Die sog. “Arbeitshilfe”
Die Arbeitshilfe unterstützt bayerische Kommunen bei der Erstellung eines Konzepts für Informationssicherheit gemäß Artikel 11 des Gesetzes über die elektronische Verwaltung in Bayern (BayEGovG). Dort wird gefordert, die Sicherheit der informationstechnischen Systeme der Behörden durch angemessene technische und organisatorische Maßnahmen im Sinn des Artikels 32 DSGVO sowie Artikel 32 des Bayerischen Datenschutzgesetzes (BayDSG) sicherzustellen und die erforderlichen Informationssicherheitskonzepte zu erstellen. Alle Kommunen in Bayern müssen bis zum 1. Januar 2020 den Nachweis führen können, einen systematischen Ansatz zur dauerhaften Gewährung der Informationssicherheit eingeführt zu haben und auch zu betreiben.
Die Arbeitshilfe wird in zwei Ausführungen seitens der Innovationsstiftung Bayerische Kommune zur Verfügung gestellt:
- PDF Version zum Drucken ohne Anlagen
- Arbeitsversion mit Anlagen als ZIP
a.s.k. Datenschutz Sascha Kuhrau wurde von der Innovationsstiftung Bayerische Kommune im Auftrag der Bayerischen Kommunalen Spitzenverbände mit der Erstellung dieser Arbeitshilfe im Sommer 2016 beauftragt. Seit dem 23.12.2016 steht diese für kommunale Einrichtungen kostenfrei unter obigem Link zum Download zur Verfügung. Im Mai 2018 erfolgte die Veröffentlichung der Arbeitshilfe 2.0, welche neben Updates und Ergänzungen auch notwendige Anpassungen des Kapitels 2 Datenschutz im Hinblick auf die Anforderungen und Schnittmengen der DSGVO enthält.
Informationssicherheitskonzepte gibt es nicht von der Stange. Im Gegenteil sind dies Verfahrensweisen und Regeln, die organisationsindividuell langfristig Informationssicherheit sicherstellen sollen. Auch wenn sich die rechtliche Verpflichtung aus Art. 11 BayEGovG im engeren Sinn primär auf den Schutz informationstechnischer Systeme beschränkt, macht es in der Praxis Sinn, Informationssicherheit nicht hierauf zu beschränken, sondern unter Einbeziehung der sogenannten technischen UND organisatorischen Maßnahmen im Sinne der Art. 32 DSGVO und 32 BayDSG den Schutz aller analogen und digitalen Informationen einer Organisation in den Blick zu nehmen. Das beginnt beim Thema Gebäudesicherheit, setzt sich über Themen wie Datenschutz, Schulungen, Richtlinien, externe Dienstleister fort und endet nicht zwingend beim Thema IT-Sicherheit.
Ist die Arbeitshilfe nur für Kommunen gedacht?
Unabhängig vom Auftraggeber und der ursprünglichen Ausrichtung der Arbeitshilfe, ist Informationssicherheit in universelles Thema. Informationssicherheit unterscheidet nicht zwischen öffentlicher oder nicht-öffentlicher Stelle, nach Branche oder Organisationsgröße. Aus diesem Grund sind die Umsetzungsanforderungen aus der Arbeitshilfe jederzeit auch für kleinere Unternehmen anwendbar. Aber auch größere Unternehmen können sich dem Thema Informationssicherheit nähern, in dem sie über die 9 Kapitel der Arbeitshilfe einen ersten Überblick über den Status Quo zur Informationssicherheit in der eigenen Organisation erhalten.
Die hier vorliegende Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts (nach Artikel 11 BayEGovG) stellt eine Hilfe zur Selbsthilfe für (kommunale) Einrichtungen dar, die nicht über ausreichende Möglichkeiten zur Einführung und Umsetzung von anderen Standards zur Informationssicherheit verfügen. In 4 angeleiteten Schritten wird damit ein Informationssicherheitskonzept eingeführt und betrieben: