Lexipedia

Decision

RRB Nr. 795/2019

Allgemeine Informationssicherheitsrichtlinie, Neuerlass

September 3, 2019German4 min

Source zh.ch

Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 3. September 2019

795. Allgemeine Informationssicherheitsrichtlinie (AISR)

Erwägungen

(Erlass) Das Gesetz über die Information und den Datenschutz vom 12. Februar 2007 (IDG; LS 170.4) verpflichtet die öffentlichen Organe unter dem Titel «Informationssicherheit», Informationen durch angemessene orga- nisatorische und technische Massnahmen zu schützen (§ 7 Abs. 1 IDG). Diese Massnahmen dienen den Schutzzielen Vertraulichkeit, Unversehrt- heit, Verfügbarkeit, Zurechenbarkeit und Nachvollziehbarkeit (vgl. § 7 Abs. 2 IDG). Sie richten sich nach der Art der Information, nach Art und Zweck der Verwendung und nach dem jeweiligen Stand der Technik (§ 7 Abs. 3 IDG). Mit Beschluss Nr. 1229/2016 ermächtigte der Regierungsrat die Direk- tion der Justiz und des Innern zur Durchführung einer Vernehmlassung zum Entwurf einer Verordnung über die Informationsverwaltung und -sicherheit. In der Vernehmlassung wurden Umfang und Ausgestaltung der Verordnung mehrheitlich positiv beurteilt. Zugleich bemängelten jedoch vereinzelte Teilnehmende, insbesondere der Datenschutzbeauf- tragte, die deutliche Verminderung der Regelungstiefe im Bereich der In- formationssicherheit. Der Regierungsrat trägt beiden Rückmeldungen Rechnung: Zum einen hält er an einer übersichtlichen, auf das Wesent- liche beschränkten und allgemein verständlichen Verordnungsregelung fest (vgl. RRB Nr. 794/2019). Zum anderen führt er diese Regelung mit einer Allgemeinen Informationssicherheitsrichtlinie (AISR) für die kan- tonale Verwaltung (d. h. die Direktionen, die Staatskanzlei, die Bezirks- verwaltung und die unselbstständigen Anstalten) näher aus. Dieses zwei- stufige Vorgehen sorgt für verbindliche Vorgaben und gewährleistet gleich- zeitig die nötige Flexibilität für Anpassungen an technische und organi- satorische Änderungen. Entsprechend der neuen Verordnung über die Informationsverwaltung und -sicherheit bezieht sich die AISR nicht nur auf die Sicherheit im Be- reich der Informations- und Kommunikationstechnologie (IKT), sondern ganz allgemein auf die Informationssicherheit. Sie erstreckt sich damit über die elektronische Bearbeitung von Informationen hinaus auf die papierförmige und mündliche Bearbeitung und umfasst auch die Ge- bäude- und Gerätesicherheit sowie die Zuverlässigkeit des Personals. Die IKT-Sicherheit bildet jedoch eindeutig den wichtigsten Gegenstand der Richtlinie.

Die AISR legt in Anlehnung an international anerkannte Standards die Grundsätze zur Wahrung der Informationssicherheit in der kantona- len Verwaltung sowie die inhaltlichen Grundzüge der untergeordneten Regelungen fest. Sie regelt zudem den Aufbau des Informationssicher- heits-Managementsystems (ISMS) und die Organisation der Informa- tionssicherheit. Im Bereich der IKT-­Sicherheit greift sie dafür in erster Linie auf das Amt für Informatik und auf die bestehende Fachgruppe IKT-Sicherheit zurück, der die IKT-Sicherheitsbeauftragten des Kantons, der Direktionen und der Staatskanzlei angehören. Die Abstimmung der Regelungen über die gesamte kantonale Verwaltung hinweg sowie zwi- schen dem IKT-Bereich und den übrigen Bereichen wird durch das Gre- mium «Steuerung Digitale Verwaltung und IKT» (SDI) sichergestellt. Auf der Grundlage der AISR sollen für verschiedene Regelungsberei- che Besondere Informationssicherheitsrichtlinien erlassen werden, welche die Ziele und Grundsätze der AISR mit Schlüsselanforderungen ausfüh- ren. Von den Besonderen Informationssicherheitsrichtlinien sollen die- jenigen mit einem nahen Bezug zum IKT-Bereich spätestens auf Mitte 2020 und die übrigen spätestens auf Mitte 2021 in Kraft gesetzt werden. Die Richtlinien können ihrerseits Umsetzungsfristen von bis zu zwei Jah- ren vorsehen. Gestützt auf die AISR und die Besonderen Informations- sicherheitsrichtlinien sollen sodann die nötigen Basiskonfigurationen, Ver- fahren und Prozesse festgelegt werden. Zusammen werden diese Rege- lungen das ISMS der kantonalen Verwaltung bilden. Die AISR wird da- mit als formeller Rahmen die wichtigsten technischen, betrieblichen und organisatorischen Massnahmen zum Schutz von Informationen in einem einzigen, einheitlichen Regelwerk zusammenführen. Die Verantwortung für die Umsetzung dieser Regelungen wird bei den Direktionen, der Staatskanzlei, der Bezirksverwaltung und den unselbst- ständigen Anstalten liegen. Damit diese Umsetzung fachgerecht erfolgen kann, werden Schulungsmassnahmen, insbesondere für das höhere Ka- der, festgelegt werden, die in einem angemessenen Umfang obligatorisch sein werden. Ziel dieses Regelwerks ist es, die Informationssicherheit in der gesam- ten kantonalen Verwaltung nachhaltig und wirtschaftlich zu verbessern und ein durchgehend risikoadäquates Sicherheitsniveau zu erreichen. Dies soll insbesondere der Gefahr entgegenwirken, dass sich Angriffe und Bedrohungen auf elektronischem Weg innerhalb der kantonalen Verwal- tung ausbreiten können, und dadurch das Vertrauen in die Informations- sicherheit fördern. Gemäss RRB Nr. 392/2018 berät das SDI Anträge an den Regierungs- rat, welche die Umsetzung der Strategie Digitale Verwaltung zum Gegen- stand haben. Das SDI hat den Gegenstand dieses Beschlusses und des zugrunde liegenden Antrags der Finanzdirektion am 12. Dezember 2018, am 8. März 2019 und am 15. Mai 2019 vorberaten.

Dispositiv

Auf Antrag der Finanzdirektion beschliesst der Regierungsrat:

I. Es wird eine Allgemeine Informationssicherheitsrichtlinie erlassen.

II. Die Richtlinie tritt gleichzeitig mit der Verordnung über die Infor- mationsverwaltung und -sicherheit in Kraft.

III. Mitteilung an die Direktionen des Regierungsrates und die Staats- kanzlei.

Vor dem Regierungsrat Die Staatsschreiberin:

Kathrin Arioli