Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Anlagentechnik

1 Zielsetzung

Für die Landesverwaltung Baden-Württemberg ist eine sichere Informations- und Kommunikationstechnik von höchster Bedeutung. Sie resultiert aus der Verpflichtung des Staates gegenüber den Bürgern und der Wirtschaft, verantwortungsvoll bei der Erhebung, Speicherung, Übermittlung und Nutzung von Daten vorzugehen.

Diese Verwaltungsvorschrift legt die Ziele, Grundsätze, Organisationsstrukturen und Maßnahmen fest, die für die Etablierung eines ganzheitlichen Informationssicherheitsprozesses in der Landesverwaltung Baden-Württemberg erforderlich sind. Die Vorgehensweise orientiert sich am IT-Grundschutz (IT = Informationstechnik) des Bundesamts für Sicherheit in der Informationstechnik (BSI) und entspricht einer Informationssicherheitsleitlinie in der Terminologie des IT-Grundschutzes. Diese Verwaltungsvorschrift soll auch eine sichere und verlässliche Kommunikation und Kooperation mit dem Bund, mit den Ländern und mit dem kommunalen Bereich gewährleisten.

Anstelle des in der Literatur oft synonym verwendeten Begriffs ≫IT-Sicherheit≪ wird hier die weitergehende Formulierung ≫Informationssicherheit≪ verwendet. Entsprechend der Empfehlung im BSI Standard 100-1 wird Informationssicherheit umfassend und ganzheitlich verstanden, sie umfasst auch die Begriffe ≫Informations- und Kommunikationstechnik≪ und ≫Informations- und Telekommunikationstechnik≪ und bezieht sich auf den Schutz von Informationen jeglicher Art und Herkunft, unabhängig davon, ob diese in technischen Systemen, auf Papier oder in Köpfen gespeichert sind.

Die Ziele im Einzelnen sind:

• Hohe Verlässlichkeit beim Umgang mit Informationen,
• Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen,
• Vermeidung von Datenverlust,
• Sicherung der Qualität der Informationen,
• Gewährleistung der Einhaltung der gesetzlichen Anforderungen,
• Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb der Landesverwaltung Baden-Württemberg und in der Zusammenarbeit mit anderen Stellen,
• Investitionsschutz, das heißt Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte,
• Reduzierung der im Schadensfall entstehenden Kosten sowie
• Vermeidung von Reputationsschäden.

2 Geltungsbereich

Diese Verwaltungsvorschrift gilt für alle Dienststellen und Einrichtungen der Landesverwaltung Baden-Württemberg. Dem Landtag, dem Rechnungshof, dem Landesbeauftragten für den Datenschutz sowie dem kommunalen Bereich wird die Anwendung empfohlen. Sofern sich aus anderen Regelungen weitergehende Anforderungen an die Informationssicherheit ergeben, bleiben diese unberührt.

3 Sicherheitsgrundsätze

3.1 Alle Dienststellen und Einrichtungen der Landesverwaltung Baden-Württemberg setzen die Informationssicherheit gemäß IT-Grundschutz (BSI Standards 100-1 bis 100-3) um.

3.2 Für die Landesverwaltung Baden-Württemberg.

3.3 Die ebenenübergreifende Zusammenarbeit zwischen Bund, Ländern und Kommunen wird berücksichtigt.

3.4 Die Notfallvorsorge und -bewältigung erfolgt gemäß den Vorgaben aus dem BSI Standard 100-4 ≫Notfallmanagement≪.

3.5 Informationssicherheit erfordert personelle, organisatorische, rechtliche und technische Maßnahmen.

3.6 Informationssicherheit ist als kontinuierlicher Prozess zu gestalten. Der Prozess umfasst insbesondere die mindestens jährlich dokumentierte Überprüfung der Umsetzung und Wirksamkeit von Sicherheitsmaßnahmen und gegebenenfalls erforderliche Anpassungen.

3.7 Der Zugriff auf IT-Systeme, -Anwendungen, Daten und Informationen ist unter Abwägung des Schutzbedarfs und der Wirtschaftlichkeit auf den unbedingt erforderlichen Personenkreis zu beschränken. Bedienstete erhalten nur auf diejenigen Daten und Informationen die Zugriffsberechtigungen, die zur Erfüllung der jeweiligen dienstlichen Aufgaben erforderlich sind.

3.8 Beim Einsatz von Informations- und Kommunikationstechnik sind Verfügbarkeit, Vertraulichkeit und Integrität im jeweils erforderlichen Maße zu erreichen. Dazu sind angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu ergreifen.

3.9 Notwendige Sicherheitsmaßnahmen sind auch dann anzuwenden, wenn sich daraus Beeinträchtigungen für die Nutzung von IT-Systemen ergeben.

3.10 Die angemessene Sicherheit der in der Landesverwaltung Baden-Württemberg eingesetzten IT-Verfahren ist neben der Leistungsfähigkeit und Funktionalität zu gewährleisten. Bleiben im Einzelfall trotz der Sicherheitsvorkehrungen Risiken untragbar, ist an dieser Stelle auf den IT-Einsatz zu verzichten.

3.11 Die Ressorts sorgen dafür, dass Sicherheitskonzepte sowohl für das jeweilige Ressort als auch für alle Dienststellen und Einrichtungen erstellt und regelmäßig bedarfsgerecht fortgeschrieben werden. Gleichermaßen sorgen sie für die notwendigen verfahrens- bzw. anwendung Sbezogenen Sicherheitskonzepte. Soweit für einzelne Verfahren keine Sicherheitskonzepte erforderlich sind, wird dies jeweils aktenkundig begründet. Das Ziel ist, dass jedes Ressort und jede Dienststelle und Einrichtung jeweils die eigenen Verfahren und Anwendungen, die damit verarbeiteten Daten und deren Schutzbedarf kennt und darüber auskunftsfähig ist. Diese Anforderung ergibt sich insbesondere aus der EU-Datenschutz Grundverordnung.