Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Gefahrenabwehr

1 Einleitung

(1) Diese Leitlinie ist das verbindliche Regelwerk zum Schutz der Informationen und zur Etablierung eines einheitlichen Sicherheitsniveaus in der hessischen Landesverwaltung. Mit der Definition von Zielen, Rahmenvorgaben, Rollen und Anforderungen legt sie die Sicherheitsstrategie der hessischen Landesverwaltung fest, um sicherzustellen, dass Informationen vertraulich, integer und verfügbar bleiben. Die Regelungen dieser Leitlinie entsprechen dem BSI-Grundschutz und setzen die Vorgaben der Informationssicherheitsleitlinie des Bundes und der Länder ¹ um.

(2) Die Informationssicherheit dient dem Schutz von Informationen vor unbefugtem Zugriff, Missbrauch, Verlust oder Zerstörung. Sie ist für die hessische Landesverwaltung zur Erfüllung ihrer Verwaltungsaufgaben unverzichtbar.

(3) Vor diesem Hintergrund ist ressort- und dienststellenübergreifend eine angemessene Etablierung der Informationssicherheit unabdingbar, wobei die Mitwirkung aller Beteiligten erforderlich ist, um gemeinsam Bedrohungen entgegenwirken zu können.

(4) Die Regelungen dieser Leitlinie werden von der oder dem zentralen Informationssicherheitsbeauftragten (Chief Information Security Officer, CISO) in Abstimmung mit den Ressorts fortgeschrieben.

(5) Soweit in dieser Leitlinie von Ressorts gesprochen wird, sind hierunter auch die Staatskanzlei und der jeweilige nachgeordnete Bereich zu verstehen.

(6) Die Betrachtung sämtlicher Themen in dieser Leitlinie erfolgt stets im Kontext der Informationssicherheit.

(7) Für die Verarbeitung personenbezogener Informationen wird auf die Datenschutzleitlinie ² der hessischen Landesverwaltung verwiesen.

(8) Die Regelungen der NIS-2 Verwaltungsvorschrift bleiben unberührt.

(9) Das Notfallmanagement im Sinne des Business Continuity Managements (BCM) wird in dieser Leitlinie inhaltlich nicht behandelt. Während beim Informationssicherheitsmanagement (ISM) die Sicherheit der schützenswerten Informationen im Rahmen des Regelbetriebs im Mittelpunkt steht, konzentriert sich das BCM auf die Aufrechterhaltung der Staats- und Regierungsfähigkeit. Im Zusammenspiel tragen ISM und BCM zur umfassenden Sicherheitsstrategie für die hessische Landesverwaltung bei.

2 Geltungsbereich

(1) Diese Leitlinie zur Informationssicherheit ist das Regelwerk für das Informationssicherheitsmanagementsystem (ISMS) der Staatskanzlei, der Landesministerien und der ihnen nachgeordneten Behörden, Einrichtungen und Landesbetriebe - im Folgenden hessische Landesverwaltung. Soweit andere Rechtsvorschriften nicht entgegenstehen gilt sie für die gesamte hessische Landesverwaltung und ist entsprechend ihrer Aufgabenverantwortung umzusetzen.

(2) Leitlinien der Ressorts bzw. der Dienststellen sind zu dieser Leitlinie ergänzende und konkretisierende Regelungen.

(3) Ressorts oder Dienststellen müssen die spezifischen Anschlussbedingungen (gemäß Kapitel 7.1.5) für die gemeinsam genutzte Infrastruktur erfüllen.

(4) Im Innenressort unterliegt aufgrund der besonderen Aufgabenstellung der Behörde sowie entsprechender Geheimschutzbelange das Landesamt für Verfassungsschutz Hessen nicht dieser Leitlinie, soweit es sich um eigenständige und unabhängige Informationstechnik handelt, die im Landesamt für Verfassungsschutz eingesetzt wird und nicht mit dem Landesdatennetz verbunden ist oder auf dieses einwirkt.

(5) Im Justizressort ist die verfassungsrechtlich abgesicherte Sonderrolle der Gerichte und Staatsanwaltschaften zu berücksichtigen. Die richterliche Unabhängigkeit ist zu wahren.

(6) Dem Hessischen Landtag, dem Hessischen Rechnungshof sowie dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit wird der Erlass einer gleichartigen oder die Anwendung dieser Informationssicherheitsleitlinie empfohlen.

(7) Die Informationssicherheitsleitlinie gilt nicht für Schulen in öffentlicher Trägerschaft sowie genehmigte und anerkannte Ersatzschulen im Sinne des Hessischen Schulgesetzes.

(8) Dienststellen, die nicht dieser Leitlinie unterliegen, müssen im Falle der Nutzung gemeinsamer Infrastruktur, IT-Systeme oder Anwendungen der hessischen Landesverwaltung Anschlussbedingungen (gemäß Kapitel 7.1.5) für deren Nutzung erfüllen.

3 Begriffsbestimmungen

(1) Die auftraggebende Stelle trägt die Gesamtverantwortung für die Umsetzung einer Verwaltungsaufgabe und begleitet den kompletten Lebenszyklus der Umsetzung, von der Projektidee bis hin zur Einstellung.

(2) Informationstechnik oder -technologie (IT) ist jedes technische Mittel zur elektronischen Verarbeitung, Übertragung oder Speicherung von Informationen.

(3) IT-Dienstleister sind die Stellen, die Anwendungen, IT-Systeme und Infrastrukturen zur Nutzung durch andere Dienststellen betreiben bzw. bereitstellen.

(4) IT-Systeme sind technische Anlagen, die der Informationsverarbeitung dienen und eine abgeschlossene Funktionseinheit bilden. Typische IT-Systeme sind Server, Clients, Mobiltelefone, Smartphones, tablets, Internet of Things-Komponenten, Router, Switche, Drucker und Firewalls.

(5) Gemäß IT-Grundschutz werden unter Infrastruktur die für die Informationsverarbeitung und die IT genutzten Gebäude, Räume, Energieversorgung, Klimatisierung und die Verkabelung verstanden. Die IT-Systeme und Netzkoppelelemente gehören nicht dazu.

(6) Eine Verwaltungsaufgabe ist eine Aufgabe, die den Geschäftsbereichen im Rahmen ihrer fachlichen Zuständigkeit verfassungsgemäß zugewiesen ist, sowie unterstützende querschnittliche Aufgaben.

(7) Ein Verwaltungsprozess besteht aus einer zielgerichteten Abfolge von Aktivitäten mit und ohne IT-Unterstützung, zur Erfüllung einer Verwaltungsaufgabe.