationssicherheit kann straf-, zivilund/oder personalrechtliche Konsequenzen zur Folge haben. Die Mitarbeitenden der Politischen Gemeinde bestätigen mit ihrer Unterschrift der Erklärung, dass sie das Betriebsreglement über Informationssicherheit, Datenschutz und ICT-Technologie zur Kenntnis genommen haben und sich an die darin festgelegten Bestimmungen sowie die ergänzenden Bestimmungen der vorgesetzten Stellen halten. Administrativuntersuchung Prüfung und Vernichtung der Unterlagen Inkrafttreten Art. 36 Der Gemeinderat entscheidet aufgrund der personenbezogenen Berichte, ob gegen die betroffene Person eine Administrativuntersuchung durchgeführt wird. Art. 37 Entscheidet der Gemeinderat, keine Administrativuntersuchung durchzuführen, werden die personenbezogenen Berichte und Protokolle nach 30 Tagen vernichtet. Art. 38 Dieses Betriebsreglement über Informationssicherheit, Datenschutz und ICT- Technologie tritt rückwickend per 1. Juli 2012 in Kraft und ergänzt die im Art. 2 genannten Reglemente und Weisungen und ersetzt die Verordnungen über die Nutzung von Internet und E-Mail vom 17. August 2004 sowie über die Datensicherheit vom 17. August 2004. Vom Gemeinderat genehmigt am 3. Juli 2012. Betriebsreglement V1.0/092012 17
18
19
Gemeindeverwaltung Fällanden Schwerzenbachstrasse 10 8117 Fällanden www.faellanden.ch Telefon 043 355 35 35 Telefax 043 355 35 36 gemeinde@faellanden.ch