► CISIS12 und BSI Grundschutz Kommunalprofil in Kombination:

Geförderte Umsetzung der Informationssicherheit

Ein Gastbeitrag von Ralf Turban, Mein-Datenschutzberater

Der Markt Burgheim, der Markt Titting und die Stadt Hilpoltstein sind die ersten Verwaltungen, die sich dem Zertifizierungsaudit des Informationssicherheitsmanagements (ISMS) mit der Norm CISIS12 in Kombination mit gleichzeitigem Prüfnachweis des „BSI IT-Grundschutz-Profil: Basis-Absicherung Kommunalverwaltung“ unterzogen haben. CISIS12 ist die aktuelle Version des etablierten ISIS12 und erweitert die Funktionen um die Themen Compliance, Prozesse und Notfallthematiken. Der Name steht für Compliance-Informations-SIcherheits-Management-System in 12 Schritten.

Die Erlangung des Prüfnachweises für das „BSI IT-Grundschutz-Profil für Kommunalverwaltungen“ erfordert eine Teilmenge der Umsetzungsschritte von CISIS12 und einige wenige weitere Maßnahmen. Damit werden nachgewiesenermaßen die Forderungen des Deutschen Städtetages, des Deutschen Landkreistages und des Deutschen Städte- und Gemeindebundes erfüllt. Ebenso wird gegenüber allen Aufsichtsbehörden, wie dem BayLfD oder dem Prüfer des LRA auf Landkreisebene sowie bei Kommunen ab 5000 Einwohnern dem BKPV, somit die Umsetzung der Informationssicherheits-Anforderungen sicher belegt.

Gemäß den Vorgaben des Bayerischen Digitalisierungsgesetzes (BayDiG) Art. 43 müssen bekanntermaßen alle Bayerischen Behörden bezüglich der Sicherheit der informationstechnischen Systeme angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Datenschutz-Grundverordnung (DSGVO) und Art. 32 des Bayerischen Datenschutzgesetzes (BayDSG) treffen und die hierzu erforderlichen Informationssicherheitskonzepte erstellen. Um hier den Bayerischen Verwaltungen unter die Arme zu greifen, hat das BayStMI eine aktuell laufende Fördermaßnahme aufgelegt, die bis zu 80 Prozent der entstehenden Beratungs- / Schulungs- und Zertifizierungskosten erstattet.

Die drei genannten Verwaltungen haben schnell erkannt, dass die Informationssicherheit kein starrer Zustand ist und ständiger Änderung und Aktualisierung unterliegt. Somit wird aus dem geforderten InformationssicherheitsKONZEPT und der ständigen Rechenschaftspflicht der Verwaltungsleitung aus der DSGVO ein InformationssicherheitsMANAGEMENT. Aus der Nachweisbarkeit leitet sich der Anspruch der Verwaltungsleitung der regelmäßigen Überwachung durch einen Dritten (Zertifizierung / Prüfnachweis) ab.

Die Koordination der Bearbeitung der Informationssicherheitskonzeption über alle drei Verwaltungen (Burgheim, Titting und Hilpoltstein hinweg wurde mit der Fachfirma „Mein-Datenschutzberater“ vorgenommen. „Mein-Datenschutzberater.de“ verfügt nach langjähriger ISMS-Erfahrung im kommunalen Umfeld über die passende Expertise, um bayerische Verwaltungsstrukturen „im Rahmen der Verhältnismäßigkeit“ auf dem Weg zur geförderten Umsetzung zu begleiten.

Für den Erhalt des Zertifikates mussten bei einem zweitägigen Audit die Umsetzung der 12 Schritte des CISIS12 und die Anforderungen des Prüfnachweises für das „BSI IT-Grundschutz-Profil für Kommunalverwaltungen“ den Auditoren dargestellt werden. Im Rahmen der Umsetzung wurde gemeinsam mit den BeraterInnen von „Mein-Datenschutzberater“ einiges an Dokumentationen, angefangen von der Informationssicherheitsleitlinie, dem IT-Betriebshandbuch sowie Inhalte für die Risikobehandlung gemäß BSI-Gefährdungslagen bis hin zum IT-Notfallhandbuch, erstellt.

Unterstützt wurde die Umsetzung der Informationssicherheit mit dem Programm M24S (www.m24s.info), welches die Einteilung der Tätigkeiten und den strukturierten Aufbau der zu bearbeiteten Punkte passend unterstützt. Die Variabilität des M24S im Hinblick auf die verschiedenen Kommunalstrukturen wurde bei jeder der Zertifizierungen deutlich. So sind z.B. in Burgheim, Titting und der Stadt Hilpoltstein neben den Anforderungen von CISIS12 und des „BSI IT-Grundschutz-Profils für Kommunalverwaltungen“ auch viele individuelle Themen der Kommunalstrukturen mit eingeflossen.

Ralf Turban, Mein-Datenschutzberater

Dieser Artikel hat Ihnen weitergeholfen?
Bedenken Sie nur, welche Informationsfülle ein Abo der Bayerischen GemeindeZeitung Ihnen liefern würde!
Hier geht’s zum Abo!