Dem
Marktgemeinderat lag folgender Sachverhalt vor:
Jede Behörde und jedes Unternehmen muss einen
IT-Sicherheitsbeauftragten ernannt haben. Für deutsche Bundesbehörden ist dies
mit dem sogenannten Umsetzungsplan Bund zum Schutz der Informationsinfrastrukturen
in Deutschland, der 2007 vom Kabinett verabschiedet wurde, verpflichtend
vorgeschrieben worden. Auch für die Landes- und Kommunalbehörden ist dies
zwischenzeitlich verpflichtend. Bei der Ernennung sollten die Aufgaben und Befugnisse
in der Organisation klar umrissen werden.
Zum
IT-Sicherheitsbeauftragten des Marktes Rimpar soll Herr Christian Kornacker bestellt
werden. Seine Abwesenheitsvertretung übernimmt Herr Günter Pfau.
Organisation
Der
IT-Sicherheitsbeauftragte besitzt eine unabhängige und organisatorisch
herausgehobene Stellung. Er ist in dieser Rolle der Behördenleitung direkt
unterstellt und berichtet direkt an diese. Somit ist die notwendige
Unabhängigkeit von anderen Stellen innerhalb der Organisation erreicht. Die Leitungsebene
trägt weiterhin die Gesamtverantwortung für alle Belange der
Informationssicherheit.
Es ist sichergestellt, dass
die Wahrnehmung der Rolle des Informationssicherheitsbeauftragten zu keinen
Konflikten mit weiteren von dieser Person wahrgenommenen Rollen führt. Der
IT-Sicherheitsbeauftragte verfügt über ausreichendes Wissen und Erfahrung auf
dem Gebiet der Informationssicherheit und Informationstechnologie.
Die Leitungsebene
unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner sich aus
dieser Verfügung ergebenden Aufgaben und stellt dem IT-Sicherheitsbeauftragten
genügend Ressourcen zur Erfüllung dieser Aufgaben zur Verfügung. Die
Leitungsebene gewährleistet eine der Funktion angemessene Aus- und Fortbildung.
Verantwortlichkeiten/Aufgaben
Der
IT-Sicherheitsbeauftragte ist zuständig für alle Belange der
Informationssicherheit innerhalb der Institution/Behörde. Er unterstützt die
Leitungsebene bei deren Aufgaben bezüglich der Informationssicherheit. Er
-
stimmt die Informationssicherheitsziele mit den Zielen der
Institution/Behörde ab.
-
erstellt die Leitlinie zur Informationssicherheit und stimmt diese mit
der Leitungsebene ab.
-
stellt sicher, dass die abgestimmte Leitlinie zur Informationssicherheit
allen Mitarbeitern der Institution/Behörde bekannt gegeben wird.
-
verantwortet den Aufbau, Betrieb und Weiterentwicklung der
Informationssicherheitsorganisation innerhalb der Institution/der Behörde.
-
erstellt und schreibt das Informationssicherheitskonzept der
Institution/Behörde fort und passt dieses auch an neue gesetzliche
Gegebenheiten an.
-
erstellt und erlässt Richtlinien und Regelungen die
Informationssicherheit betreffend.
-
berät die Leitungsebene in allen Fragen der Informationssicherheit.
-
berichtet relevante die Informationssicherheit betreffende Vorkommnisse
an die Leitungsebene
-
berichtet der Leitungsebene regelmäßig über den aktuellen Stand der
Informationssicherheit.
-
stellt den notwendigen Informationsfluss für das
Informationssicherheitsmanagement sicher (z. B. durch Berichtswesen,
Dokumentation).
-
stellt sicher, dass die Informationssicherheitsmaßnahmen inklusive der
Zugriffsregelungen aktuell, aussagekräftig und nachvollziehbar dokumentiert
werden.
-
initiiert und kontrolliert die Umsetzung von
Informationssicherheitsmaßnahmen.
-
koordiniert zielgruppenorientierte Sensibilisierungs- und
Schulungsmaßnahmen zum Thema Informationssicherheit.
-
plant und konzeptualisiert die Notfallvorsorge und erstellt ein
Notfallhandbuch zur Bewältigung von Notfällen
-
bindet alle Mitarbeiter der Behörde in den
Informationssicherheitsprozess und die Notfallvorsorge ein.
-
übernimmt die Leitung der Analyse und Nachbearbeitung von
Informationssicherheitsvorfällen.
-
arbeitet mit anderen Beauftragten aus dem Gebiet der
(Informations-)Sicherheit zusammen (z. B. Datenschutzbeauftragter).
-
nimmt regelmäßig an Fortbildungen zur Informationssicherheit teil.
Befugnisse/Kompetenzen
Der
IT-Sicherheitsbeauftragte:
-
ist in allen für die Informationssicherheit relevanten Themen zu
informieren (Sowohl auf Nachfrage als auch unaufgefordert, soweit eine Relevanz
für die Informationssicherheit besteht).
-
Vorhaben und Änderungen, die die Informationssicherheit berühren können
(z. B. neue IT-Projekte, Änderungen der IT-Infrastruktur, Änderungen von
Rahmenbedingungen mit Auswirkungen auf die Informationssicherheit) müssen
frühzeitig mit dem IT-Sicherheitsbeauftragten abgestimmt werden.
-
hat ein Mitsprache- und Vetorecht bei allen Entscheidungen die seinen
Verantwortungsbereich betreffen (z. B. bei der Initiierung von
IT-Projekten, Beschaffung von Informationsverarbeitenden Systemen, Änderungen
von Geschäftsprozessen, Ausbildung von Mitarbeitern).
-
hat direktes Vortragsrecht gegenüber der
Behördenleitung/Geschäftsführung.
-
hat Zutrittsrecht zu allen Bereichen, in denen Informationstechnik
eingesetzt wird und damit zusammenhängende Daten verarbeitet werden, und zu
allen Bereichen, in denen relevante Geschäftsprozesse und Informationen
bearbeitet werden.
-
hat im Rahmen seiner Tätigkeit ein zeitlich, auf die Dauer der
wahrzunehmenden Aufgabe, begrenztes Zugriffsrecht auf alle betroffenen
IT-Systeme und damit verarbeitete Daten. Je nach Art der Daten muss er/sie sich
hierzu vorab mit dem Datenschutz- oder Geheimschutzbeauftragten abstimmen.
-
führt Revisionen im Themenbereich der Informationssicherheit durch bzw.
veranlasst Revisionen durch unabhängige Dritte und überprüft so das aktuelle
Informationssicherheitsniveau in ihrem/seinem Aufgabenbereich.
-
vertritt die Behörde im Bereich des IT-Sicherheitsmanagements und ist
gegenüber dem Ressort-IT-Sicherheitsbeauftragten berichtspflichtig.
Geltungsbereich
Die in dieser Bestellung festgelegten Befugnisse
gelten instituts-/behördenweit und für alle Einrichtungen des Marktes Rimpar
und umfassen alle Bereiche, in denen Informationen verarbeitet, übertragen und
gespeichert werden.
Diese Bestellung tritt mit sofortiger Wirkung in
Kraft.
Beschluss:
Zum
IT-Sicherheitsbeauftragten des Marktes Rimpar wird Herr Christian Kornacker bestellt.
Seine Abwesenheitsvertretung ist Herr Günter Pfau.