Verordnung über die Informationssicherheit

(VIS)

Vom 11.03.2008 (Stand 01.01.2013)

Präambel

Der Regierungsrat des Kantons Basel-Landschaft und die Geschäftsleitung des Kantonsgerichts,

gestützt auf § 8 Abs. 3 des Gesetzes über die Information und den Datenschutz (Informations- und Datenschutzgesetz, IDG) vom 10. Februar 2011[1], *

beschliessen:

1 Allgemeine Bestimmungen

Art. 1 Zweck und Zielsetzung

Diese Verordnung regelt den Schutz der Informatik-Systeme des Kantons vor Systemausfällen und den Schutz der mit solchen Systemen bearbeiteten Informationen vor Verlust sowie unbefugter Kenntnisnahme und Veränderung.

Oberstes Ziel ist die Kenntnis der aktuellen Risiken der Informationssicherheit und deren systematische und verhältnismässige Behandlung zu angemessenen Kosten.

Erkannte Risiken werden verwaltungsweit einheitlich bewertet und durch angemessene Massnahmen auf ein akzeptables Restrisiko beschränkt.

Ein existenzbedrohendes Risiko muss auf ein wirtschaftlich akzeptables Mass beschränkt werden. Erscheint dies aus technischen oder finanziellen Gründen nicht möglich, ist das Vorhaben abzulehnen oder abzubrechen.

Über die Zulässigkeit eines Restrisikos und dessen anzustrebende Deckung entscheiden die finanzkompetenten Stellen.

Risiken werden von den verantwortlichen Linienstellen getragen.

Die vorhandenen Risiken sind mindestens alle 3 Jahre gesamthaft zu evaluieren und gegebenenfalls in eine entsprechende Verbesserungsplanung einzubringen.

Art. 2 Geltungsbereich und Abgrenzung

Diese Verordnung gilt für die Direktionen und ihre Dienststellen (inklusive kantonale Spitäler), die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen.

Sie gilt für sämtliche Informatik-Systeme und darauf bearbeitete Informationen.

Soweit keine anderen Regeln bestehen, gilt sie auch für nicht mittels Informatik bearbeitete Informationen.

Bei der Zusammenarbeit mit Organisationen und Personen ausserhalb des Geltungsbereichs dieser Verordnung sind die hier festgelegten Grundsätze so weit wie möglich vertraglich zu vereinbaren.

Art. 3 Ergänzende Regelungen

Die Direktionen, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen können in ihrem Kompetenzbereich strengere Sicherheitsanforderungen festlegen.

Die Fachgruppe Informatik (FGI) kann einzelne Aspekte dieser Verordnung konkretisieren und entsprechende ergänzende Weisungen zur Informationssicherheit erlassen, insbesondere zur Regelung von anzuwendenden Verfahren, generell gültigen Mindestanforderungen und zum Umgang mit vernetzungsbedingten Sicherheitsrisiken.

Die FGI kann einzelnen dieser Verordnung unterstellten Institutionen einen erhöhten Freiheitsgrad zugestehen, solange:

dadurch keine erhöhte Bedrohung der restlichen Institutionen entsteht;
ein eigenes Informationssicherheits-Managementsystem branchenüblicher Qualität betrieben und jährlich die vorhandenen Risiken der Informationssicherheit und die Verbesserungsplanung rapportiert werden;
mindestens alle 3 Jahre die Angemessenheit des Managements der Informationssicherheit und der vorhandenen Risiken durch eine unabhängige Stelle zuhanden des oder der zentralen Informationssicherheitsbeauftragten nachgewiesen wird.

Der zugestandene erhöhte Freiheitsgrad kann widerrufen werden, wenn die Voraussetzungen nicht mehr erfüllt sind.

2 Begriffe und Schnittstellen der Informationssicherheit

Art. 4 Leistungserbringer und Leistungsbezüger

Die Betreibenden der Informatik-Systeme sind die Leistungserbringenden.

Die Benutzenden der Informatik-Systeme sind die Leistungsbeziehenden.

Art. 5 Informationen

Informationen im Sinne dieser Verordnung sind Daten jeglicher Art, die für Leistungsbeziehende oder -erbringende von Bedeutung sind.

Informationen werden entsprechend ihrem Schutzbedarf anhand eines Rasters klassifiziert.

Die Kriterien für die Klassifizierung sind Vertraulichkeit, Integrität und Verfügbarkeit der Informationen. Sie werden verwaltungsweit einheitlich festgelegt.

Art. 6 Informatiksicherheit

Informatiksicherheit dient dem Schutz der elektronisch bearbeiteten Informationen.

Art. 7 Physische Sicherheit der IT-Infrastruktur (Anlagenschutz)

Die für den Betrieb der Informatik-Infrastruktur notwendigen physischen Einrichtungen sind zu schützen.

Art. 8 Service Level Agreements

Leistungsbeziehende und Leistungserbringende legen alle Anforderungen an die Dienstleistung, insbesondere auch die Anforderungen zur Gewährleistung der Informationssicherheit in einem schriftlichen Service Level Agreement fest.

Die Sicherheitsmassnahmen sind schriftlich festzulegen.

3 Grundsätze der Informationssicherheit

Art. 9 Sicherheitsbewusstsein

Das Sicherheitsbewusstsein der Mitarbeitenden ist regelmässig zu schulen und eine Sicherheitskultur zu pflegen.

Art. 10 Konzeptioneller Rahmen

Anzustreben ist ein Management der Informationssicherheit nach den Normen der ISO 27000 Familie.

Art. 11 Wirtschaftlichkeit und Angemessenheit

Die Schutzmassnahmen müssen immer in einem angemessenen wirtschaftlichen Verhältnis zum möglichen Schaden stehen.

Art. 12 Projekte und Systemanpassungen

Im Rahmen von Projekten und Systemanpassungen hat die verantwortliche Stelle frühzeitig die Anforderungen an die Informationssicherheit festzulegen und zu berücksichtigen. Es gelten die Richtlinien gemäss der Projektführungsmethodik HERMES.

Ein Projekt gilt frühestens dann als abgeschlossen, wenn die Informationssicherheit auch während des Betriebs und bei späteren Anpassungsarbeiten in genügendem Umfang gewährleistet ist.

Für die Betriebsfreigabe muss eine Risikobeurteilung durch eine neutrale Fachperson und eine Bestätigung der Übernahme der Restrisiken durch den Leistungsbezüger vorliegen.

Art. 13 Richtlinien zur Nutzung der Informatik

Richtlinien und Weisungen zur Nutzung der Informatik sind durch die FGI weiterzuentwickeln und regelmässig auf Einhaltung zu kontrollieren.

Art. 14 Kostenmanagement

Die Kosten für die Informatiksicherheit sind Teil der Projekt- und Betriebskosten und dementsprechend zu budgetieren.

Art. 15 Sicherheitsmassnahmen und ihre schriftliche Dokumentation

Sicherheitsmassnahmen sind organisatorischer, technischer oder physischer Natur.

Sie sind systematisch und in einem konzeptionellen Rahmen zu vollziehen sowie schriftlich zu dokumentieren.

Für alle Anwendungen, Projekte und Datensammlungen wird eine zentrale Liste mit sicherheitsrelevanten Informationen geführt. Der oder die Informatiksicherheitsbeauftragte der Direktion (DIT-SiBe) hat Einsicht in das Portfolio oder führt es selber.

Art. 16 Datenschutzfreundliche Technologien

Bei der Beschaffung von Informatikmitteln zur Verwaltung von Personendaten ist die Datenschutzfreundlichkeit der Technologien angemessen zu berücksichtigen.

Bevor Informatikmittel zu diesem Zweck beschafft werden, ist die zuständige Datenschutzbehörde anzuhören.

Art. 17 Benutzerfreundlichkeit

Bei der Evaluation von Sicherheitslösungen wird auch deren Benutzerfreundlichkeit bewertet.

Art. 18 Zugangsbeschränkungen

Benutzerprofile haben den Zugang auf diejenigen Informationen zu beschränken, welche für die Aufgabenerfüllung notwendig sind.

Art. 19 Notfallkonzept

Leistungsbeziehende und Leistungserbringende erstellen je eigene Notfallkonzepte und stimmen diese aufeinander ab.

Die Notfallkonzepte regeln das Vorgehen bei einem Ausfall von Informatik-Systemen, der länger als die definierten Verfügbarkeitsanforderungen dauert.

4 Organisation und Verantwortung

Art. 20 Grundsatz

Alle Mitarbeitende sind im Rahmen ihrer Tätigkeiten für die Wahrung der Sicherheit verantwortlich.

Art. 21 Informationssicherheitsbeauftragte auf Stufe Kanton

Die Informatikplanung und -koordination (IPK) übernimmt die Aufgaben des/der zentralen Informationssicherheitsbeauftragten (KIT-SIBE).

Der/die KIT-SIBE:

koordiniert alle kantonsinternen und kantonsübergreifenden Informationssicherheitsaspekte;
steht zur Überprüfung der Anforderungen und zur Aufsicht im Bereich der Informationssicherheit zur Verfügung, ist jedoch nicht für deren Durchsetzung verantwortlich;
stellt periodisch, mindestens aber alle 3 Jahre, einen Risikobericht und eine gesamtheitliche Massnahmenplanung zusammen;
koordiniert zwischen den Direktionen, der Landeskanzlei, dem Kantonsgericht und den kantonalen Schulen und stellt einheitliche Verfahren zum Umgang mit Informations- und Informatik-Sicherheit zur Verfügung.

Art. 22 Informationssicherheitsbeauftragte auf Stufe Direktion

Jede Direktion, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen bestimmen eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten (DIT-SIBE).

Die oder der DIT-SIBE koordiniert direktionsweit im Rahmen seiner bzw. ihrer Aufgaben, Kompetenzen und Verantwortung, die Sicherheitsanliegen im Bereich Informationssicherheit mit Schwergewicht Informatik und stimmt diese mit dem oder der zentralen KIT-SIBE ab.

Art. 23 Leistungsbeziehende und Leistungserbringende

Die Leistungsbeziehenden legen in Abstimmung mit dem oder der DIT-SIBE die Sicherheitsanforderungen für Projekte, Anwendungen und Datensammlungen fest und organisieren unter Einbezug der Auftraggebenden und der Vertragspartner periodisch die Kontrollen der Umsetzung der Sicherheitsmassnahmen.

Die Direktionen, die Landeskanzlei das Kantonsgericht und die kantonalen Schulen sind dafür verantwortlich, dass ihre Mitarbeitenden die zuständigen Stellen/Organe und die Abläufe der Informationssicherheit in der Kantonsverwaltung stufengerecht kennen.

Die Leistungserbringenden haben die von den Leistungsbeziehenden definierten Vorgaben einzuhalten.

Die Verantwortlichen stellen sicher, dass die Sicherheitsmassnahmen beim Betrieb von Informations- und Kommunikationstechnik auf allen Systemen und für alle involvierten Personen umgesetzt werden.

Die Verantwortlichkeiten auf der operativen Ebene werden in den Projektvereinbarungen und in den Service Level Agreements zwischen den Leistungsbezügern und den Leistungserbringern detailliert festgehalten.

Der/die Leistungsbeziehende muss zuhanden des/der DIT-SIBE eine periodische Überprüfung der vorgenommenen Umsetzung der Informatiksicherheit und der vorhandenen Sicherheitsrisiken bei sich und beim Leistungserbringer vornehmen.

Art. 24 Informationsschutz

Die Direktionen, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen sind dafür verantwortlich, die in ihrer Zuständigkeit bearbeiteten Informationen gemäss bestehenden Weisungen angemessen zu schützen.

Art. 25 Mitarbeitende

Die Mitarbeitenden sind für die Einhaltung von Sicherheitsbestimmungen in ihrem Arbeitsbereich verantwortlich.

Als Verfassende von Informationen sind sie für deren Klassifizierung und Schutz besorgt.

Art. 26 Kontinuierlichen Verbesserung

Die Direktionen, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen überprüfen mindestens alle 3 Jahre, ob die Sicherheitsmassnahmen angemessen sind und ob sie umgesetzt werden.

Die Ergebnisse werden zuhanden des/der KIT-SIBE und der Aufsichtsstelle Datenschutz rapportiert.

Es besteht ein kontinuierliches Verbesserungsprogramm.

5 Einführung der Verordnung

Art. 27 Einführung der Verordnung

Diese Verordnung wird schrittweise nach Massgabe der jeweils vorhandenen Risiken umgesetzt.

Innerhalb von 24 Monaten nach Inkrafttreten dieser Verordnung sind:

die Organisation und die Verfahren zur Bestimmung von angemessenen Massnahmen und den vorhandenen Risiken umzusetzen;
Massnahmen mit sehr gutem Verhältnis von Kosten zu Nutzen zu treffen;
der 1. Bericht zur Informationssicherheit zu erstellen;
die 1. Fassung des kontinuierlichen Verbesserungsprogramms zuhanden des Regierungsrats zu erstellen.

Die übrigen Massnahmen sind so rasch als möglich umzusetzen.

Der/die KIT-SIBE erarbeitet gemeinsam mit der FGI das kontinuierliche Verbesserungsprogramm.

Art. 28 Inkrafttreten

Diese Verordnung tritt am 30. Juni 2008 in Kraft.

Egress

GS 36.0543

Änderungstabelle - Nach Beschlussdatum

Beschlussdatum	Inkraft seit	Element	Wirkung	Publiziert mit
11.03.2008	30.06.2008	Erlass	Erstfassung	GS 36.0543
04.12.2012	01.01.2013	Ingress	geändert	wg. GS 37.1185

Änderungstabelle - Nach Paragraf

Element	Beschlussdatum	Inkraft seit	Wirkung	Publiziert mit
Erlass	11.03.2008	30.06.2008	Erstfassung	GS 36.0543
Ingress	04.12.2012	01.01.2013	geändert	wg. GS 37.1185