Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk Anlagensicherheit Information/Kommunikation |
ISRL-Datensicherung
Informationssicherheitsrichtlinie über die Datensicherung
- Niedersachsen -
Vom 5. März 2021
(Nds. MBl. Nr. 10 vom 17.03.2021 S. 473)
Archiv: 2013
Bezug:
a) Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -
b) Gem. RdErl. v. 23.10.2013 (Nds. MBl. S. 865), zuletzt geändert durch Gem. RdErl. v. 25.11.2020 (Nds. MBl. S. 1492)
1. Gegenstand und Geltungsbereich
Diese Informationssicherheitsrichtlinie über die Datensicherung (ISRL-Datensicherung) regelt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass zu a - in Form von Mindestanforderungen die Grundsätze der Datensicherung in der niedersächsischen Landesverwaltung. Diese Grundsätze gelten für alle elektronisch verarbeiteten Informationen (z.B. Dokumente in Dateiform, Inhaltsdaten der Fachanwendungen, Systemdaten, Protokolldaten).
Diese Informationssicherheitsrichtlinie gilt im gesamten Geltungsbereich der Leitlinie zur Gewährleistung der Informationssicherheit (Nummer 1.1 bis 1.3 des Bezugserlasses zu a).
2. Begriffsbestimmungen
Im Sinne dieser Informationssicherheitsrichtlinie ist
2.1 "Datensicherung" das Kopieren von elektronisch gespeicherten Daten und erforderlichen Metainformationen, um sie im Fall eines Datenverlustes wiederherstellen zu können;
2.2 "Datenwiederherstellung" die Rekonstruktion der elektronisch gespeicherten Daten in ihren vorherigen Kontext aus einer Datensicherung.
3. Organisatorische und technische Maßnahmen der Behördenleitung
Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung dieser Informationssicherheitsrichtlinie sind durch die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen zu veranlassen. Die Sicherheitsanforderungen können auch dadurch erfüllt werden, dass die Behördenleitung einen Dritten (z.B. IT-Dienstleister, Landesbetrieb) mit der Umsetzung von Maßnahmen beauftragt. Entsprechende Vereinbarungen oder Verträge mit dem Dritten sind aktenkundig zu machen.
Soweit sichergestellt ist, dass die durch diese Informationssicherheitsrichtlinie festgelegten Mindestanforderungen vollständig umgesetzt werden, ist die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.
4. Umsetzung
4.1 Die Umsetzung der Sicherheitsanforderungen ( Nummer 6) soll vorrangig durch technische Maßnahmen erfolgen, die durch organisatorische Maßnahmen ergänzt werden.
4.2 Zur organisatorischen Umsetzung der Sicherheitsanforderungen werden die Erstellung eines Anforderungskatalogs zur Datensicherung auf der Basis der in der Anlage 1 dargestellten Checkliste sowie die Erstellung einer Datensicherungskonzeption auf der Basis der in der Anlage 2 dargestellten Gliederung vorgeschlagen.
4.3 Es sind ggf. ergänzende organisatorische Maßnahmen zu ergreifen, insbesondere wenn sich Sicherheitsanforderungen unmittelbar an die Anwenderinnen und Anwender richten. Bei der Gestaltung organisatorischer Maßnahmen, insbesondere bei der Erstellung von Dienstanweisungen, ist zu beachten, dass diese auch für Anwenderinnen und Anwender ohne vertiefte IT-Kenntnisse verständlich und tatsächlich umsetzbar sind. Die spezifischen Sicherheitsmaßnahmen der einzelnen Sicherheitsdomänen müssen in einem angemessenen Verhältnis zur praktischen Handhabbarkeit durch die Anwenderinnen und Anwender stehen.
5. Innerbehördliche Zuständigkeit und Organisation
Die Behördenleitung legt die innerbehördlichen Zuständigkeiten (zuständige Stellen) und ggf. die erforderlichen Prozesse für die Umsetzung der technischen und organisatorischen Maßnahmen aufgrund dieser Informationssicherheitsrichtlinie in eigener Zuständigkeit fest.
6. Sicherheitsanforderungen
6.1 Grundsatz der zentralen Datenspeicherung
Die Datenspeicherung soll grundsätzlich zentral auf serverbasierten IT-Systemen der Dienststellen, einer Behörde, einer Fachverwaltung oder eines IT-Dienstleisters erfolgen.
6.2 Grundsätze zur Datensicherung
6.2.1 Die Datensicherung soll regelmäßig, automatisiert und zentral erfolgen.
6.2.2 Die gesicherten Daten sollen räumlich getrennt von den zu sichernden Daten aufbewahrt werden.
6.3 Anforderungen an die Datensicherung
6.3.1 Die Behördenleitung verantwortet die fachlichen Anforderungen an die Sicherung der Daten, einschließlich der Daten auf mobilen Endgeräten und Speichermedien. Es ist dabei unter Berücksichtigung der Risiken für die Verfügbarkeit der zu sichernden Daten sowie für die Vertraulichkeit und Integrität der gesicherten Daten und unter Wirtschaftlichkeitsaspekten zu bestimmen, welche Daten wie zu sichern und wie die Sicherungsdaten aufzubewahren sind. Der Anforderungskatalog ist aktenkundig zu machen.
6.3.2 Für die betriebliche Umsetzung der fachlichen Anforderungen hat die Behördenleitung eine Datensicherungskonzeption zu veranlassen, die mindestens die Festlegungen zur Datensicherung, zur Aufbewahrung der Sicherungsdaten, zur Datenwiederherstellung und zur Überprüfung der Wiederherstellbarkeit der gesicherten Daten umfasst.
6.4 Datenverlust
Die Behördenleitung stellt sicher, dass die oder der zuständige Informationssicherheitsbeauftragte im Fall eines Datenverlustes informiert wird.
6.5 Datenwiederherstellung
(Stand: 22.06.2022)
Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)
(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)
Die Zugangskennung wird kurzfristig übermittelt
? Fragen ?
Abonnentenzugang/Volltextversion