Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Archiv ²⁰¹¹

Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 9.11.2016
- CIO-02850-0007 -

1. Gegenstand und Geltungsbereich

1.1 Die ISLL beschreibt den Aufbau und den Betrieb eines ressortübergreifenden Informationssicherheitsmanagementsystems ( ISMS) in der niedersächsischen Landesverwaltung auf Grundlage des Standards ISO/IEC 27001. Sie dient der langfristigen Gewährleistung der Informationssicherheit für die unmittelbare Landesverwaltung. Vom Geltungsbereich ausgenommen sind die Hochschulen und Forschungseinrichtungen, der LT, der LRH und die oder der LfD. ¹

1.2 Die Bestimmungen dieser ISLL und der daraus resultierenden Informationssicherheitsrichtlinien (ISRL) gelten nicht für Lehrkräfte und für andere an Schulen beschäftigte Landesbedienstete, sofern sie keine IT-Systeme der Landesverwaltung nutzen. Weitergehende Regelungen, insbesondere die Nutzung privater IT-Systeme dieser Personen sind gesondert durch das zuständige Ressort zu regeln.

1.3 Behörden der mittelbaren Landesverwaltung sowie Organisationen und Personen, die aus anderen Gründen nicht vom Geltungsbereich dieser ISLL erfasst sind, sind zur Einhaltung von Anschlussbedingungen und damit zur Gewährleistung eines mit dieser ISLL vergleichbaren Sicherheitsniveaus zu verpflichten, soweit sie das niedersächsische Landesdatennetz oder andere Bestandteile der zentralen IT-Infrastrukturen der Landesverwaltung nutzen. ²

1.4 Für länderübergreifende Informationstechnologieverbünde auf Grundlage von Staatsverträgen oder Verwaltungsabkommen können im Einvernehmen mit dem für die zen-
trale Steuerung der Informationstechnik (IT) des Landes zuständigen Ministerium gesonderte Regelungen getroffen werden.

1.5 Den Sicherheitsdomänen bleibt es freigestellt, für ihr behördliches ISMS eigene Leitlinien nach Maßgabe dieser ISLL in Kraft zu setzen.

2. Sicherheitsziele

Durch diese ISLL und das ISMS soll sichergestellt werden, dass dem jeweiligen Schutzzweck angemessene und dem Stand der Technik entsprechende Sicherheitsmaßnahmen ergriffen werden, um das Eintreten von Sicherheitsvorfällen weitestgehend zu minimieren. Die ISLL und das ISMS dienen insbesondere

• der zuverlässigen Unterstützung der Geschäftsprozesse oder sonstigen Verwaltungsaufgaben durch die IT und der Sicherstellung der Kontinuität der Arbeitsabläufe,
• der Wahrung von Dienst- oder Amtsgeheimnissen,
• der Gewährleistung der aus gesetzlichen Vorgaben resultierenden Anforderungen,
• der Gewährleistung des informationellen Selbstbestimmungsrechts der Betroffenen bei der Verarbeitung personenbezogener Daten,
• der Reduzierung der bei einem Sicherheitsvorfall entstehenden materiellen und immateriellen Schäden sowie
• der Realisierung sicherer und vertrauenswürdiger E-Governmentverfahren.

3. Definitionen

Im Sinne dieser ISLL gelten folgende Definitionen:

3.1 Das "Fachverfahren" ist eine Leistung, die eine Fachverwaltung zur Unterstützung von Verwaltungsaufgaben, die in strukturierten Abläufen abgearbeitet werden, bereitstellt. Es setzt sich in der Regel aus den Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen.

3.2 Die "Informationssicherheit" ist die Herstellung und Aufrechterhaltung der

• "Vertraulichkeit", d. h. die Gewährleistung des physikalischen und logischen Zugangs zu Informationen nur für Zugriffsberechtigte,
• "Verfügbarkeit", d. h. die Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzerinnen und Benutzer,
• "Integrität", d. h. die Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.

3.3 Das "Informationssicherheitsmanagementsystem" ( ISMS) ist die Aufstellung von Verfahren und Regeln, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

3.4 Der "Leistungsempfänger" ist die Behörde, die einen Service nutzt oder ein Fachverfahren einsetzt.

3.5 Das "Risiko" ist das Ergebnis einer systematischen Einschätzung möglicher Schäden zu der von einer Ressource ausgehenden Gefahr. Das Risiko definiert sich aus der Wahrscheinlichkeit, mit der ein Schaden eintritt, und dem Ausmaß des potenziellen Schadens.

3.6 Die "Risikobeschreibung" ist ein Dokument, das die Leistungsempfänger über die Ergebnisse der risikoorientierten Vorgehensweise für Services und Fachverfahren informiert. Dazu werden die Risiken eines Services oder eines Fachverfahrens, die hierzu umgesetzten Sicherheitsmaßnahmen und die Risiken nach der Maßnahmenumsetzung transparent gemacht.

3.7 Der "Service" ist eine Leistung, die ein IT-Dienstleister zur Unterstützung von Verwaltungsaufgaben bereitstellt.

3.8 Die "Sicherheitsanforderung" ist die Vorgabe, die in den ISRL ressortübergreifend geregelt und bei deren Umsetzung zu beachten ist.

3.9