Ratsinformationssystem

Vorlage - VI-DS-07111  

 
 
Betreff: Aufbau eines Informationssicherheitsmanagementsystems (ISMS) - Leitlinie für Informationssicherheit und Datenschutz
Status:öffentlich (Vorlage freigegeben)Vorlage-Art:Beschlussvorlage
Einreicher:Dezernat Allgemeine Verwaltung
Beratungsfolge:
Dienstberatung des Oberbürgermeisters Beschlussfassung
DB OBM - Vorabstimmung
DB OBM - Vorabstimmung
FA Allgemeine Verwaltung Information zur Kenntnis
20.08.2019    FA Allgemeine Verwaltung      

Beschlussvorschlag
Sachverhalt
Finanzielle Auswirkungen
Anlagen:
Leitlinie für Informationssicherheit und Datenschutz

ALLRIS® Office Integration 3.9.2

Beschluss des Oberbürgermeisters vom 06.08.2019:

 

  1. Die Leitlinie für „Informationssicherheit und Datenschutz“ wird bestätigt.
  2. Die Leitline für „Informationssicherheit und Datenschutz“ wird auf leipzig.de veröffentlicht.

Zusammenfassung:

 

Anlass der Vorlage:

 

Rechtliche Vorschriften   Stadtratsbeschluss   Verwaltungshandeln

Sonstiges:

 

Ein angemessenes Informationssicherheits- und Datenschutzniveau lässt sich in größeren Organisationen nur dann erreichen, wenn Schritt für Schritt die Einrichtung eines umfassenden Informationssicherheitsmanagementsystems (ISMS) vorgenommen wird.

Die Leitlinie bildet hierfür die erforderliche Grundlage für die Stadtverwaltung.

 

 

 

 

 

 

ALLRIS® Office Integration 3.9.2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Sachverhalt:
 

1.   Anlass

Die Stadtverwaltung Leipzig besitzt eine enorme Aufgabenvielfalt, von der Daseinsfürsorge bis zu Dienstleistungen für Bürgerinnen und Bürger, Unternehmen und Vereine, welche zusätzlich permanenten Änderungen unterliegt.

Eine wirtschaftliche, zeitnahe Aufgabenerfüllung stützt sich dabei stetig zunehmend auf die Möglichkeiten der Informationstechnologie. Informationen sind somit ein wesentlicher Wert für die Stadtverwaltung und müssen daher angemessen geschützt werden.

Verschiedene Rechtsvorschriften (insb. BSI-Gesetz, SächsEGovG, DSGVO, geplantes IT-Sicherheitsgesetz) verpflichten die Stadtverwaltung Leipzig, technische und organisatorische Maßnahmen zu treffen, die dem Stand der Technik entsprechen und ein angemessenes Schutzniveau gewährleisten.

 

Eine wirksame, effektive und effiziente Umsetzung setzt eine Aufbau- und Ablauforganisation sowie eine entsprechende Zuweisung von Aufgaben voraus.
 

2.   Strategische Ziele

Durch die Gewährleistung eines angemessenen Informationssicherheits- und Datenschutzniveaus werden die Rechtmäßigkeit des Verwaltungshandels und die Erreichung der strategischen Ziele unterstützt.

 

3.   Operative Umsetzung

Mit der Leitlinie für Informationssicherheit und Datenschutz

-          bekennt sich die Behördenleitung zur Informationssicherheit und zum Datenschutz

-          werden die Informationssicherheits- und Datenschutzziele bestimmt und

-          wird festgelegt, mit welcher Aufbau- und Ablauforganisation diese Ziele erreicht werden sollen.
 

Die Leitlinie schafft die Grundlage für die Einführung und den Aufbau eines Informationssicherheits- und Datenschutzmanagementsystems. Sie ist Bestandteil des Konzeptes Moderne Verwaltung (MoVe) HF4-8 – Initiierung des Informationssicherheitsprozesses in der Stadtverwaltung Leipzig.

Die operative Umsetzung der Leitlinie erfolgt mit Einzel-Anweisungen in Form von Dienstanweisungen, Richtlinien und Konzepten gem. folgender Systematik.
 

Abbildung 1: Dokumentenstruktur des Informationssicherheitsmanagementsystems


 

Die Umsetzung erfolgt als vierphasiger Prozess (PDCA-Zyklus, Plan-Do-Check-Act), der vom Bundesamt für Sicherheit in der Informationstechnik und den Datenschutzaufsichtsbehörden (im Rahmen des Standard-Datenschutzmodells) empfohlen wird. Hierfür notwendige Vorgaben und Aufgabenzuweisungen werden durch Dienstanweisungen geregelt. Es ist herauszuheben, dass die Gewährleistung von Informationssicherheit und Datenschutz keine neue Aufgabe ist. Mit der Leitlinie erfolgt vielmehr eine Anpassung an die aktuelle Sach-/Rechtslage und den Stand der Technik.

 

Abbildung 2: Plan-Do-Check-Act - Zyklus

 

Der Prozess wird vom Informationssicherheitsmanagement-Team gesteuert.

 

Abbildung 3: Informationssicherheitsteam

 

4.   Folgen bei Nichtbeschluss

Notwendige, konkretisierende Maßnahmen zur Umsetzung rechtlicher Verpflichtungen werden nicht umgesetzt.

Die Leitlinie ist die notwendige Grundlage für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS) in der Stadtverwaltung, ohne das ISMS können bestimmte Herausforderungen wie der Schutz kritischer Infrastrukturen (gem. BSI-Gesetz, Verordnung zur Bestimmung kritischer Infrastrukturen) oder die Digitalisierung der Verwaltungen in Bezug auf Informationssicherheit und Datenschutz nicht sichergestellt werden.   

ALLRIS® Office Integration 3.9.2

 

Finanzielle Auswirkungen

 

x

nein

 

wenn ja,

Kostengünstigere Alternativen geprüft

x

nein

 

ja, Ergebnis siehe Anlage zur Begründung

Folgen bei Ablehnung

 

nein

x

ja, Erläuterung siehe Anlage zur Begründung

Handelt es sich um eine Investition (damit aktivierungspflichtig)?

x

nein

 

ja, Erläuterung siehe Anlage zur Begründung

 

 

Im Haushalt wirksam

von

bis

Höhe in EUR

wo veranschlagt

Ergebnishaushalt

Erträge

 

 

 

 

 

Aufwendungen

 

 

 

 

Finanzhaushalt

Einzahlungen

 

 

 

 

 

Auszahlungen

 

 

 

 

Entstehen Folgekosten oder Einsparungen?

x

nein

 

wenn ja,

 

Folgekosten Einsparungen wirksam

von

bis

Höhe in EUR (jährlich)

wo veranschlagt

Zu Lasten anderer OE

Ergeb. HH Erträge

 

 

 

 

 

Ergeb. HH Aufwand

 

 

 

 

Nach Durchführung der Maßnahme zu erwarten

Ergeb. HH Erträge

 

 

 

 

 

Ergeb. HH Aufwand (ohne Abschreibungen)

 

 

 

 

 

Ergeb. HH Aufwand aus jährl. Abschreibungen

 

 

 

 

 

Auswirkungen auf den Stellenplan

x

nein

 

wenn ja,

Beantragte Stellenerweiterung:

Vorgesehener Stellenabbau:

Beteiligung Personalrat

x

nein

 

ja,

 

 

 

Beschreibung des Abwägungsprozesses:

 

nicht relevant

 

Stammbaum:
VI-DS-07111   Aufbau eines Informationssicherheitsmanagementsystems (ISMS) - Leitlinie für Informationssicherheit und Datenschutz   01.16 Datenschutz-/Sicherheitsbeauftragter   Beschlussvorlage
VI-DS-07111-DA-01   Aufbau eines Informationssicherheitsmanagementsystems (ISMS) - Dienstanweisung für Informationssicherheit und Datenschutz   01.16 Datenschutz-/Sicherheitsbeauftragter   Dienstanweisung