Die „Handreichung zur Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen“ wurde aktualisiert.
Von einem kleinen Redaktionsteam wurden erforderliche geringfügige Anpassungen und Aktualisierungen - z.B. die Aufnahme der VdS-Richtlinien 3473 - durchgeführt.
Die Informationssicherheit in Kommunen ist eng mit deren Aufgabenerfüllung verbunden. Sie ist mittlerweile zum kritischen Schlüssel für verlässliches und nachvollziehbares Verwaltungshandeln geworden. Über die letzten Jahrzehnte hat dabei die Sicherheit der Informationstechnik (IT)
einen größeren Stellenwert eingenommen. Die Komplexität der IT, der hohe Grad der Vernetzung und die Abhängigkeit der Verwaltung von IT-gestützten Verfahren verlangen nach einer
Systematisierung und Organisation der Informationssicherheit – nach einem Informationssicherheits-Managementsystem (ISMS). Die Grundlage für ein solches ISMS ist ein Bekenntnis der Behördenleitung zur Informationssicherheit. Dieses Bekenntnis wird durch eine Informationssicherheitsleitlinie
(ISLL) verbrieft.
Die Planung, Umsetzung, Überprüfung und Verbesserung der Informationssicherheit darf nicht als ein Projekt angesehen werden, das nach einem festen Terminplan durchgeführt wird und die Zielstellung hat, für mehr Informationssicherheit zu sorgen. Vielmehr handelt es sich um einen
Prozess zur Feststellung des aktuellen Sicherheitsniveaus und daraus resultierenden Festlegungen zur Verbesserung. Die Einführung und Aufrechterhaltung dieses Sicherheitsprozesses ist Aufgabe der Behördenleitung. Sie muss den Sicherheitsprozess initiieren, steuern und auch überprüfen, ob die Sicherheitsziele in allen Bereichen umgesetzt werden. Nur wenn sie voll hinter den Sicherheitszielen und den damit verbundenen Aktivitäten steht, kann diese Aufgabe erfolgreich
wahrgenommen werden. Dafür ist eine systematische Herangehensweise an einen kontinuierlichen Überwachungs- und Optimierungsprozess nötig, mit dem sowohl die Technik als auch die Beschäftigten und weitere Einflussfaktoren berücksichtigt werden.
Die vorliegende Handreichung erläutert, wie ein kommunales Informationssicherheitsmanagement-
System aufgebaut und unterhalten werden kann, und es beschreibt, wie eine dahinter stehende
Informationssicherheitsleitlinie konzipiert und gestaltet werden kann.