Arbeitshilfe der Innovationsstiftung und Bayerisches Siegel “Kommunale IT-Sicherheit”
Bayerisches Siegel “Kommunale IT-Sicherheit”
Das Bayerische Landesamt für Sicherheit in der Informationstechnik (kurz LSI) bietet seit Mai 2019 ein Prüfsiegel für den Umsetzungsstand der Informationssicherheit in bayerischen Kommunen an. Auf Basis einer Selbst-Auskunft kann die Kommune damit eine Mindestabsicherung in der Informationssicherheit nachweisen. Das Siegel ist unabhängig vom verwendeten ISMS-Standard. Das Siegel hat eine Gültigkeitsdauer von 2 Jahren. Eine Verlängerung kann beantragt werden. Dazu muss die Kommune jedoch die aktive Beschäftigung mit dem Thema Informationssicherheit und den Betrieb des Informationssicherheitskonzepts nachweisen. Wie bei “echten” Zertifizierungen kann ein erstmalig erteiltes Siegel also auch wieder entzogen werden.
Kann mit dem Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune das Siegel erreicht werden?
Das Informationssicherheitskonzept “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune (Autor: Sascha Kuhrau) ist selbstverständlich für den Erhalt des Siegels gerüstet. Jede Kommune, die ihr Informationssicherheitskonzept auf Basis der Arbeitshilfe eingeführt hat, kann bei entsprechend korrekter Umsetzung die Voraussetzungen für den Erhalt des LSI Siegels erfüllen.
Als Autor der Arbeitshilfe und Leiter zahlreicher kommunaler Informationssicherheitsprojekte sowie kommunaler externer Informationssicherheitsbeauftragter unterstützen wir von a.s.k. Datenschutz Sascha Kuhrau Sie gerne bei der Einführung und dem Betrieb eines kommunalen Informationssicherheitskonzepts und dem Erhalt des LSI Siegels.
Wo finde ich Informationen zum Bayerischen Siegel “Kommunale IT-Sicherheit”?
Das LSI stellt auf seiner Webseite ausführliche Informationen bereit (externer Link).
Was hat es mit der “Arbeitshilfe” auf sich und wo kann ich diese beziehen?
Die Arbeitshilfe ist eine aus dem IT-Grundschutz des BSI abgeleitete Systematik, um kleine kommunale Einrichtungen (aber auch kleine Firmen) bei der Einführung und dem Betrieb eines Informationssicherheitskonzepts zu unterstützen und zu begleiten. Sie wurde im Auftrag der Bayerischen Kommunalen Spitzenverbände für die Innovationsstiftung Bayerische Kommune durch die a.s.k. Datenschutz Beratung Sascha Kuhrau entwickelt. Die Arbeitshilfe steht interessierten Organisationen kostenfrei zur Verfügung. Weitere Informationen finden Sie auf der Webseite der Innovationsstiftung (externer Link).
Im Laufe des Jahres 2019 wird die Arbeitshilfe in einer Version 3.o erscheinen, in der konkrete Anpassungen für das LSI Siegel enthalten sind.
Bisher gab es lediglich für die “großen” ISMS wie ISO 27001, BSI IT-Grundschutz oder ISIS12 die Möglichkeit im Rahmen einer Zertifizierung einen Nachweis über eine korrekte Umsetzung des ISMS zu erhalten. Mittels des LSI Siegels kann nun auch die Arbeitshilfe mit einer solchen Art Nachweis aufwarten.
Schonfrist für Informationssicherheitskonzept bayerischer Kommunen bis 01.01.2020
Schonfrist für bayerische Kommunalverwaltung und deren Informationssicherheitskonzept
Das Bayerische E‑Government-Gesetz (BayEGovG) wurde überarbeitet und bayerische Kommunen können aufatmen. Die Frist für die Einführung eines Informationssicherheitskonzept für die Kommunalverwaltungen wurde auf den 01.01.2020 verschoben (siehe Art. 19 BayEGovG).
Welches Informationssicherheitskonzept passt zu meiner Verwaltung?
Zahlreiche Kommunalverwaltungen sind mit der Einführung eines Informationssicherheitskonzepts bereits fertig (und sogar durchaus zertifiziert) oder weit vorangeschritten. Einige Zaghafte befinden sich zumindest in der Entscheidungsfindung, welcher der vorhandenen Standards für Informationssicherheit für die eigene Organisation geeignet ist und stehen vor dem Start. Allen anderen Kommunalverwaltungen können wir nur raten, machen Sie sich auf den Weg. Ein Informationssicherheitskonzept ist nicht von heute auf morgen in der Verwaltung eingeführt und für die Zeit nach dem 01.01.2020 betriebsbereit. Bitte lassen Sie sich hier auch nicht von dubiosen Angeboten im Markt blenden. Die Nachricht “Software kaufen und 3 Tage Arbeit und fertig ist das Informationssicherheitskonzept” mag man gerne hören, doch sie enthält gleich mehrere Fehler. Software erstellt und betreibt kein Informationssicherheitskonzept (kann dieses jedoch gerade im Bereich der Dokumentation unterstützen) und die 3 Tage sind auch mehr Wunschdenken als Realität.
Wichtig: Der gewählte Standard muss zu Ihrer Organisationsgröße passend und angemessen sein. Ein Landratsamt wird Schwierigkeiten bekommen, wieso es den allerkleinsten Standard für die eigene Organisation für ausreichend erachtet, wenn rundherum sogar kleine Kommunen einen Standard wie ISIS12 einführen 😉
Welche Standards für Informationssicherheit sind im kommunalen Bereich üblich?
Zur praxisnahen Unterstützung stehen verschiedene Standards zur Verfügung, welche sich im kommunalen Umfeld — aber ebenso bei Unternehmen — bewährt haben:
- VdS 3473
- “Arbeitshilfe” der Innovationsstiftung Bayerische Kommune
- ISIS12
- BSI IT-Grundschutz 100‑x/200‑x
- ISO 27001
In aufsteigender Reihenfolge steigen Komplexität und Zeitaufwand für die Einführung. In ebenso aufsteigender Reihenfolge gibt es jedoch auch bewährte Software-Unterstützung, die gerade im Betrieb des Sicherheitskonzepts erhebliche Vorteile für Ihre Organisation mit sich bringen.
Kann ich externe Unterstützung bei der Einführung und dem Betrieb meines kommunalen oder betrieblichen Informationssicherheitskonzepts erhalten?
Sollten Sie die Einführung eines Informationssicherheitskonzepts auf Basis der Standards
- “Arbeitshilfe”,
- ISIS12 oder
- BSI IT-Grundschutz
planen, so stehen wir Ihnen gerne beratend und unterstützend mit unseren Dienstleistungen zur Seiten.
Wir unterstützen bei / mit
- vorbereitenden Maßnahmen in der Organisation,
- Begleitung / Betreuung während der Einführung des Konzepts,
- Unterstützung bei der Identifikation vorhandener Schwachstellen,
- Schulungen und Sensibilisierung der Mitarbeiter,
- Entwickeln (und Einführung) geeigneter technischer und organisatorischer Maßnahmen zur Beseitigung von Schwachstellen,
- Projektleitung und Führen des Teams für Informationssicherheit (während der Einführungsphase),
- Vorbereitung auf Zertifizierungen und Begleitung der Zertifizierung, und je nach Möglichkeit
- Betreuung als externer Informationssicherheitsbeauftragter zur Aufrechterhaltung des Betriebs Ihres Informationssicherheitskonzepts.
Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?
Antwort hierauf gibt unser Webvideo, in dem wir auf die Notwendigkeit und rechtlichen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts vertiefend eingehen. Denn die Antwort auf die Frage kann nur lauten “Ja!”. Wer es nicht glaubt, ist herzlich dazu eingeladen, sich in unserem Video davon überzeugen zu lassen.
Sie finden das Webvideo eingebettet hier bei uns im Blog oder auf unserem neuen Youtube-Kanal.
Fördermittel ISIS12 für bayerische Kommunen in 2018 ab sofort beantragen
Das Bayerische Staatsministerium des Innern, für Bau und Verkehr hat in seiner Pressemitteilung am 09.03.2017 informiert, dass nach dem ersten Fördermittelprogramm nun auch in 2018 erneut Informationssicherheit in bayerischen Kommunen finanziell (mit bis zu 1,4 Millionen Euro) unterstützt wird.
Bayerische Kommunen, die im vorherigen Fördermittelprogramm nicht zum Zuge gekommen sind, haben nun erneut die Chance, eine Unterstützung von bis zu 15.000 Euro für die Einführung des Informationssicherheitsmanagementsystems (ISMS) ISIS12 zu erhalten. Anträge können auf dieser Webseite des Sicherheitsclusters elektronisch gestellt werden. Weitere Informationen zur Umsetzung von ISIS12 in Kommunen und Fördermitteln finden Sie hier.
Sofern Sie für die Umsetzung einen zertifizierten ISIS12-Berater mit Zusatz Kommune suchen, Herr Sascha Kuhrau von a.s.k. Datenschutz erfüllt diese Anforderungen.
Arbeitshilfe zur Erstellung eines Informationssicherheitskonzepts für bayerische Kommunen gemäß Art. 8 BayEGovG veröffentlicht
Die Arbeitshilfe unterstützt bayerische Kommunen bei der Erstellung eines Konzepts für Informationssicherheit gemäß Artikel 8 des Gesetzes über die elektronische Verwaltung in Bayern (BayEGovG). Dort wird gefordert, die Sicherheit der informationstechnischen Systeme der Behörden durch angemessene technische und organisatorische Maßnahmen im Sinn des Artikels 7 des Bayerischen Datenschutzgesetzes sicherzustellen und die erforderlichen Informationssicherheitskonzepte zu erstellen. Alle Kommunen in Bayern müssen bis zum 1. Januar 2018 den Nachweis führen können, einen systematischen Ansatz zur dauerhaften Gewährung der Informationssicherheit eingeführt zu haben und auch zu betreiben.
Im Frühjahr 2017 werden für die Verantwortlichen in den Kommunen, die sich mit der Thematik Informationssicherheit auseinandersetzen müssen, Online-Seminar-Angebote geplant. Eine Information über die Termine erfolgt gesondert.
Die Arbeitshilfe wird in zwei Ausführungen seitens der Innovationsstiftung Bayerische Kommune zur Verfügung gestellt:
- PDF Version zum Drucken ohne Anlagen
- Arbeitsversion mit Anlagen als ZIP
Link zum Download http://www.bay-innovationsstiftung.de
a.s.k. Datenschutz Sascha Kuhrau wurde mit der Erstellung dieser Arbeitshilfe im Sommer 2016 beauftragt. Seit dem 23.12.2016 steht diese für kommunale Einrichtungen kostenfrei unter obigem Link zum Download zur Verfügung.