Schonfrist für bayerische Kommunalverwaltung und deren Informationssicherheitskonzept
Das Bayerische E‑Government-Gesetz (BayEGovG) wurde überarbeitet und bayerische Kommunen können aufatmen. Die Frist für die Einführung eines Informationssicherheitskonzept für die Kommunalverwaltungen wurde auf den 01.01.2020 verschoben (siehe Art. 19 BayEGovG).
Welches Informationssicherheitskonzept passt zu meiner Verwaltung?
Zahlreiche Kommunalverwaltungen sind mit der Einführung eines Informationssicherheitskonzepts bereits fertig (und sogar durchaus zertifiziert) oder weit vorangeschritten. Einige Zaghafte befinden sich zumindest in der Entscheidungsfindung, welcher der vorhandenen Standards für Informationssicherheit für die eigene Organisation geeignet ist und stehen vor dem Start. Allen anderen Kommunalverwaltungen können wir nur raten, machen Sie sich auf den Weg. Ein Informationssicherheitskonzept ist nicht von heute auf morgen in der Verwaltung eingeführt und für die Zeit nach dem 01.01.2020 betriebsbereit. Bitte lassen Sie sich hier auch nicht von dubiosen Angeboten im Markt blenden. Die Nachricht “Software kaufen und 3 Tage Arbeit und fertig ist das Informationssicherheitskonzept” mag man gerne hören, doch sie enthält gleich mehrere Fehler. Software erstellt und betreibt kein Informationssicherheitskonzept (kann dieses jedoch gerade im Bereich der Dokumentation unterstützen) und die 3 Tage sind auch mehr Wunschdenken als Realität.
Wichtig: Der gewählte Standard muss zu Ihrer Organisationsgröße passend und angemessen sein. Ein Landratsamt wird Schwierigkeiten bekommen, wieso es den allerkleinsten Standard für die eigene Organisation für ausreichend erachtet, wenn rundherum sogar kleine Kommunen einen Standard wie ISIS12 einführen 😉
Welche Standards für Informationssicherheit sind im kommunalen Bereich üblich?
Zur praxisnahen Unterstützung stehen verschiedene Standards zur Verfügung, welche sich im kommunalen Umfeld — aber ebenso bei Unternehmen — bewährt haben:
- VdS 3473
- “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune
- ISIS12
- BSI IT-Grundschutz 100‑x/200‑x
- ISO 27001
In aufsteigender Reihenfolge steigen Komplexität und Zeitaufwand für die Einführung. In ebenso aufsteigender Reihenfolge gibt es jedoch auch bewährte Software-Unterstützung, die gerade im Betrieb des Sicherheitskonzepts erhebliche Vorteile für Ihre Organisation mit sich bringen.
Kann ich externe Unterstützung bei der Einführung und dem Betrieb meines kommunalen oder betrieblichen Informationssicherheitskonzepts erhalten?
Sollten Sie die Einführung eines Informationssicherheitskonzepts auf Basis der Standards
- “Arbeitshilfe”,
- ISIS12 oder
- BSI IT-Grundschutz
planen, so stehen wir Ihnen gerne beratend und unterstützend mit unseren Dienstleistungen zur Seiten.
Wir unterstützen bei / mit
- vorbereitenden Maßnahmen in der Organisation,
- Begleitung / Betreuung während der Einführung des Konzepts,
- Unterstützung bei der Identifikation vorhandener Schwachstellen,
- Schulungen und Sensibilisierung der Mitarbeiter,
- Entwickeln (und Einführung) geeigneter technischer und organisatorischer Maßnahmen zur Beseitigung von Schwachstellen,
- Projektleitung und Führen des Teams für Informationssicherheit (während der Einführungsphase),
- Vorbereitung auf Zertifizierungen und Begleitung der Zertifizierung, und je nach Möglichkeit
- Betreuung als externer Informationssicherheitsbeauftragter zur Aufrechterhaltung des Betriebs Ihres Informationssicherheitskonzepts.