Verordnung über die Benutzung von Informatikmitteln und die Überwachung der Informationssicherheit Vom 2. August 2011 Kurztitel: Informationssicherheit Zuständige Abteilung: Informatik
Verordnung über die Benutzung von Informatikmitteln und die Überwachung der Informationssicherheit Vom 2. August 2011 Der Stadtrat der Stadt Baden, gestützt auf 12 des Gesetzes über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG) vom 24. Oktober 2006 1, die 4 und 5 der Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG) vom 26. September 2007 2 sowie die 18 und 20 der kommunalen Verordnung über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDA) vom 22. Dezember 2008, beschliesst: I. Allgemeine Bestimmungen 1 Zweck 1 Diese Verordnung regelt die Benützung von Informatikmitteln in der Verwaltung der Stadt Baden zwecks Gewährleistung der Informationssicherheit als integraler Bestandteil von Geschäftsprozessen jeglicher Art bzw. der Verfügbarkeit und Vertraulichkeit von Informationen. 2 Sie soll sicherstellen, dass beim Einsatz der Informatikmittel a) die technischen Möglichkeiten zur Erfüllung der dienstlichen Aufgaben zweckmässig genutzt werden; b) die Datenbestände geschützt und Schäden sowie Missbräuche verhindert werden; c) der Schaden infolge Störungen und Problemen minimiert wird; d) die Persönlichkeitsrechte gewahrt werden. 1 SAR 150.700 2 SAR 150.711 Seite 2 von 12
2 Geltungsbereich Diese Verordnung gilt für die Mitglieder der Behörden und Gremien sowie die Mitarbeitenden der Verwaltung der Stadt Baden. 3 Persönliche Verantwortung 1 Alle Anwendenden sind für die Verwendung der ihnen zur Verfügung gestellten Informatikmittel im Rahmen der geltenden Rechtsordnung und dieser Verordnung persönlich verantwortlich. 2 Feststellungen über technische Mängel und sicherheitsrelevante Vorkommnisse sind umgehend dem/der direkten Vorgesetzten sowie der Abteilung Informatik zu melden. 4 Fremde Personen 1 Fremden Personen ist der unbefugte Zutritt zu den Räumlichkeiten der Stadt Baden ausserhalb der Publikumsbereiche untersagt. 2 Die Mitarbeitenden der Stadt Baden sind angewiesen, fremde Personen in den nicht öffentlichen Räumlichkeiten der Stadt Baden anzusprechen und falls nötig zum Ausgang zu begleiten. II. Gebrauch von Informatikmitteln 5 Eintritt von Mitarbeitenden 1 Die Abteilung Informatik regelt zusammen mit dem Personaldienst die formellen Vorgänge in Zusammenhang mit dem Ein- und Austritt von Mitarbeitenden. 2 Benutzer- und E-Mailaccounts für neu eintretende Mitarbeitende sind durch die Abteilung rechtzeitig bei der Abteilung Informatik zu bestellen. 6 Dienstliche/Private Informatikmittel 1 Es dürfen grundsätzlich nur die von der Abteilung Informatik bereitgestellten Informatikmittel benutzt werden. 2 Der Einsatz privater Informatikmittel ist in besonderen Fällen mit Bewilligung der Abteilung Informatik und unter Einhaltung der entsprechenden Installations- sowie Sicherheitsbestimmungen zulässig. 7 Fremdanschlüsse, Fremdprogramme 1 Informatikmittel dürfen nur durch, beziehungsweise mit Bewilligung der Abteilung Informatik mit der städtischen Netzwerkinfrastruktur verbunden oder an städtische Informatikmittel angeschlossen werden. 2 Es darf nur lizenzierte Software verwendet werden. Diese wird ausschliesslich durch die Abteilung Informatik installiert beziehungsweise zur Verfügung gestellt. Seite 3 von 12
3 Die Installation von Softwareprogrammen oder Treibern jeglicher Art durch die Anwendenden ist untersagt. 8 Dienstliche/Private Nutzung 1 Die zur Verfügung gestellten Informatikmittel dürfen grundsätzlich nur zur Erfüllung geschäftlicher Aufgaben benutzt werden. 2 Die Informatikmittel dürfen unter Einhaltung der Vorschriften dieser Verordnung ausnahmsweise zu nicht kommerziellen privaten Zwecken verwendet werden. 3 Eine private Nutzung von Informatikmitteln in grösserem Umfang ist mit der Abteilungsleitung und der Abteilung Informatik abzusprechen. 4 Die Informatikmittel dürfen mit Ausnahme der speziell für den mobilen Einsatz vorgesehenen Infrastruktur nicht mit nach Hause genommen werden. 9 Zugangs- und Zugriffsschutz Die Informatikmittel werden durch folgende Massnahmen vor unberechtigtem Gebrauch geschützt: a) die Verwendung von Benutzernamen und sicheren Passwörtern (Benutzeridentifikation); b) die Verwendung von alternativen oder zusätzlichen Identifikationselementen (Chip, Sicherheitszertifikat oder Token); c) die Geheimhaltung von Zugangsdaten jeglicher Art und der persönlichen Benutzeridentifikationsmerkmale; d) die periodische Änderung der Passwörter für die Anmeldung im Netzwerk mit automatisierter Vorankündigung (ein benütztes Passwort kann erst nach Ablauf einer Karenzfrist wieder verwendet werden); e) die zwingende Änderung des Initialpasswortes bei der ersten Anmeldung oder nach Rücksetzung des Passworts; f) das Sperren oder Beenden des Zugriffs auf Anwendungen und Daten beziehungsweise das Abschliessen des Büros beim Verlassen des Arbeitsplatzes; 10 Internet 1 Zugänge ins Internet werden durch die Abteilung Informatik bereitgestellt. Für spezielle Anwendungen können Abteilungen in Rücksprache mit der Abteilung Informatik eigene Internetzugänge realisieren. 2 Handlungen im Internet gemäss 15 Abs. 3 sind aus ethischen und/oder technischen Gründen strikte untersagt, ausser in einem expliziten Zusammenhang mit der Arbeitstätigkeit. Seite 4 von 12
3 Einträge in Newsgroups müssen den Hinweis enthalten, dass die gemachten Aussagen die persönliche Meinung eines Anwendenden sind und nicht zwingend mit der Meinung der Stadt Baden übereinstimmen. 11 E-Mail 1 Die Anwendenden erhalten zusammen mit ihrem Benutzerkonto ein persönliches E-Mailkonto. 2 Bei Bedarf können unpersönliche E-Mailkonten eingerichtet werden. Die Abteilungsleitung definiert für diese die erforderlichen Zugriffsberechtigungen. 3 Vertrauliche Informationen und besonders schützenswerte Personendaten dürfen nicht ohne Einwilligung der betroffenen Person per E-Mail übermittelt werden. 4 Für Anwendende, die vertrauliche Informationen und schützenswerte Personendaten 1 per E-Mail übermitteln müssen, stellt die Abteilung Informatik entsprechende Verschlüsselungstechniken zur Verfügung. 5 Der Gebrauch privater E-Mail-Adressen für geschäftliche Tätigkeiten ist nicht zulässig. 6 Virenverdächtige E-Mails sind umgehend und endgültig zu löschen. Virenverdächtige Anhänge (Attachments) von E-Mails dürfen nicht geöffnet, Weblinks und Bilder in zweifelhaften E-Mails nicht angeklickt werden. Als virenverdächtig oder zweifelhaft gelten E-Mails insbesondere, wenn a) der Absender des E-Mails nicht vertrauenswürdig erscheint; b) der Inhalt des E-Mails klar nicht geschäftsrelevant ist; c) das E-Mail so nicht erwartet wurde beziehungsweise es keinen Sinn ergibt. 7 Auf SPAM-Nachrichten darf nicht geantwortet werden. Eine Antwort bestätigt dem Absender die Korrektheit der Empfängeradresse. 12 Abwesenheitsmeldungen, Weiterleitung von E-Mailnachrichten 1 Bei Abwesenheiten von mehr als einem Arbeitstag ist für eintreffende E-Mails eine Abwesenheitsmeldung mit Angabe der Kontaktangaben der Stellvertretung und der Dauer der Abwesenheit einzurichten. 2 Auf die automatische Weiterleitung eintreffender E-Mails ist möglichst zu verzichten. Bei Ausnahmen sind folgende Regeln einzuhalten: a) Die betroffene Person ist ausdrücklich mit der Weiterleitung einverstanden und sich bewusst, dass auch private E-Mails automatisch weitergeleitet werden. 1 3 Abs. 1 lit. k) des Gesetzs über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG) vom 24.10.2006 [SAR 150.700], 7 der Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG) vom 26.09.2007 [SAR 150.711] Seite 5 von 12
b) Die Anwendenden dürfen temporäre Weiterleitungen bis max. vier Wochen im Mailclient (Outlook) selber einrichten. Die Umleitungen müssen an das persönliche Postfach der Stellvertretung gehen. c) Permanente Weiterleitungen sind von der Abteilungsleitung zu bewilligen und gemäss einem entsprechenden Auftrag durch die Abteilung Informatik direkt auf dem Exchangeserver zu verwalten. 3 Die Anwendenden bzw. die Abteilungsleitung sind für die Sicherheit und die Einhaltung des Datenschutzes bei Mailumleitungen verantwortlich. 13 Mobile Informatikmittel 1 Die Besitzer von mobilen Informatikmitteln (z.b. Notebooks, transportable Computer (PDA), Mobiltelefone/Smartphones, etc.) sind angehalten, verantwortungsbewusst mit mobilen Informatikmitteln umzugehen. Insbesondere dürfen diese nicht unbeaufsichtigt an öffentlich oder leicht zugänglichen Orten zurückgelassen werden. 2 Die Benutzung der mobilen Informatikmittel ist nur den Besitzern selber gestattet. Eine Benutzung durch Familienmitglieder oder Dritte ist untersagt. 3 Die Verwendung von Drahtloskommunikation (3G, WLAN, Bluetooth usw.) auf mobilen Informatikmitteln ist grundsätzlich gestattet. Zu beachten ist dabei, dass a) die Adapter zur Drahtloskommunikation auf Notebooks deaktiviert werden müssen, wenn sie nicht in Gebrauch sind; b) keinesfalls eine Drahtloskommunikation hergestellt werden darf, sobald ein Notebook kabelgebunden mit dem städtischen Netzwerk verbunden ist; c) eine Drahtloskommunikation ausschliesslich mit vertrauenswürdigen Hotspots (z.b. Swisscom, Regionalwerke Baden) hergestellt werden darf. 4 Auf Mobiltelefonen/Smartphones dürfen keine vertraulichen Informationen gespeichert werden. 5 Mobiltelefone/Smartphones dürfen nicht direkt mit der Informatikinfrastruktur der Stadt Baden verbunden werden. 6 Die Synchronisation von Exchange-Daten (E-Mail, Kontakte und Kalenderinformationen) auf geschäftliche oder private Mobiltelefone/Smartphones ist erlaubt. Die Abteilung Informatik stellt die dafür technisch notwendige Infrastruktur zur Verfügung und setzt die erforderlichen Sicherheitsvorkehrungen durch (z.b. PIN- Schutz). Seite 6 von 12
14 Mobile Datenträger 1 Die Verwendung von privaten mobilen Datenträgern (USB-Speicher, externe Festplatten, Kameras, etc.) ist untersagt. Solche Geräte dürfen weder mit der Informatikinfrastruktur der Stadt Baden verbunden werden, noch dürfen auf solchen Geräten geschäftliche Informationen gespeichert werden. 2 Wird für die geschäftliche Tätigkeit ein mobiler Datenträger benötigt, kann er bei der Abteilung Informatik bezogen werden. Diese mobilen Datenträger sind automatisch verschlüsselt und passwortgeschützt. 3 Die Abteilung Informatik definiert die anforderungsspezifischen und technischen Bedingungen für die Verwendung spezieller, dienstlicher mobiler Datenträger. Die Inbetriebnahme entsprechender Komponenten ohne Rücksprache mit der Abteilung Informatik ist nicht gestattet. 15 Unzulässiger Gebrauch 1 Missbräuchlich ist jede Verwendung der Informatikmittel, die a) gegen diese Verordnung verstösst; b) gegen andere Bestimmungen der Rechtsordnung verstösst; c) Rechte Dritter in rechtlich unzulässiger Weise verletzt. 2 Missbräuchlich sind insbesondere folgende Handlungen: a) Einrichten, Anschliessen oder Installation nicht bewilligter Informatikmittel (Hardware) und Verwendung oder Installation nicht bewilligter Programme (Software); b) Versenden von E-Mails in Täuschungs-, Belästigungs- oder Beleidigungsabsicht und private Massenversendungen; c) Widerrechtliches Kopieren von Daten oder Software; d) der Versuch, die Sicherheitsvorkehrungen von Netzwerken, Informatikmitteln und Konten zu umgehen; e) der eigenmächtige und gezielte effektive Zugriff auf Informationen, für die man nicht autorisiert ist. 3 Unzulässige Handlungen im Internet gemäss 10 Abs. 2 sind: a) der Zugriff auf Websites mit sexistischem, rassistischem oder pornographischem Inhalt, Gewaltdarstellungen, Geldspiel- und Börsenseiten, Musik-/Video- und Softwaretauschbörsen, Internetradio/-fernsehen/-telefon, Social Media Plattformen und dergleichen; b) das Erstellen von Links auf Websites gemäss lit. a); c) das Chatten; d) das Downloaden von Software für private Zwecke; Seite 7 von 12
e) das Spielen von (Online-)Games. 16 Fernzugriff 1 Den Anwendenden stehen Möglichkeiten für den Fernzugriff auf Informationen (z.b. via Internet) zur Verfügung. Alle Zugriffe müssen mit der nötigen Sorgfalt erfolgen. 2 Citrix Web Access ist für den Einsatz eines Notebooks der Stadt Baden unterwegs zugelassen. 3 Die Verwendung von Citrix Web Access auf nicht dienstlichen Computern kann auf Antrag der Abteilungsleitung bewilligt werden. 4 Citrix Web Access darf nicht auf öffentlichen Computern (Internetcafé usw.) verwendet werden. 5 Outlook Web App kann von allen Anwendenden verwendet werden a) auf privaten Computern und b) in Ausnahmefällen auch auf öffentlichen Computern (Internetcafé usw.). 17 Speicherung von Informationen 1 Alle geschäftsrelevanten Daten müssen auf den dafür bestimmten Serversystemen (Laufwerk) der Stadt Baden gespeichert werden. Es ist nicht erlaubt, geschäftsrelevante Daten dauerhaft auf lokalen Laufwerken oder externen Datenträgern zu speichern. 2 Müssen geschäftsrelevante Informationen auf mobilen Informatikmitteln ausserhalb des internen Netzwerks der Stadt Baden bearbeitet werden, sind die benötigten Daten manuell zu übertragen und zu verwalten (Datenabgleich, Versionierung usw.). 3 Persönliche Daten dürfen auf lokalen Laufwerken von mobilen Informatikmitteln gespeichert werden, sofern sie den reibungslosen Betrieb von Informatikmitteln nicht beeinträchtigen. Diese Daten werden nicht gesichert. Bei Störungen oder sicherheitsrelevanten Vorfällen können diese Daten ohne Vorankündigung unwiderruflich gelöscht werden. Die Wiederherstellung und Verfügbarkeit dieser Daten ist somit nicht gewährleistet. 4 Persönliche Daten dürfen auf dem persönlichen Serverlaufwerk gespeichert werden. Diese Daten werden regelmässig gesichert. 5 Es ist nicht erlaubt, gegen urheberrechtlich (Copyright), durch das Handelsgeheimnis, Patent oder ähnliche Bestimmungen geschützte Rechte von Personen oder Firmen, zu verstossen (geschützte Musik, Bilder, Texte, Software usw.) 6 Daten, die auf Informatiksystemen der Stadt Baden gespeichert sind, stehen im Eigentum der Stadt Baden. Die Vertraulichkeit dieser Daten kann nicht grundsätzlich gewährleistet werden. Seite 8 von 12
18 Austritt von Mitarbeitenden 1 Austretende Mitarbeitende a) räumen ihre persönliche Datenablage und ihre Mailbox auf; b) übergeben alle geschäftsrelevanten Daten sowie wichtige und nicht erledigte E- Mails an die definierte Stellvertretung; c) aktivieren den Abwesenheitsassistenten im Outlook mit einer Austrittsmeldung und Angabe der Adresse der Stellvertretung. 2 Die Abteilung hat den Benutzer- und E-Mailaccount von austretenden Mitarbeitenden rechtzeitig bei der Abteilung Informatik zu kündigen. 3 Die Abteilung Informatik inaktiviert nach einem Austritt das Benutzerkonto und löscht dieses frühestens einen Monat nach dem Austrittsdatum endgültig, sofern in der Kündigung nicht ausdrücklich ein bestimmter Zeitpunkt angegeben wird. 4 Ein Zugriff auf die Mailbox ausgetretener Personen ist nicht möglich. III. Kontroll- und Überwachungsmassnahmen 19 Zweck Kontroll- und Überwachungsmassnahmen dienen in erster Linie der Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfügbarkeit der Informatikmittel. 20 Zuständigkeit 1 Die Abteilungsleitung kontrolliert in Zusammenarbeit mit der Abteilung Informatik die Einhaltung der Bestimmungen über den Gebrauch von Informatikmitteln. 2 Die Abteilung Informatik ist zuständig für die Anordnung von Kontroll- und Überwachungsmassnahmen zur Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfügbarkeit der Informatikmittel sowie die Durchführung von entsprechenden Auswertungen. 21 Allgemein 1 Die Abteilung Informatik verfügt zur Durchführung der Kontroll- und Überwachungsmassnahmen sowie zur Optimierung der Netzwerkinfrastruktur über Einrichtungen die es ermöglichen, den Verkehr im Netzwerk systematisch zu untersuchen und auszuwerten. 2 Die Internetzugriffe und der E-Mailverkehr der Anwendenden werden aufgezeichnet (protokolliert). Diese Protokolldaten können im Rahmen von 24 zur Überprüfung des Vollzugs dieser Verordnung verwendet werden. 3 Die Abteilung Informatik hat dafür zu sorgen, dass Auswertungen nur von den dazu autorisierten Systemverantwortlichen durchgeführt und vertraulich behandelt werden. Seite 9 von 12
22 Verhinderung von Missbrauch 1 Es können Netzwerküberwachungs- oder Netzwerkanalysewerkzeuge eingesetzt werden. Der Einsatz von Spionageprogrammen ist nicht gestattet. 2 Folgende Daten werden protokolliert: a) Internetzugriffe: Benutzername, aufgerufene Internet-Adressen, Zugriffszeit, Zugriffsdauer, Grösse der heruntergeladenen Files; b) E-Mailverkehr: Absenderadresse, Empfängeradresse, Betreffzeile, Datum, Zeit, Grösse des E-Mails und allfällige Attachments. 3 Protokolldaten gemäss 22 Abs. 2 dieser Verordnung werden spätestens nach sechs Monaten vernichtet. Zu den Protokolldaten dürfen ausschliesslich die Systemverantwortlichen der Abteilung Informatik Zugang haben. 5 Abs. 2 VIDAG 1 bleibt vorbehalten. 4 Der Inhalt privater E-Mails, die als solche gekennzeichnet und somit erkennbar sind, darf ohne Zustimmung der betroffenen Anwendenden nicht gelesen werden. 5 Die Stadt Baden behält sich vor, Zugriffe auf bestimmte Webseiten generell zu sperren. 23 Sicherheit, Funktionsfähigkeit und Verfügbarkeit der Informatikmittel 1 Die Protokolldaten der Kontroll- und Überwachungsmassnahmen zur Überprüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfügbarkeit der Informatikmittel sind in anonymisierter Form auszuwerten. Rückschlüsse auf bestimmte Anwendende dürfen nicht möglich sein. 2 Werden Störungen festgestellt, die die Sicherheit, die Funktionsfähigkeit oder die Verfügbarkeit der Informatikmittel erheblich gefährden, dürfen die Protokolldaten ausnahmsweise personenbezogen ausgewertet werden, sofern dies zur Störungsbehebung unumgänglich ist. Die betroffenen Anwendenden sind darüber zu informieren. 3 Für personenbezogene Auswertungen ist vorgängig die Einwilligung der Abteilungsleitung Informatik einzuholen. Die Abteilung Informatik erstattet der Abteilungsleitung Stabs- und Personaldienste sowie der beauftragten Person für Öffentlichkeit und Datenschutz nachträglich Bericht über die durchgeführte Untersuchung und die allenfalls getroffenen Massnahmen. 1 Verordnung zum Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (VIDAG) vom 26. September 2007 [SAR 150.711] Seite 10 von 12
4 Kann eine Information bzw. die Einwilligung vorgängig nicht sichergestellt werden, darf die Auswertung durchgeführt werden, sofern die Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit oder Verfügbarkeit der Informatikmittel keinen Aufschub erlaubt. 24 Vollzug 1 Die Abteilungsleitung Informatik kann nach vorgängiger Information der Abteilungsleitung Stabs- und Personaldienste mittels der erwähnten Protokolldaten anonyme Plausibilitätskontrollen (Stichproben) über eine jeweils beschränkte Nutzungsdauer durchführen lassen, um den Vollzug dieser Verordnung zu überprüfen. 2 Besteht aufgrund der Überwachungs- und Analyseergebnisse oder seitens einer Abteilungsleitung ein erheblicher Verdacht auf Missbrauch der Informatikmittel, kann die Abteilungsleitung Stabs- und Personaldienste gegenüber einem begrenzten Personenkreis eine den Betroffenen schriftlich angekündigte, zeitlich befristete Kontrolle durchführen lassen. Eine solche Kontrolle bedarf in jedem Fall eines schriftlichen Auftrags. 3 Die Kontrollen sind unter Aufsicht der Abteilungsleitung Informatik durchzuführen. Die beauftragte Person für Öffentlichkeit und Datenschutz ist vorgängig zu informieren. Über die durchgeführte Untersuchung und die allfällig getroffenen Massnahmen ist ihr nachträglich Bericht zu erstatten. 4 Die Auswertungsresultate werden ausschliesslich der Abteilungsleitung Stabs- und Personaldienste und, sofern nötig, der Abteilungsleitung der betroffenen Personen mitgeteilt. IV. Sanktionen 25 Disziplinar- und strafrechtliche Massnahmen 1 Bei Zuwiderhandlungen gegen die Bestimmungen dieser Verordnung können vom Arbeitgeber nach vorgängig erfolgloser Mahnung Disziplinarmassnahmen gemäss Anstellungsreglement der Stadt Baden angeordnet werden. 2 Die Strafverfolgung bei Erfüllung eines Straftatbestands bleibt vorbehalten. V. Schlussbestimmungen 26 Inkrafttreten 1 Diese Verordnung tritt am 1. September 2011 in Kraft. 2 Sie ist allen Mitarbeitenden auszuhändigen. Seite 11 von 12
27 Aufhebung bisherigen Rechts Diese Verordnung ersetzt alle im Zeitpunkt ihres Inkrafttretens bestehenden Richtlinien und Regelungen betreffend Nutzung der IT-Struktur, Internetzugang, Umgang mit E-Mail und Netzwerküberwachung. Baden, 2. August 2011 STADTRAT BADEN Stadtammann ATTIGER Stadtschreiber KUBLI Seite 12 von 12