Weiden:
Nach ISIS12 zertifiziert


[19.12.2018] Als erste kreisfreie Stadt in Bayern ist Weiden in der Oberpfalz nach dem Regelwerk ISIS12 zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS) qualifiziert. Der Zertifizierung gingen umfangreiche Vorarbeiten voraus.

Stadt Weiden ist stolz auf ihre ISIS12-Zertifizierung. Die moderne Verwaltung hat heute umfangreiche und komplexe Aufgaben, deren Bewältigung ohne elektronische Kommunikationsmedien und Informationstechnologie nicht mehr denkbar ist. Damit verbunden war und ist aber immer auch die Frage nach einem angemessenen Schutz der Bürgerdaten.
Die Stadt Weiden in der Oberpfalz hat sich dieser Herausforderung gestellt. Hier misst man der Informationssicherheit einen hohen Stellenwert bei. Das Bayerische E-Government-Gesetz (BayEGovG) und die seit Mai dieses Jahres geltende Datenschutz-Grundverordnung (DSGVO) bestärkten die Kommune in dieser Hinsicht.
Weiden ist nun die erste kreisfreie Stadt in Bayern, die von der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) nach dem ISIS12-Regelwerk für Informationssicherheit zertifiziert ist. Nach eineinhalb Jahren Arbeit konnte Anfang Juni 2018 durch eine Auditorin von DQS die Überprüfung erfolgen. Der Zertifizierung vorausgegangen waren Monate intensiver Arbeit. Dabei stand dem Kern-Team, bestehend aus dem IT-Leiter, dem Informa­tionssicherheitsbeauftragten (ISB) sowie der Datenschutzbeauftragten der Stadt Weiden, mit BSP-Security ein kompetenter externer Berater zur Seite. Wann immer es nötig war, wurde das Kern-Team zudem um Kollegen aus den Fachabteilungen der Stadtverwaltung ergänzt, etwa aus der Hochbauabteilung oder dem Gebäude-Management. Insgesamt waren 18 Personen in den ISIS12-Zertifizierungsprozess involviert, und es fanden allein 22 Meetings mit dem externen Berater statt.

Leitlinie zur Informationssicherheit

Den Startschuss für die Zertifizierung bildete die Unterzeichnung der Leitlinie zur Informationssicherheit durch Weidens Oberbürgermeister Kurt Seggewiß. Die Leitlinie macht deutlich, welch hohen Stellenwert die Leitungsebene des Rathauses der Informationssicherheit beimisst.
Für die Einführung eines nach ISIS12 zertifizierten Informations-Sicherheits-Management-Systems (ISMS) haben sich die Verantwortlichen der Stadt Weiden nach Angaben von Peter Teichmann, IT-Leiter der Stadtverwaltung, bewusst entschieden – obwohl die Kommune bereits über einen hohen technischen Sicherheitsstandard verfügte. „Mit der erfolgreichen Zertifizierung haben wir nicht nur einen Nachweis für unsere Bürger, dass wir mit großer Sorgfalt mit den Daten umgehen, sondern können auch belegen, dass wir den aktuellen gesetzlichen Anforderungen und Bestimmungen gerecht werden“, erklärt Teichmann.
ISIS12 stellt ein Modell zur Einführung eines ISMS in zwölf Schritten dar, das der IT-Planungsrat und die kommunalen Spitzenverbände offiziell für den Einsatz in der kommunalen Sicherheit empfohlen haben. Dabei geht es nicht allein um Sicherheit in der Informationstechnik, sondern auch um bauliche Maßnahmen und organisatorische Abläufe in der Verwaltung. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein – er hat inzwischen die technischen Gegebenheiten als beliebtestes Angriffsziel überholt. Die eigenen Mitarbeiter stellen somit eine wertvolle Ressource zum Schutz sensibler Informationen dar.

Modulares Schulungskonzept

Bei der Stadt Weiden wurde daher ein modulares Schulungskonzept erstellt, um durch verschiedene Sensibilisierungsmaßnahmen den Faktor Mensch zu einer Stütze des Informationssicherheitskonzepts werden zu lassen. Unter anderem wurden in 14 Präsenzschulungen annähernd 400 Mitarbeiter geschult, vom Sachbearbeiter bis hin zum Oberbürgermeister. In einem weiteren Schritt wurde die komplette Dokumentationsstruktur überdacht und die dafür erforderlichen Rahmendokumente erstellt oder angepasst. Einen enormen Aufwand stellte dabei die Überführung der vorhandenen Dokumentationen in ein gut strukturiertes IT-Betriebshandbuch dar. Dabei stand alles auf dem Prüfstand, angefangen von den Namenskonventionen bis hin zum komplexen IT-Notfallhandbuch mit den für die Stadt Weiden individuellen und spezifischen Gegebenheiten.
Da Kommunen für eine Vielzahl von Aufgabenbereichen zuständig und verantwortlich sind, wurde ein eigenes EDV-Verfahren zur Software-Verwaltung erstellt. In diesem Verfahren sind alle Informationen für ein effizientes Software-Verzeichnis abgelegt. Neben der Anpassung und Dokumentation der Software und verschiedener Ablaufprozesse waren auch diverse bauliche Maßnahmen nötig, um alle gesetzlichen Vorgaben zu erfüllen – so etwa der Einbau neuer Tiefgaragentore.

Kontinuierliche Weiterentwicklung

Die Zertifizierung versteht die Stadt Weiden nicht als einmalige Sache. Das dem Sicherheitskonzept zugrunde liegende PDCA-Prinzip (PDCA steht für das Englische Plan, Do, Check, Act; Planen, Tun, Überprüfen, Umsetzen) überwacht kontinuierlich die Aktualität und die wirksame Umsetzung der noch offenen Sicherheitsmaßnahmen im Sinne einer Revision. Das ISMS ist nach dem ersten Durchlauf etabliert und wird durch interne und optional externe Audits permanent fortgesetzt und weiterentwickelt.

Reinhold Zangl ist Informationssicherheitsbeauftragter der Stadt Weiden in der Oberpfalz.

www.weiden.de
Dieser Beitrag ist in der Ausgabe Dezember 2018 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.  (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, Weiden

Bildquelle: Stadt Weiden i.d.OPf.

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
krz: Dienste im Netz des Bundes
[12.12.2018] Seine Dienste zwischen Client und Server kann das Kommunale Rechenzentrum Minden-Ravensberg/Lippe (krz) nun verschlüsselt im Netz des Bundes anbieten. mehr...
Ludwigshafen: procilon nimmt IT-Sicherheit unter die Lupe
[5.12.2018] Für die Stadt Ludwigshafen hat das Unternehmen procilon die Sicherheit der bestehenden IT-Infrastruktur untersucht und ein Gutachten zum weiteren Vorgehen erstellt. mehr...
Niedersachsen: Datenschutz geprüft
[16.11.2018] Bei niedersächsischen Kommunen besteht Handlungsbedarf hinsichtlich der Informationssicherheit. Das zeigt der aktuelle Prüfbericht des Landesrechnungshofs. Unterstützung bei Datenschutzfragen bietet IT-Dienstleister ITEBO. mehr...
Kreis Weilheim-Schongau: Sicherheit für mobile Endgeräte
[12.11.2018] Auf eine Lösung von Anbieter Virtual Solution setzt das Landratsamt Weilheim-Schongau, um Smartphones und Tablets im dienstlichen Gebrauch abzusichern. mehr...
SecurePIM sichert Smartphones und Tablets im dienstlichen Gebrauch im Kreis Weilheim-Schongau.
Datenschutzbeauftragte: Positionspapier zu KI vorgelegt
[18.10.2018] Ein Positionspapier zum Einsatz von Algorithmen und künstlicher Intelligenz (KI) in der öffentlichen Verwaltung haben jetzt Datenschutzbeauftragte aus Bund und Ländern vorgelegt. Es beschreibt unter anderem, welche Anforderungen hinsichtlich der Informationsfreiheit Behörden bei der Anwendung entsprechender Verfahren erfüllen müssen. mehr...
Verwaltungen müssen beim Einsatz von KI auch Fragen des Datenschutzes und der Informationsfreiheit beachten.
Suchen...

 Anzeige

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GROUP
04425 Taucha bei Leipzig
procilon GROUP
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
Aktuelle Meldungen