Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Information/Kommunikation

Bezug: ²²

a) Gem. RdErl. v. 9.11.2016 (Nds. MBl. S. 1193) - VORIS 20500 -

b) Gem. RdErl. v. 5.5.2021 (Nds. MBl. S. 1075), zuletzt geändert durch Gem. RdErl. v. 2.11.2022 (Nds. MBl. S. 1530).

1. Gegenstand und Geltungsbereich ²²

1.1 Diese Informationssicherheitsrichtlinie beschreibt die risikobasierte Konzeption der Informationssicherheit von Services, Fachverfahren und Sicherheitsdomänen (ISRL-Konzeption). Sie legt auf Grundlage der Leitlinie zur Gewährleistung der Informationssicherheit ( ISLL) - Bezugserlass - Mindestanforderungen an die risikoorientierte Vorgehensweise sowie an die Dokumentenstruktur von Sicherheitskonzepten und von Risikobeschreibungen fest. Sie dient dem Zweck, Risiken für die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit zu erkennen und angemessen zu behandeln, sodass Schäden für die Informationen der niedersächsischen Landesverwaltung vermieden und Risiken gesteuert und verantwortet werden können.

1.2 Ziel der ISRL-Konzeption ist es, die Konzeptionen von Services, Fachverfahren und Sicherheitsdomänen mit ihren sonstigen Verwaltungsaufgaben in der niedersächsischen Landesverwaltung ressortübergreifend zu etablieren und fortlaufend zu verbessern.

1.3 Die ISRL-Konzeption gilt im gesamten Geltungsbereich der Leitlinie für die Gewährleistung der Informationssicherheit ( ISLL) (Nummer 1.1 des Bezugserlasses).

1.4 Die ISRL beschreibt in Nummer 5.3 mit dem risikoorientierten Vorgehensmodell die methodische Vorgehensweise bei der Erstellung von Sicherheitskonzepten. Neben diesem risikoorientierten Vorgehensmodell ist die Erstellung von Sicherheitskonzepten nach den Vorgaben des BSI-Standards 200-2 in der jeweils geltenden Fassung ebenso zulässig.

1.5 Die ISRL-Konzeption findet keine Anwendung, soweit für einzelne Betrachtungsgegenstände oder Organisationen die Pflicht besteht, eine von Nummer 1.4 abweichende Vorgehensweise einzusetzen. Die Abweichung wird der Behördenleitung und der oder dem Informationssicherheitsbeauftragten der Landesverwaltung (CISO) bekannt gegeben.

1.6 Ist bei der Erstellung eines Sicherheitskonzepts nach Nummer 1.4 oder 1.5 eine Risikoanalyse erforderlich, sind die Anforderungen der Nummer 5.4 entsprechend anzuwenden. Zudem findet Nummer 5.5 stets Anwendung.

2. Begriffsbestimmungen ²²

Für Begriffsbestimmungen zur einheitlichen Begriffsdefinition im Informationsmanagement des Landes Niedersachsen wird auf den Bezugserlass zu b verwiesen.

3. Organisatorische und technische Maßnahmen der Behördenleitung ²²

Die Behördenleitung ist im Rahmen ihrer Zuständigkeit für die Gewährleistung der Informationssicherheit verantwortlich. Zur Umsetzung der ISRL-Konzeption veranlasst die Behördenleitung die notwendigen organisatorischen und technischen Maßnahmen. Insbesondere entscheidet sie über die nach Nummer 1.4 oder 1.5 anzuwendende Vorgehensweise bei der Erstellung des Sicherheitskonzepts, sofern keine einheitliche Vorgehensweise für die Sicherheitsdomäne festgelegt wurde.

Soweit sichergestellt ist, dass die Sicherheitsanforderungen der Nummer 5 vollständig umgesetzt werden, ist der Behördenleitung die weitere Ausgestaltung der Maßnahmen in Art und Umfang freigestellt.

4. Innerbehördliche Zuständigkeit und Organisation

Die Behördenleitung legt die innerbehördlichen Rollen mit ihren Zuständigkeiten (zuständigen Stellen) für die Umsetzung der ISRL-Konzeption in eigener Zuständigkeit fest. Die Aufgabenzuweisung wird dokumentiert. Sie stellt sicher, dass ein strukturierter Prozess für die Konzeption der Informationssicherheit etabliert und kontinuierlich verbessert wird.

5. Sicherheitsanforderungen

5.1 Aufgaben

5.1.1 Die Behördenleitung veranlasst die risikobasierten Konzeptionen der Services, Fachverfahren und sonstigen Verwaltungsaufgaben ihres Zuständigkeitsbereichs. Sie lässt diese Konzeptionen umsetzen und dokumentieren.

5.1.2 Die Behördenleitung sorgt für eine Ermittlung und Priorisierung aller Services, Fachverfahren und sonstigen Verwaltungsaufgaben im Rahmen ihrer Zuständigkeit. Sie legt für die Priorisierung Kriterien fest.

5.1.3 Die jeweils zuständigen Stellen für die Konzeptionen zu Services, Fachverfahren und sonstigen Verwaltungsaufgaben initiieren diese und führen sie durch.

5.1.4 Die oder der Informationssicherheitsbeauftragte der Sicherheitsdomäne überwacht die Vorgehensweise zu den Konzeptionen sowie die daraus resultierende Unterrichtung der Leistungsempfänger zu den Servicerisiken und Fachverfahrensrisiken.

5.1.5 Im Rahmen der Zuständigkeit gemäß Nummer 5.1.3 kann eine andere Stelle innerhalb oder außerhalb der Behörde mit der Konzeption oder mit einzelnen Arbeitsschritten dazu (z.B. Konzepterstellung) beauftragt werden. Dazu wird der Auftragnehmer vom Auftraggeber auf die Einhaltung der Sicherheitsanforderungen der Nummern 5.3 bis 5.5 verpflichtet. Die Beauftragungen werden dokumentiert.

5.2 Verantwortlichkeiten