Lexipedia

153.53

Informatikverordnung

(ITV)

Vom 13. November 2018 (Stand 19. Dezember 2020)

Präambel

Der Regierungsrat des Kantons Zug,

gestützt auf § 47 Abs. 1 Bst. c und d der Kantonsverfassung[1] und § 2 Abs. 1 und 3 des Gesetzes über die Organisation der Staatsverwaltung (Organisationsgesetz, OG) vom 29. Oktober 1998[2],

beschliesst:

1. Allgemeine Bestimmungen

Art. 1 Gegenstand

Diese Verordnung regelt die Organisation, die Steuerung, den Betrieb und die Kontrolle der Informatik.

Art. 2 Begriffe

  1. Informatik (IT) ist der Oberbegriff für Informations- und Kommunikationstechnologie.
  2. IT-Vorhaben sind zur Initialisierung beantragte IT-Projekte. Mit der Freigabe der Projektinitialisierungsaufträge durch die Auftraggeberin bzw. den Auftraggeber werden sie zu IT-Projekten.
  3. IT-Programme umfassen mehrere IT-Projekte, die ein gemeinsames Ziel verfolgen. Das IT-Programm sichert die projektübergreifende Steuerung und Führung der IT-Projekte.
  4. IT-Mittel umfassen die IT-Infrastruktur sowie die Fach- und Querschnittsanwendungen. Die Basisanwendungen gehören zur IT-Infrastruktur.
  5. IT-Infrastruktur umfasst sämtliche IT-Mittel, ausser Fach- und Querschnittsanwendungen.
  6. Basisanwendungen sind für den Betrieb der IT-Infrastruktur unerlässlich.
  7. Fachanwendungen unterstützen oder ermöglichen Geschäftsprozesse. Sie werden in der Regel nur von einer Behörde eingesetzt.
  8. Querschnittsanwendungen unterstützen Geschäftsprozesse sowie die Büroautomation. Sie werden von allen oder mehreren Behörden eingesetzt und wie folgt unterteilt:
  1. Standardanwendungen sind handelsübliche IT-Anwendungen, die keine oder nur geringfügige Konfigurationen oder ergänzende Komponenten benötigen.
  2. Kantonsanwendungen sind alle übrigen Querschnittsanwendungen.
  1. IT-Sicherheit umfasst Massnahmen zum Schutz der Integrität und Verfügbarkeit der IT-Mittel sowie zum Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten, die mit diesen Mitteln bearbeitet werden.
  2. Justiz wird als Sammelbegriff für das Obergericht (inklusive Kantonsgericht, Strafgericht, Staatsanwaltschaft) und das Verwaltungsgericht (inklusive Schätzungskommission) verwendet.
  3. Als Behörden im Sinne dieser Verordnung gelten:
  1. die Direktionen und die ihnen unterstellten Ämter, Abteilungen und Stellen;
  2. die Staatskanzlei und die ihr unterstellten Ämter und Abteilungen;
  3. das Obergericht und das Verwaltungsgericht und die ihnen unterstellten Stellen;
  4. die Datenschutzstelle und
  5. die Ombudsstelle.
  1. Die kantonalen Schulen umfassen folgende Einrichtungen: Gewerblich-industrielles Bildungszentrum Zug (GIBZ), Kaufmännisches Bildungszentrum Zug (KBZ), Landwirtschaftliches Bildungs- und Beratungszentrum (LBBZ) sowie deren weiterführende Schulen, ferner Schulisches Brückenangebot (S-B-A), Kombiniertes Brückenangebot (K-B-A), Integrations-Brücken-Angebot (I-B-A), Kantonsschule Zug (KSZ), Kantonsschule Menzingen (KSM), Wirtschaftsmittelschule (WMS) und Fachmittelschule (FMS).

Art. 3 Geltungsbereich

Diese Verordnung gilt für die kantonale Verwaltung einschliesslich des Verwaltungsbereichs der kantonalen Schulen, die Justiz sowie die Datenschutzstelle und die Ombudsstelle. Die Unabhängigkeit der Justiz, der Datenschutzstelle und der Ombudsstelle ist in geeigneter Weise zu berücksichtigen. 

Für die selbständigen öffentlich-rechtlichen Anstalten gilt sie insoweit, als diese die IT-Mittel des Kantons nutzen. Den öffentlich-rechtlichen Anstalten kommen diesfalls die gleichen Rechte und Pflichten wie einer Direktion zu.

Sie gilt nicht für die von der Lehrer- und Schülerschaft der kantonalen Schulen genutzten schulischen IT-Mittel sowie für Anlagen der Gebäudetechnik und Anlagen, die ausschliesslich zur Steuerung technischer Prozesse eingesetzt werden.

2. Grundsätze der IT

Art. 4 Leistungsfähigkeit und Wirtschaftlichkeit

Die IT unterstützt die Behörden bei der Erfüllung ihrer gesetzlichen Aufgaben. Sie wird auf deren Bedürfnisse ausgerichtet und so konzipiert und eingesetzt, dass sie die Geschäftsprozesse bestmöglich unterstützt.

Die Kosten werden unter Berücksichtigung von Sicherheit, Wirksamkeit, Qualität, Leistungsfähigkeit und Nachhaltigkeit optimiert.

Art. 5 Standardisierung

IT-Anwendungen müssen die Vorgaben betreffend IT-Architektur, -Standards (§ 12) und -Sicherheit (§ 18) erfüllen. Abgesehen von der Anpassung oder Erweiterung von Standardlösungen werden grundsätzlich keine Individuallösungen entwickelt.

Vor der Entwicklung von Individuallösungen hat eine Marktanalyse zu erfolgen. Sollten keine Standardlösungen verfügbar sein, ist die Entwicklung auf eindeutige fachspezifische Anforderungen zu beschränken. Die Entwicklung bedarf einer entsprechenden Ausnahmebewilligung.

Art. 6 Zentrale Leistungserbringung

Die Leistungserbringung erfolgt so zentral wie möglich. Eine dezentrale Leistungserbringung erfolgt nur dort, wo dies notwendig ist.

Behörden, die aufgrund übergeordneten Rechts, interkantonaler Vereinbarungen oder ihres Leistungsauftrags auf eine spezialisierte IT-Infrastruktur angewiesen sind, können die für den Betrieb ihrer Fachanwendungen notwendige IT-Infrastruktur in Ausnahmefällen selber bestimmen und betreiben, wenn sie die Vorgaben betreffend IT-Architektur, -Standards und -Sicherheit einhalten und die Planung und Beschaffung sowie die Regelung des Betriebs in Vereinbarung mit der zentralen IT erfolgt.

3. Organisation

Art. 7 Zentrale IT

Das Amt für Informatik und Organisation (AIO; § 25) ist die zentrale Leistungserbringerin von IT-Dienstleistungen für die kantonale Verwaltung, die Justiz, die Datenschutzstelle und die Ombudsstelle.

Art. 8 Dezentrale IT

Die Direktionen, die Staatskanzlei, das Obergericht, das Verwaltungsgericht sowie die Datenschutzstelle und die Ombudsstelle (§ 26) sind verantwortlich für die Unterstützung ihrer Geschäftsprozesse durch IT-Anwendungen sowie die Ausgestaltung und den Einsatz ihrer Fachanwendungen.

Art. 9 IT-Steuerung

Der Regierungsrat, das Obergericht, das Verwaltungsgericht, die Finanzdirektion und das Informatikboard (§§ 23ff.) sind verantwortlich für die Planung, Steuerung und Kontrolle der übergreifenden Aspekte der IT.

4. Instrumente zur Planung, Steuerung und Kontrolle der IT

Art. 10 IT-Strategie

Die IT-Strategie legt die strategischen IT-Ziele und die zur Erreichung dieser Ziele erforderlichen Massnahmen jeweils für mindestens vier Jahre fest.

Sie ist mit der Strategie und den Legislaturzielen des Regierungsrats und den Zielen der Justiz abgestimmt und berücksichtigt Änderungen der gesetzlichen Aufgaben, die technologische Entwicklung sowie die Anforderungen der Behörden.

Art. 11 IT-Gesamtplanung

Mit der IT-Gesamtplanung werden in regelmässigen Abständen der aktuelle Einsatz der IT im Hinblick auf die Geschäftsanforderungen überprüft, der künftige Einsatz geplant und die benötigten finanziellen und personellen Ressourcen ermittelt.

Die IT-Gesamtplanung leitet sich dem Massnahmenkatalog gemäss IT-Strategie, dem IT-Projektportfolio (§ 14), dem Budget und Finanzplan und weiteren Planungsinstrumenten ab.

Art. 12 IT-Architektur und IT-Standards *

Die IT-Architektur bestimmt die Komponenten der IT und deren Zusammenwirken zur Unterstützung der Geschäftsprozesse. Zur Visualisierung der IT-Architektur besteht ein Architekturmodell.

Die IT-Standards orientieren sich an anerkannten nationalen und internationalen Standards. Sie legen fest, welche IT-Funktionen, -Schnittstellen und -Produkte in gleicher Art und Weise auszugestalten bzw. zu verwenden sind.

Art. 13 IT-Vorhaben und -Projekte

IT-Vorhaben und -Projekte werden gemäss der von der zentralen IT vorgegebenen Projektführungsmethodik und den Vorgaben des Kompetenzzentrums Projektmanagement geführt.

Die zentrale IT ist in der Phase der Projektinitialisierung einzubeziehen. Über IT-Vorhaben, bei welchen Personendaten bearbeitet werden, ist gleichzeitig die Datenschutzstelle zu informieren.

Die Projektleitung hat bei allen IT-Vorhaben und -Projekten, die im IT-Projektportfolio (§ 14) aufgeführt sind, durch eine zertifizierte Projektleitung zu erfolgen. Ausnahmen bedürfen einer Ausnahmebewilligung.

Art. 14 IT-Projektportfolio

Das IT-Projektportfolio enthält alle IT-Vorhaben und -Projekte, deren Gesamtkosten mindestens 50 000 Franken betragen, und dient als Grundlage für die Budgetierung.

Vor der Aufnahme ins IT-Projektportfolio werden die einzelnen IT-Vorhaben anhand eines vorgegebenen Rasters bewertet. Anlässlich des Entscheids über die Aufnahme ins IT-Projektportfolio wird die Bewertung überprüft und wo nötig angepasst. Im Budgetprozess werden die im IT-Projektportfolio aufgeführten IT-Vorhaben und -Projekte entsprechend ihrer Bewertung und nach Massgabe der zur Verfügung stehenden Mittel priorisiert.

Bei IT-Vorhaben und -Projekten des Obergerichts, des Verwaltungsgerichts, der Datenschutzstelle und der Ombudsstelle erfolgen die Änderung der Bewertung und die Priorisierung in Absprache mit der betroffenen Behörde.

Art. 15 Projektreporting und Projektcontrolling

Das Projektreporting wird monatlich von der Projektleitung mittels Projektstatusbericht zu Handen der Auftraggeberin bzw. des Auftraggebers und der zentralen IT sichergestellt.

Das Projektcontrolling erfolgt auf Basis der Projektreportings. Bei relevanten Abweichungen in den Bereichen Termine, Kosten, Ressourcen, Risiken oder Ergebnisse kann der Projektcontrollingbericht mit Empfehlungen zu Handen der Auftraggeberin bzw. des Auftraggebers verbunden werden.

Spätestens zwei Jahre nach Projektabschluss erstellt die Projektleitung eine Projektschlussbeurteilung inklusive Projektabrechnung zu Handen der zentralen und der für das IT-Projekt verantwortlichen dezentralen IT. Bei Projekten der kantonalen Verwaltung mit einem Investitionsvolumen von mehr als 500 000 Franken ist die Projektschlussbeurteilung zusammen mit dem Revisionsbericht der kantonalen Finanzkontrolle zusätzlich dem Regierungsrat zur Kenntnisnahme zuzustellen.

Art. 16 IT-Projektportfoliocontrolling

Das IT-Projektportfoliocontrolling wird unterjährig auf Basis der Projektreportings durchgeführt.

Der Controllingbericht zum IT-Projektportfolio gibt Auskunft über den Status der im IT-Projektportfolio aufgeführten Projekte. Er enthält eine Kostenprognose für die laufende Budgetperiode und eine Kostenprognose per Fertigstellung der Projekte.

Art. 17 Anwendungsportfolio und -controlling

Über sämtliche IT-Anwendungen wird ein Anwendungsportfolio geführt. Es enthält die relevanten technischen und betrieblichen Angaben zu den IT-Anwendungen inklusive Verantwortlichkeiten und weist die Kosten für die Pflege und den Support aus.

Es dient dem Life Cycle- und Release-Management, der Kostenkontrolle, dem Erkennen von Synergien und der Reduktion der Anzahl IT-Anwendungen im Anwendungsportfolio.

Das Anwendungsportfolio wird periodisch einem Controlling unterzogen. Der Controllingbericht kann mit Empfehlungen zu Handen der für die IT-Anwendung verantwortlichen zentralen bzw. dezentralen IT verbunden werden.

Art. 18 IT-Sicherheit

Der Schutz der IT-Mittel richtet sich nach anerkannten Standards, der Schutz der damit bearbeiteten Personendaten nach dem Datenschutzgesetz[3] und der Verordnung über die Informationssicherheit von Personendaten[4]*

Die IT-Mittel sind einer regelmässigen Überprüfung zu unterziehen.

Audit- und Controllingberichte zur IT-Sicherheit können mit verbindlichen Auflagen zu Handen der verantwortlichen zentralen bzw. dezentralen IT verbunden werden.

Art. 19 IT-Risikomanagement

Basis des IT-Risikomanagements bilden die Risikolisten der zentralen und dezentralen IT. Diese führen die ermittelten IT-Risiken, deren Bewertung und die zugehörigen Massnahmen zur Risikobewältigung auf.

Der Risikocontrollingbericht beurteilt die relevanten Risiken der zentralen und dezentralen IT, schlägt Massnahmen zu deren Bewältigung vor und zeigt die Veränderungen gegenüber der Vorperiode auf.

Art. 20 Business Continuity Management

Das Business Continuity Management umfasst Richtlinien (Policy), Business Continuity Planning und Krisenmanagement. Das Business Continuity Management erfolgt nach anerkannten Standards.

Art. 21 IT-Servicemanagement

Das IT-Servicemanagement mit Kundenbetreuung, Betrieb der IT-Infrastruktur, Betrieb der IT-Anwendungen und Service Desk erfolgt nach anerkannten Standards.

Der IT-Servicekatalog richtet sich nach den Anforderungen der dezentralen IT und enthält Informationen zu den verfügbaren IT-Services.

IT-Services werden intern in der Kosten- und Leistungsrechnung weiterverrechnet, sofern sie mit einem vertretbaren Aufwand verursachergerecht zugeordnet werden können.

Art. 22 Inventar, Vertrags- und Lizenzmanagement

Verträge sind entsprechend den Vorlagen und unter Berücksichtigung der allgemeinen Geschäftsbedingungen der Schweizerischen Informatikkonferenz auszugestalten.

Die IT-Verträge, die IT-Mittel und die Lizenzen werden inventarisiert und bewirtschaftet.

5. Zuständigkeiten

Art. 23 Regierungsrat

Der Regierungsrat hat folgende Aufgaben und Kompetenzen:

  1. Erlass der IT-Strategie;
  2. Genehmigung der IT-Governance;
  3. Beschlussfassung über das IT-Projektportfolio.

Art. 24 Finanzdirektion

Die Finanzdirektion ist verantwortlich für sämtliche Belange der kantonalen IT, soweit die Aufgaben nicht durch Gesetz oder Verordnung einer anderen Stelle übertragen sind.

Sie hat folgende Aufgaben und Kompetenzen:

  1. Führung der IT und Genehmigung der IT-Gesamtplanung;
  2. Verabschiedung der IT-Strategie, des IT-Projektportfolios sowie des Budgets und Finanzplans der kantonalen Verwaltung zu Handen des Regierungsrats;
  3. Erlass von Weisungen zur IT. Soweit Weisungen zur IT die Justiz, die Datenschutzstelle oder die Ombudsstelle betreffen, erfolgt deren Erarbeitung und Erlass in Absprache mit dem Obergericht, dem Verwaltungsgericht, der Datenschutzstelle und der Ombudsstelle.
  4. Genehmigung von IT-Programmaufträgen und Steuerung übergreifender IT-Programme;
  5. Genehmigung der IT-Architektur, des IT-Architekturmodells und der IT-Standards;
  6. Kommunikationshoheit im gesamten IT-Bereich der kantonalen Verwaltung;

Art. 25 AIO

Das AIO ist verantwortlich für die zentrale IT. Diese Verantwortung umfasst:

  1. die Ausgestaltung und den Einsatz der IT-Infrastruktur unter Berücksichtigung zeitgemässer Arbeitsformen;
  2. die Prozess- und Anwendungsverantwortung für die Basis-, Standard- und AIO-eigenen Fachanwendungen sowie die zugewiesenen Kantonsanwendungen;
  3. die technische Verantwortung für alle IT-Anwendungen;
  4. die Planung und Umsetzung der Datenlogistik;
  5. die Ausgestaltung des Kompetenzzentrums Projektmanagement und des Kompetenzzentrums IT-Beschaffungen.

Das AIO hat folgende Aufgaben und Kompetenzen:

  1. Erarbeitung, Umsetzung und Überprüfung der IT-Strategie;
  2. Erstellung der IT-Gesamtplanung;
  3. Erstellung des Budgets und Finanzplans für IT-Vorhaben und IT-Projekte;
  4. Erstellung des Budgets und Finanzplans für den Betrieb und die Wartung der IT-Infrastruktur sowie den Betrieb und die Pflege der Basis-, Querschnitts- und eigenen Fachanwendungen;
  5. Erarbeitung einer Liste der geschäftskritischen IT-Anwendungen zu Handen des Informatikboards;
  6. Sicherstellung des Business Continuity Managements für die IT-Infrastruktur, die Basis-, Standard- und eigenen Fachanwendungen sowie die Datenlogistik;
  7. Ausgestaltung der Rollen für die Bereiche IT-Controlling, -Architektur und -Sicherheit;
  8. Regelmässige Überprüfung und Sicherstellung der IT-Sicherheit für die IT-Infrastruktur, Basis- und Querschnittsanwendungen, eigene Fachanwendungen und zugewiesene Kantonsanwendungen;
  9. Überprüfung der IT-Sicherheit inklusive Beantragung von Audits;
  10. Umsetzung der IT-Architektur, der IT-Standards und der IT-Sicherheit sowie Prüfung deren Einhaltung in IT-Projekten und IT-Anwendungen;
  11. Erfassung und Bewertung von IT-Risiken sowie Definition und Umsetzung von Massnahmen zur Risikobewältigung;
  12. Führung und Bewirtschaftung des IT-Projektportfolios und des Anwendungsportfolios;
  13. Überprüfung der Bewertung von IT-Vorhaben, welche ins IT-Projektportfolio aufgenommen werden sollen;
  14. Priorisierung von IT-Vorhaben und IT-Projekten im IT-Projektportfolio;
  15. Planung und Durchführung von IT-Vorhaben und IT-Projekten im Bereich IT-Infrastruktur, Basisanwendungen, eigene Fachanwendungen, Standardanwendungen und zugewiesene Kantonsanwendungen inklusive Submissions- und Vertragswesen;
  16. Stellung mindestens einer IT-Teilprojektleitung bei allen IT-Projekten, die im IT-Projektportfolio aufgeführt sind;
  17. Erarbeitung von Controllingberichten zum Anwendungsportfolio zusammen mit den Informatikbeauftragten sowie von Controllingberichten zum IT-Projektportfolio;
  18. Erarbeitung des Controllingberichts zu den IT-Risiken;
  19. Unterstützen der dezentralen IT bei der Beschaffung von Fachanwendungen und zugewiesenen Kantonsanwendungen;
  20. Führung einer Kontrolle über die erfolgten Projektschlussbeurteilungen und Projektabrechnungen;
  21. Erlass von Vorgaben zum Projektreporting und Erarbeitung von Projektcontrollingberichten;
  22. Erarbeitung des IT-Servicekatalogs und Verrechnung erbrachter IT-Leistungen;
  23. Betrieb des IT-Servicemanagements mit Kundenbetreuung, IT-Infrastruktur, IT-Anwendungen und zentralem Service Desk;
  24. Inventarisierung der IT-Verträge, IT-Mittel und Lizenzen;
  25. Erstellung und Pflege einer zentralen Datenbank für das Vertrags- und Lieferantenmanagement und Unterstützung der dezentralen IT bei der Bewirtschaftung der Verträge;
  26. Entscheid über Ausnahmebewilligungen gemäss den §§ 5 Abs. 2 und 13 Abs. 3.

Art. 26 Direktionen, Staatskanzlei, Obergericht, Verwaltungsgericht, Datenschutzstelle und Ombudsstelle

Die Direktionen, die Staatskanzlei, das Obergericht, das Verwaltungsgericht, die Datenschutzstelle und die Ombudsstelle sind verantwortlich für die dezentrale IT. Diese Verantwortung umfasst:

  1. die Erstellung von Budget und Finanzplan für die Wartung der eigenen IT-Infrastruktur sowie den Betrieb und die Pflege der eigenen Fachanwendungen;
  2. die Planung und Durchführung von IT-Vorhaben und -Projekten für eigene Fachanwendungen, zugewiesene Kantonsanwendungen inklusive Submissions- und Vertragswesen;
  3. die Prozess- und Anwendungsverantwortung für eigene Fachanwendungen und zugewiesene Kantonsanwendungen;
  4. das IT-Risikomanagement in ihrem Zuständigkeitsbereich;
  5. die regelmässige Überprüfung und Sicherstellung der IT-Sicherheit für eigene Fachanwendungen und zugewiesene Kantonsanwendungen.

Art. 27 Informatikboard

Das Informatikboard setzt sich zusammen aus:

  1. der Amtsleitung des AIO (Vorsitz) und
  2. den Informatikbeauftragten der Direktionen, der Staatskanzlei sowie des Obergerichts und des Verwaltungsgerichts.

Es hat folgende Aufgaben und Kompetenzen:

  1. Verabschiedung der IT-Strategie, des Budgets und Finanzplans sowie des IT-Projektportfolios zu Handen der Finanzdirektion;
  2. Festlegung des Rasters zur Bewertung von IT-Vorhaben;
  3. Entscheid über die Aufnahme von IT-Vorhaben ins IT-Projektportfolio und deren Bewertung;
  4. Entscheid über die Priorisierung der im IT-Projektportfolio aufgeführten IT-Vorhaben und -Projekte;
  5. Initialisierung übergreifender IT-Projekte;
  6. Delegation einer Vertretung in den Projektausschuss übergreifender IT-Projekte;
  7. Verabschiedung der Liste der geschäftskritischen IT-Anwendungen;
  8. Verabschiedung der IT-Architektur, des IT-Architekturmodells und der IT-Standards zu Handen der Finanzdirektion;
  9. Genehmigung von Controllingberichten zum IT-Projekt- und Anwendungsportfolio, zur IT-Sicherheit und zu den IT-Risiken;
  10. Genehmigung von IT-Sicherheitsstandards;
  11. Aufnahme einer IT-Anwendung in den Katalog der Kantonsanwendungen und Zuweisung der Prozess- und Anwendungsverantwortung.

Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.

Art. 28 Architekturboard

Das Architekturboard setzt sich zusammen aus:

  1. der IT-Architektin bzw. dem IT-Architekten des AIO (Vorsitz),
  2. den Abteilungsleitungen Projekte, Operation sowie Services des AIO,
  3. einer Vertretung der GIS-Kommission,
  4. der beauftragten Person für E-Government,
  5. einer Vertretung des Staatsarchivs,
  6. einer Vertretung des Dienstes Informatik, Communication und Technik der Zuger Polizei,
  7. einer IT-Vertretung der kantonalen Schulen,
  8. einer IT-Vertretung der Einwohnergemeinden und
  9. einer externen Spezialistin bzw. einem externen Spezialisten (beratende Stimme).

Es hat folgende Aufgaben und Kompetenzen:

  1. Erarbeitung der IT-Architektur, des IT-Architekturmodells und der IT-Standards;
  2. Initialisierung von Architekturprojekten.

Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.

Art. 29 Security Board

Das Security Board setzt sich zusammen aus:

  1. der bzw. dem Sicherheitsbeauftragten des AIO (Vorsitz),
  2. der Leitung Operation des AIO,
  3. einer Vertretung des Dienstes Informatik, Communication und Technik der Zuger Polizei,
  4. der bzw. dem Datenschutzbeauftragten,
  5. einer Vertretung der kantonalen Schulen und
  6. einer Vertretung der Einwohnergemeinden.

Es hat folgende Aufgaben und Kompetenzen:

  1. Erarbeitung von Weisungen zur Gewährleistung der Informationssicherheit sowie von Standards zur IT-Sicherheit;
  2. Initialisierung von Audits, Erarbeitung von Controllingberichten und Erteilung verbindlicher Auflagen zur IT-Sicherheit;
  3. Initialisierung von Sicherheitsprojekten;
  4. Festlegung von Massnahmen zur Abwehr von Cyber Angriffen;
  5. Durchführung von Schulungen zur IT-Sicherheit.

Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.

Art. 30 Project Board

Das Project Board setzt sich zusammen aus:

  1. der Leitung Projektmanagement des AIO (Vorsitz),
  2. der Leitung Operation des AIO,
  3. Projektleitenden von im IT-Projektportfolio aufgeführten IT-Projekten und
  4. der IT-Projektcontrollerin bzw. dem IT-Projektcontroller des AIO (beratende Stimme).

Es hat folgende Aufgaben und Kompetenzen:

  1. Sammlung und Bewertung von Ideen für IT-Vorhaben und -Projekte im IT-Projektportfolio;
  2. Einforderung von Unterlagen zur Erkennung und Überwachung von Abhängigkeiten und/oder Synergien zwischen Projekten;
  3. Vornahme einer Gesamtrisikobeurteilung der laufenden Projekte und Abgabe von Empfehlungen zu Handen der Projektleitenden;
  4. Weiterentwicklung der Methoden und Hilfsmittel im Projektmanagement und Verabschiedung entsprechender Standards zu Handen des Kompetenzzentrums Projektmanagement.

Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.

Art. 31 Change Advisory Board

Das Change Advisory Board setzt sich zusammen aus:

  1. der Change Managerin bzw. dem Change Manager des AIO (Vorsitz),
  2. mindestens einer Abteilungsleitung des AIO,
  3. der bzw. dem Sicherheitsbeauftragten des AIO und
  4. den jeweiligen Change Ownern.

Es hat folgende Aufgaben und Kompetenzen:

  1. Planung und Koordination von Anpassungen an IT-Mitteln;
  2. Genehmigung, Rückweisung und Verschiebung von Changes.

Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.

Art. 32 Informatikbeauftragte

Die Informatikbeauftragten der Direktionen, der Staatskanzlei, des Obergerichts und des Verwaltungsgerichts haben folgende Aufgaben und Kompetenzen:

  1. Umsetzung der IT-Strategie, der IT-Architektur und der IT-Standards;
  2. Koordination von Budget und Finanzplan für IT-Vorhaben und -Projekte zu Handen der zentralen IT;
  3. Koordination von Budget und Finanzplan für die Wartung der dezentralen IT-Infrastruktur sowie den Betrieb und die Pflege der dezentralen Fachanwendungen zu Handen der dezentralen IT;
  4. Koordination und Unterstützung der Planung und Durchführung von IT-Vorhaben und -Projekten für Fachanwendungen und zugewiesene Kantonsanwendungen;
  5. Meldung von IT-Vorhaben, welche ins IT-Projektportfolio aufgenommen werden sollen inklusive Bewertungsvorschlag;
  6. Erarbeitung von Controllingberichten zum Anwendungsportfolio zusammen mit der zentralen IT;
  7. Erfassung und Bewertung von IT-Risiken sowie Definition und Umsetzung von Massnahmen zur Risikobewältigung;
  8. Mitwirkung im Informatikboard.

Art. 33 Prozessverantwortliche

Die Prozessverantwortlichen haben folgende Aufgaben und Kompetenzen:

  1. Sicherstellung der optimalen Unterstützung der Geschäftsprozesse durch Fach- und Kantonsanwendungen;
  2. Sicherstellung der Business Continuity Planung für Fach- und Kantonsanwendungen;
  3. Initiierung von und Mitarbeit bei Anpassungen an Fach- und Kantonsanwendungen;
  4. Festlegung von Verfügbarkeitsanforderungen und von notwendigen technischen und organisatorischen Massnahmen zur Gewährleistung der IT-Sicherheit.

Art. 34 Anwendungsverantwortliche

Die Anwendungsverantwortlichen haben folgende Aufgaben und Kompetenzen:

  1. Sicherstellung der Betreuung und Pflege für Fach- und Kantonsanwendungen;
  2. Überwachung des Betriebs und der Pflege von Fach- und Kantonsanwendungen;
  3. Sicherstellung der optimalen Unterstützung der Geschäftsprozesse durch IT-Anwendungen;
  4. Sicherstellung der Weiterentwicklung von IT-Anwendungen;
  5. Mitwirkung bei der Planung und Durchführung von IT-Vorhaben und -Projekten in leitender Funktion;
  6. Mitwirkung beim Business Continuity Planning und der Erstellung der Betriebshandbücher;
  7. Durchführung von Schulungen für IT-Anwendungen;
  8. Umsetzung von IT-Sicherheitsmassnahmen;
  9. Zustellung einer Kopie aller abgeschlossenen IT-Verträge an die zentrale IT.

Art. 35 Technisch Verantwortliche

Die technisch Verantwortlichen haben folgende Aufgaben und Kompetenzen:

  1. Sicherstellung des zuverlässigen und sicheren Betriebs der für die IT-Anwendungen erforderlichen IT-Infrastruktur;
  2. Überwachung des Betriebs inklusive Backup;
  3. Ergreifung von Massnahmen gemäss Vorgaben des IT-Servicemanagements;
  4. Integration der IT-Anwendungen in die IT-Infrastruktur inklusive Sicherstellung der Schnittstellen.

6. Übergangs- und Schlussbestimmungen

Art. 36 Zentralisierung

Die von der dezentralen IT erbrachten IT-Leistungen, welche künftig zentralisiert werden, sind bis 31. Dezember 2022 an die zentrale IT zu übertragen. Der Regierungsrat regelt die Einzelheiten.

Art. 37 Dezentrale Leistungserbringung

Die vor Inkrafttreten dieser Verordnung von der Zuger Polizei beschafften polizeispezifischen IT-Mittel können ohne Ausnahmebewilligung der Finanzdirektion weiterbetrieben werden.

Egress

GS 2018/039

Änderungstabelle - Nach Beschluss

Beschluss Inkrafttreten Element Änderung GS Fundstelle
13.11.2018 01.01.2019 Erlass Erstfassung GS 2018/039
15.12.2020 19.12.2020 § 12 Titel geändert GS 2020/089
15.12.2020 19.12.2020 § 18 Abs. 1 geändert GS 2020/089
15.12.2020 19.12.2020 § 29 Abs. 2, a) geändert GS 2020/089

Änderungstabelle - Nach Artikel

Element Beschluss Inkrafttreten Änderung GS Fundstelle
Erlass 13.11.2018 01.01.2019 Erstfassung GS 2018/039
§ 12 15.12.2020 19.12.2020 Titel geändert GS 2020/089
§ 18 Abs. 1 15.12.2020 19.12.2020 geändert GS 2020/089
§ 29 Abs. 2, a) 15.12.2020 19.12.2020 geändert GS 2020/089