Am 6. Januar 2010 wurde im hessischen Staatsanzeiger auf S. 106 die Informationssicherheitsleitlinie für die Hessische Landesverwaltung veröffentlicht.
Diese Informationssicherheitsleitlinie ist allen Beschäftigten in geeigneter Weise bekannt zu geben. Auf der Grundlage dieser Leitlinie haben die Ressorts ihre Informationssicherheit umzusetzen.
Als Ziele werden dort festgelegt:
3.1
Alle Beschäftigten gewährleisten die Informationssicherheit durch ihr verantwortliches Handeln und halten die für die Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein.3.2
Für den ITK-Einsatz sind die Sicherheitsziele Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität und weiter die Ziele Verbindlichkeit und Verkehrsfähigkeit im jeweils erforderlichen Maße zu erreichen. Die daraus abgeleiteten Sicherheitsmaßnahmen sind auch dann anzuwenden, wenn sich daraus Beeinträchtigungen für die ITK-Nutzung ergeben.3.3
Die Sicherheit der ITK-Verfahren ist neben der Leistungsfähigkeit und Funktionalität zu gewährleisten. Bleiben im Einzelfall trotz der Sicherheitsvorkehrungen Risiken untragbar, ist an dieser Stelle auf den ITK-Einsatz zu verzichten.
Diese Ziele sollen insbesondere durch folgende Maßnahmen errreicht werden:
4.1
Für bereits betriebene und für geplante Informations- und Telekommunikationstechnik sind IT-Sicherheitskonzepte zu erstellen. Im Rahmen dieses Verfahrens sind die personalvertretungsrechtlichen Beteiligungsrechte zu wahren.4.2
Um den möglichen Risiken und Schäden vorzubeugen, sind rechtliche, organisatorische, technische, personelle und infrastrukturelle Maßnahmen zur Informationssicherheit auf Grundlage einer Bewertung umzusetzen.4.3
Die Verantwortlichen haben bei Verstößen und Beeinträchtigungen die zur Aufrechterhaltung des ITK-Betriebes und der Informationssicherheit geeigneten und angemessenen Maßnahmen zu ergreifen.4.4
Der Zugriff auf ITK-Systeme, -Anwendungen und Daten und Informationen ist auf den unbedingt erforderlichen Personenkreis zu beschränken. Jeder/jede Bedienstete erhält nur auf diejenigen Daten und Informationen die Zugriffsberechtigungen, die zur Erfüllung der dienstlichen Aufgaben erforderlich sind.4.5
Sofern Verfahren und Tools eingesetzt werden, sind sie nach dem jeweiligen Stand der Technik auszuwählen und einzusetzen.4.6
Die für die Umsetzung der Informationssicherheitsmaßnahmen erforderlichen Ressourcen und Investitionsmittel sind bereitzustellen.4.7
Die Wirksamkeit der Sicherheitsmaßnahmen ist im Sinne eines kontinuierlichen Verbesserungsprozesses regelmäßig zu kontrollieren, zu dokumentieren und weiterzuentwickeln.
Ahja!
Die Leitlinie kann hier auf den Seiten des Hessenrechts eingesehen werden.