Sitzung: 29.11.2018 Verwaltungs- und Finanzausschuss
Beschluss: einstimmig beschlossen
Abstimmung: Ja: 9, Nein: 0
Gemäß Art.
11 BayEGovG und der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist die Kommune
gefordert ein Informationssicherheitskonzept einzuführen.
In Art. 11
Absatz 1 BayEGovG heißt es konkret:
„Behördenübergreifende Pflichten
(1) Die Sicherheit der
informationstechnischen Systeme der Behörden, die in den Anwendungsbereich des
Teils 1 fallen, ist im Rahmen der Verhältnismäßigkeit sicherzustellen. Die
Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen
im Sinn des Art. 7 des Bayerischen Datenschutzgesetzes (BayDSG) und erstellen
die hierzu erforderlichen Informationssicherheitskonzepte.“
Die
Einführung und der Betrieb eines Informationssicherheitskonzeptes sind somit
verbindlich für alle bayerischen Kommunen. Der Bayerische Landtag hat am
09.11.2017 die Fristverlängerung um ein Jahr, bis zum 01.01.2019, beschlossen.
Bayerische Kommunen müssen ab diesem Zeitpunkt den Nachweis führen können,
einen systematischen Ansatz (= Konzept) zur dauerhaften Sicherstellung der
Informationssicherheit eingeführt zu haben und zu betreiben.
Die secopan
GmbH hat nun ein gemeinsames Angebot für alle Kernfranken-Gemeinden erstellt.
Gegenstand des Angebotes ist die Beratung und Unterstützung beim Aufbau eines
Information Security Management System (ISMS) nach ISIS12
(Informationssicherheitsmanagementsystem in 12 Schritten). ISIS12 beinhaltet
konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der
Informationssicherheit, die sich auf die Inhalte der IT-Grundschutz-Kataloge
und der ISO/IEC 27001 stützen. ISIS12 ist eine unabhängig zertifizierbare
Einstiegsstufe in ein ISMS. Die Kompatibilität zu IT-Grundschutz und ISO/IEC
27001 ermöglicht einen späteren Umstieg auf ein umfangreicheres ISMS (z. B.
ISO/IEC 27001 auf Basis IT-Grundschutz) mit höherem Schutzniveau. Das Angebot
umfasst die Beratung und Unterstützung bei folgenden Schritten:
- Erstellen einer Leitlinie
- Mitarbeitersensibilisierung durch
Online-Schulungen
- Aufbau eines Informationssicherheitsteams
- Festlegung der IT-Dokumentenstruktur
- Einführung von
IT-Servicemanagement-Prozessen
- Identifizierung von kritischen
Applikationen
- Analyse der IT-Struktur
- Modellierung von Sicherheitsmaßnahmen
- Ist-Soll Vergleich
- Planung der Umsetzung
- Beratung bei der Umsetzung
- Revision (Überprüfung/Zertifizierung)
Die secopan
GmbH aus Leonberg hat bereits in den Jahren 2016/2017 mit den Stadtwerken
Heilsbronn das Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001
erarbeitet bzw. erfolgreich eingeführt.
Auf
Grundlage der Preise und Konditionen ergibt sich voraussichtlich ein
Gesamtpreis von rund 9.600 € zzgl. Mehrwertsteuer.
Fördermöglichkeiten bestehen durch den
Bayerischen IT-Sicherheitscluster e. V.
sowie nach der Richtlinie für Zuwendungen des Freistaats Bayern zur
Förderung der interkommunalen Zusammenarbeit. Die Förderung durch das
„Sicherheitscluster“ erfolgt in Form einer Anteilsfinanzierung in Höhe von bis
zu 50 % der zuwendungsfähigen Ausgaben, maximal 15.000,00 € -
Laufzeit vorerst bis zum 31.12.2018. Das Förderprogramm „Interkommunale
Zusammenarbeit“, welches ebenfalls zum 31.12.2018 ausläuft, bezuschusst
85 % der zuwendungsfähigen Ausgaben, maximal 50.000,00 €. Die
Regierung von Mittelfranken rät deshalb beide Förderungen zu beantragen, da
detaillierte Aussagen zu der Weiterführung der beiden Förderprogramme erst im
Frühjahr 2019 möglich sind. Aufgrund des Doppelförderungsverbotes ist eine
Rücknahme des niedriger dotierten Zuschusses aus dem Fördertopf
„Sicherheitscluster“ möglich.
Empfehlungs-Beschluss:
Der Auftrag zur Einführung eines
Informationssicherheitsmanagementsystems (ISMS) soll an die secopan GmbH
vergeben werden. Vor Beauftragung durch den 1. Bürgermeister sind die
Fördermodalitäten abschließend zu klären. Haushaltsmittel in Höhe von 15.000 € sind
im Jahr 2019 bereitzustellen.