142.21
erlässt
in Ausführung von Art. 95 des Staatsverwaltungsgesetzes vom 16. Juni 1994[1]
Diese Verordnung gilt für die Staatsverwaltung nach Art. 1 des Staatsverwaltungsgesetzes vom 16. Juni 1994[3], ausgenommen die selbständigen öffentlich-rechtlichen Anstalten.
Sie wird auf Gerichte und andere Justizbehörden sachgemäss angewendet, soweit diese nicht richterlich handeln.
Informatiksysteme werden durch angemessene organisatorische und technische Massnahmen vor äusseren Einwirkungen und unbefugten Zugriffen geschützt.
Folgende Begriffe bedeuten:
Die Konferenz der Departementsinformatikverantwortlichen legt die Sicherheitsmassnahmen, abgestuft nach den Risiken, in einem Massnahmenkatalog fest. Die Sicherheitsmassnahmen dienen der Reduktion der Risiken.
Die Ämter beurteilen die Risiken, legen die Sicherheitsstufen fest, ermitteln die zu treffenden Sicherheitsmassnahmen und sorgen für deren Umsetzung.
Departemente und Dienst für Informatikplanung kontrollieren die Einstufung der Informatiksysteme und -anwendungen.
Departementsinformatikverantwortliche und Dienst für Informatikplanung beraten die Ämter bei der Risikobeurteilung, bei der Festlegung der Sicherheitsstufen, bei der Ermittlung der Sicherheitsmassnahmen sowie bei deren Umsetzung und Überprüfung.
Die Ämter legen für ihre Informatiksysteme und -anwendungen je einzeln die Gefährdung fest, indem sie die damit verwalteten Daten klassifizieren.
Sie berücksichtigen die Risiken aufgrund unvorsichtigen oder böswilligen Verhaltens von Mitarbeitenden und Aussenstehenden, aufgrund technischer Mängel an Geräten und Gebäuden sowie aufgrund von Feuer und Elementarereignissen.
Als «geheim» gelten Daten, wenn es sich um besonders schützenswerte Personendaten, um Persönlichkeitsprofile, um Daten, deren Missbrauch eine betroffene Person in gesellschaftlicher und wirtschaftlicher Hinsicht erheblich benachteiligen, oder um vertraglich geschützte Daten handelt.
Als «vertraulich» gelten Daten, wenn es sich um Personendaten, um Daten, deren Missbrauch eine betroffene Person in gesellschaftlicher und wirtschaftlicher Hinsicht benachteiligen, um Daten von finanzieller Relevanz oder um Daten handelt, für die eine Archivierungspflicht besteht.
Alle anderen Daten werden bezüglich Vertraulichkeit als nicht klassifiziert eingestuft.
Die Anforderung «hohe Verfügbarkeit» wird an die Daten gestellt, deren Nichtverfügbarkeit Leben gefährdet oder deren Bedeutung für die Aufgabenerfüllung so gross ist, dass die Verfügbarkeit auf einem entsprechenden Informatiksystem innert eines Tages wiederhergestellt werden muss. An Daten, deren Wiederbeschaffung nicht möglich ist und deren Verlust einen grossen finanziellen Schaden oder einen Imageschaden in der Öffentlichkeit verursacht, wird dieselbe Anforderung an die Verfügbarkeit gestellt.
Die Anforderung «mittlere Verfügbarkeit» wird an die Daten gestellt, deren Bedeutung für die Aufgabenerfüllung so gross ist, dass die Verfügbarkeit innert drei Tagen auf einem entsprechenden Informatiksystem wiederhergestellt werden muss. An Daten, deren Wiederbeschaffung möglich ist, deren Verlust aber einen mittleren finanziellen Schaden oder einen Imageschaden in der Verwaltung verursacht, wird dieselbe Anforderung an die Verfügbarkeit gestellt.
Alle anderen Daten werden bezüglich Verfügbarkeit als nicht klassifiziert eingestuft.
Bei der Einstufung «geheim» bzw. «hohe Verfügbarkeit» wird ein hoher Schutz für die Informatiksysteme und -anwendungen gewährleistet.
Bei der Einstufung «vertraulich» bzw. «mittlere Verfügbarkeit» wird ein mittlerer Schutz für die Informatiksysteme und -anwendungen gewährleistet.
Werden die Daten als nicht klassifiziert eingestuft, wird ein Grundschutz für die Informatiksysteme und -anwendungen gewährleistet.
Ein Massnahmenkatalog legt nach der Klassifizierung der Daten die Informatik-Sicherheitsmassnahmen für die Informatiksysteme und -anwendungen fest bezüglich:
Die Konferenz der Departementsinformatikverantwortlichen ist für Erstellung und Nachführung des Massnahmenkatalogs zuständig.
Die Ämter bestimmen eine Informatik-Sicherheitsorganisation.
Die nach der Informatik-Sicherheitsorganisation zuständige Person:
Der Departementsinformatikverantwortliche sorgt für die amtsübergreifende Koordination innerhalb des Departementes bzw. der Staatskanzlei.
Der Dienst für Informatikplanung sorgt für die departementsübergreifende Koordination. Er bestimmt hiefür einen kantonalen Informatik-Sicherheitsbeauftragten.
Der kantonale Informatik-Sicherheits-Beauftragte ist sowohl im Normalbetrieb als auch im Notbetrieb im Einsatz.
Der kantonale Führungsstab bestimmt einen Teilstab Informatik.
Der Teilstab Informatik wird bei Grossereignissen, Notlagen und Katastrophen eingesetzt, wenn die Informatiksicherheit gefährdet ist.
Die Ämter stufen bestehende Informatiksysteme und -anwendungen gemäss der Klassifizierung der Daten ein und sorgen für die Umsetzung der erforderlichen Sicherheitsmassnahmen.
Bei Neu- oder Ersatzbeschaffungen von Informatiksystemen und -anwendungen legen die Ämter die erforderlichen Informatik-Sicherheitsmassnahmen im Rahmen der Einführungsprojekte fest und setzen sie um.
Die Ämter informieren die Mitarbeitenden über die Sicherheitsmassnahmen, die sie zu beachten haben.
Sie sorgen für die Ausbildung.
Wenn ein Amt Daten durch andere Ämter bearbeiten lässt oder sie mit diesen austauscht, werden die Sicherheitsstufen und -massnahmen sowie die Verantwortlichkeiten bei der Umsetzung gemeinsam festgelegt.
Wenn ein Amt Daten durch Stellen, welche dieser Verordnung nicht unterstehen, bearbeiten lässt, wird im Zusammenarbeitsvertrag vereinbart, welche Massnahmen der Beauftragte zu treffen hat und wie ihre Einhaltung kontrolliert wird.
Der Datenaustausch über öffentliche Netze ist nur über gesicherte Zugangspunkte zulässig. Als öffentlich gelten alle Netze ausserhalb des Kommunikationsnetzes KOMSG des Kantons.
Der Zugriff von öffentlichen Netzen auf das kantonsinterne Netz erfolgt über die vom Netzbetreiber bereitgestellten gesicherten Netzübergänge.
Der Netzbetreiber kann Ausnahmen bewilligen.
Unter welchen Voraussetzungen die Bearbeitung von Daten ausserhalb der Räumlichkeiten des Amtes und die Verwendung von Daten auf privaten Geräten zulässig ist, wird in einer Dienstanweisung geregelt.
Die Ämter überprüfen periodisch Einhaltung und Angemessenheit der Informatik-Sicherheitsmassnahmen.
Ändern Aufgaben, Organisation oder eingesetzte Informatiksysteme oder -anwendungen eines Amtes, überprüfen sie die Sicherheitsstufen und Schutzziele sowie die Angemessenheit der Informatik-Sicherheitsmassnahmen.
Bei Informatiksystemen und -anwendungen mit der Einstufung «hohe Verfügbarkeit» bzw. «geheim» lassen die Ämter die Informatik-Sicherheitsmassnahmen periodisch durch unabhängige interne oder externe Stellen überprüfen.
Der kantonale Informatik-Sicherheitsbeauftragte kann Prüfungen stichprobenweise veranlassen.
Bei Informatiksystemen und -anwendungen mit der Einstufung «hohe Verfügbarkeit» wird ein Notfallkonzept erstellt und periodisch getestet.
Die Verordnung über die Abteilung für Datenverarbeitung und Organisation vom 22. April 1975[4] wird aufgehoben.
Für die bestehenden Informatiksysteme und -anwendungen beurteilen die Ämter innerhalb von zwei Jahren nach Vollzugsbeginn dieser Verordnung die Risiken und legen die Sicherheitsstufen, die Informatik-Sicherheitsmassnahmen sowie den Zeitplan ihrer Umsetzung fest.
Dieser Erlass wird ab 1. März 2004 angewendet.
| Bestimmung | Änderungstyp | nGS-Fundstelle | Erlassdatum | Vollzugsbeginn |
|---|---|---|---|---|
| Erlass | Grunderlass | 39-29 | 24.02.2004 | 01.03.2004 |
| Erlassdatum | Vollzugsbeginn | Bestimmung | Änderungstyp | nGS-Fundstelle |
|---|---|---|---|---|
| 24.02.2004 | 01.03.2004 | Erlass | Grunderlass | 39-29 |