M 2.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung
Verantwortlich für Umsetzung: Leiter IT, Leiter Organisation
Für die Aufgabenbereiche "IT-Einsatz" und "IT-Sicherheit" müssen sowohl Verantwortlichkeiten als auch Befugnisse festgelegt sein.
Für den "IT-Einsatz" ist eine Festlegung der Fachverantwortung und der Betriebsverantwortung vorzunehmen. Der Fachverantwortliche ist zuständig für die Erarbeitung der fachlichen Vorgaben, die es in einem IT-Verfahren umzusetzen gilt. Hingegen umfasst die Betriebsverantwortung unter anderem folgende Aufgaben:
- Datenerfassung,
- Arbeitsplanung und -vorbereitung,
- Datenverarbeitung,
- Nachbereitung von Datenausgaben,
- Datenträgerverwaltung und
- Überwachung des Verfahrensbetriebes.
Übergreifende Regelungen zur "IT-Sicherheit" als ein Aspekt des IT-Einsatzes müssen verbindlich festgelegt werden. Es empfiehlt sich, Regelungen über
- Datensicherung,
- Datenarchivierung,
- Datenträgertransport,
- Datenübertragung,
- Datenträgervernichtung,
- Dokumentation von IT-Verfahren, Software, IT-Konfiguration,
- Gebrauch von Passwörtern,
- Zutrittsberechtigungen,
- Zugangsberechtigungen,
- Zugriffsberechtigungen,
- Betriebsmittelverwaltung,
- Kauf und Leasing von Hardware und Software,
- Wartungs- und Reparaturarbeiten,
- Software: Abnahme und Freigabe,
- Software: Anwendungsentwicklung,
- Datenschutz,
- Schutz gegen Computer-Viren,
- Revision,
- Notfallvorsorge und
- Vorgehensweise bei der Verletzung der Sicherheitspolitik
zu treffen. Hinweise dazu finden sich in den nachfolgenden Maßnahmenbeschreibungen.
Daneben dürfen die Regelungen für Informationssicherheit nicht vernachlässigt werden. Diese sollten mit denen für IT-Sicherheit und auch Geheimschutz in geeigneter Weise zusammengeführt werden. Hierzu gehören beispielsweise:
- geeigneter Umgang mit geschäftskritischen Informationen,
- Vertraulichkeitsvereinbarungen,
- Einbeziehung des Sicherheitsbeauftragten bei Aufträgen und Projekten, die geschäftskritische Informationen betreffen,
- Unterrichtungen über den geeigneten Umgang mit geschäftskritischen Informationen, beispielsweise im Kontakt mit Kunden oder auf Reisen,
- Klassifikation von Informationen entsprechend ihres Schutzbedarfs.
Diese Regelungen sind den betroffenen Mitarbeitern in geeigneter Weise bekannt zu geben (siehe M 3.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen). Es empfiehlt sich, die Bekanntgabe zu dokumentieren. Darüber hinaus sind sämtliche Regelungen in der aktuellen Form an einer Stelle vorzuhalten und bei berechtigtem Interesse zugänglich zu machen.
Die getroffenen Regelungen sind regelmäßig zu aktualisieren, um Missverständnisse, ungeklärte Zuständigkeiten und Widersprüche zu verhindern. Alle Regelungen sollten ein Erstellungsdatum oder eine Versionsnummer enthalten, um die Aktualität schnell erkennen zu können.
Ergänzende Kontrollfragen:
- Welche Regelungen sind in Kraft?
- Werden die Regelungen regelmäßig überarbeitet?
- Wie werden die Regelungen den Mitarbeitern bekannt gegeben?