Weiden:
Nach ISIS12 zertifiziert


[19.12.2018] Als erste kreisfreie Stadt in Bayern ist Weiden in der Oberpfalz nach dem Regelwerk ISIS12 zur Einführung eines Informations-Sicherheits-Management-Systems (ISMS) qualifiziert. Der Zertifizierung gingen umfangreiche Vorarbeiten voraus.

Stadt Weiden ist stolz auf ihre ISIS12-Zertifizierung. Die moderne Verwaltung hat heute umfangreiche und komplexe Aufgaben, deren Bewältigung ohne elektronische Kommunikationsmedien und Informationstechnologie nicht mehr denkbar ist. Damit verbunden war und ist aber immer auch die Frage nach einem angemessenen Schutz der Bürgerdaten.
Die Stadt Weiden in der Oberpfalz hat sich dieser Herausforderung gestellt. Hier misst man der Informationssicherheit einen hohen Stellenwert bei. Das Bayerische E-Government-Gesetz (BayEGovG) und die seit Mai dieses Jahres geltende Datenschutz-Grundverordnung (DSGVO) bestärkten die Kommune in dieser Hinsicht.
Weiden ist nun die erste kreisfreie Stadt in Bayern, die von der Deutschen Gesellschaft zur Zertifizierung von Managementsystemen (DQS) nach dem ISIS12-Regelwerk für Informationssicherheit zertifiziert ist. Nach eineinhalb Jahren Arbeit konnte Anfang Juni 2018 durch eine Auditorin von DQS die Überprüfung erfolgen. Der Zertifizierung vorausgegangen waren Monate intensiver Arbeit. Dabei stand dem Kern-Team, bestehend aus dem IT-Leiter, dem Informa­tionssicherheitsbeauftragten (ISB) sowie der Datenschutzbeauftragten der Stadt Weiden, mit BSP-Security ein kompetenter externer Berater zur Seite. Wann immer es nötig war, wurde das Kern-Team zudem um Kollegen aus den Fachabteilungen der Stadtverwaltung ergänzt, etwa aus der Hochbauabteilung oder dem Gebäude-Management. Insgesamt waren 18 Personen in den ISIS12-Zertifizierungsprozess involviert, und es fanden allein 22 Meetings mit dem externen Berater statt.

Leitlinie zur Informationssicherheit

Den Startschuss für die Zertifizierung bildete die Unterzeichnung der Leitlinie zur Informationssicherheit durch Weidens Oberbürgermeister Kurt Seggewiß. Die Leitlinie macht deutlich, welch hohen Stellenwert die Leitungsebene des Rathauses der Informationssicherheit beimisst.
Für die Einführung eines nach ISIS12 zertifizierten Informations-Sicherheits-Management-Systems (ISMS) haben sich die Verantwortlichen der Stadt Weiden nach Angaben von Peter Teichmann, IT-Leiter der Stadtverwaltung, bewusst entschieden – obwohl die Kommune bereits über einen hohen technischen Sicherheitsstandard verfügte. „Mit der erfolgreichen Zertifizierung haben wir nicht nur einen Nachweis für unsere Bürger, dass wir mit großer Sorgfalt mit den Daten umgehen, sondern können auch belegen, dass wir den aktuellen gesetzlichen Anforderungen und Bestimmungen gerecht werden“, erklärt Teichmann.
ISIS12 stellt ein Modell zur Einführung eines ISMS in zwölf Schritten dar, das der IT-Planungsrat und die kommunalen Spitzenverbände offiziell für den Einsatz in der kommunalen Sicherheit empfohlen haben. Dabei geht es nicht allein um Sicherheit in der Informationstechnik, sondern auch um bauliche Maßnahmen und organisatorische Abläufe in der Verwaltung. Eine zentrale Stellung in der Informationssicherheit nimmt zudem der Faktor Mensch ein – er hat inzwischen die technischen Gegebenheiten als beliebtestes Angriffsziel überholt. Die eigenen Mitarbeiter stellen somit eine wertvolle Ressource zum Schutz sensibler Informationen dar.

Modulares Schulungskonzept

Bei der Stadt Weiden wurde daher ein modulares Schulungskonzept erstellt, um durch verschiedene Sensibilisierungsmaßnahmen den Faktor Mensch zu einer Stütze des Informationssicherheitskonzepts werden zu lassen. Unter anderem wurden in 14 Präsenzschulungen annähernd 400 Mitarbeiter geschult, vom Sachbearbeiter bis hin zum Oberbürgermeister. In einem weiteren Schritt wurde die komplette Dokumentationsstruktur überdacht und die dafür erforderlichen Rahmendokumente erstellt oder angepasst. Einen enormen Aufwand stellte dabei die Überführung der vorhandenen Dokumentationen in ein gut strukturiertes IT-Betriebshandbuch dar. Dabei stand alles auf dem Prüfstand, angefangen von den Namenskonventionen bis hin zum komplexen IT-Notfallhandbuch mit den für die Stadt Weiden individuellen und spezifischen Gegebenheiten.
Da Kommunen für eine Vielzahl von Aufgabenbereichen zuständig und verantwortlich sind, wurde ein eigenes EDV-Verfahren zur Software-Verwaltung erstellt. In diesem Verfahren sind alle Informationen für ein effizientes Software-Verzeichnis abgelegt. Neben der Anpassung und Dokumentation der Software und verschiedener Ablaufprozesse waren auch diverse bauliche Maßnahmen nötig, um alle gesetzlichen Vorgaben zu erfüllen – so etwa der Einbau neuer Tiefgaragentore.

Kontinuierliche Weiterentwicklung

Die Zertifizierung versteht die Stadt Weiden nicht als einmalige Sache. Das dem Sicherheitskonzept zugrunde liegende PDCA-Prinzip (PDCA steht für das Englische Plan, Do, Check, Act; Planen, Tun, Überprüfen, Umsetzen) überwacht kontinuierlich die Aktualität und die wirksame Umsetzung der noch offenen Sicherheitsmaßnahmen im Sinne einer Revision. Das ISMS ist nach dem ersten Durchlauf etabliert und wird durch interne und optional externe Audits permanent fortgesetzt und weiterentwickelt.

Reinhold Zangl ist Informationssicherheitsbeauftragter der Stadt Weiden in der Oberpfalz.

http://www.weiden.de
Dieser Beitrag ist in der Ausgabe Dezember 2018 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren.  (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, Weiden

Bildquelle: Stadt Weiden i.d.OPf.

Druckversion    PDF     Link mailen


ekom21

 Anzeige


Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Telekom: iPhone-App mit Geheimhaltungsstufe
[17.9.2019] Gemeinsam mit der Gesellschaft für Sichere Mobile Kommunikation (GSMK) hat die Deutsche Telekom eine iPhone-App entwickelt, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Gespräche der Geheimhaltungsstufe VS-NfD freigegeben hat. mehr...
KDO: Rezertifiziert nach ISO 27001
[6.9.2019] Die Kommunale Datenverarbeitung Oldenburg (KDO) ist erneut nach ISO 27001 zertifiziert. Das hat der TÜV Rheinland dem IT-Dienstleister nach einem umfassenden Audit bescheinigt. mehr...
Schweinfurt: Nach ISIS 12 zertifiziert
[4.9.2019] Vorbildlich schützt Schweinfurt die Daten von Bürgern und Unternehmen: Die Stadt ist nun nach ISIS 12 zertifiziert. Um die Verwaltungsmitarbeiter fortlaufend für die Informationssicherheit zu sensibilisieren, wird ein neues Maskottchen regelmäßig aktuelle Informationen liefern. mehr...
Schweinfurt ist jetzt ISIS-12-zertifiziert.
Kreis Mainz-Bingen: IT ist doppelt geschützt Bericht
[19.8.2019] Da eine Cloud-Lösung zum Schutz der IT-Systeme nicht infrage kam, wappnet sich der Kreis Mainz-Bingen mit einem lokalen Metro-Cluster gegen Ausfälle durch Elementarschäden oder Computer-Sabotage. In Rheinland-Pfalz gehört die Verwaltung damit zu den Vorreitern. mehr...
Kreis Mainz-Bingen sichert IT durch lokales Metro-Cluster.
ekom21: BSI-Überwachungsaudit bestanden
[9.8.2019] Der hessische IT-Dienstleister ekom21 hat das Überwachungsaudit des Bundesamts für Sicherheit in der Informationstechnik (BSI) bestanden und darf weiterhin das ISO-27001-Zertifikat auf Basis von IT-Grundschutz führen. mehr...
IT-Dienstleister ekom21 hat das BSI-Überwachungsaudit erneut bestanden.
Suchen...

 Anzeige

Advantic

 Anzeige

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
procilon GROUP
04425 Taucha bei Leipzig
procilon GROUP
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
Aktuelle Meldungen