Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Gefahrenabwehr

1 Einleitung und Zielsetzung

Modernes Verwaltungshandeln ist in hohem Maße abhängig von zuverlässig und ordnungsgemäß funktionierender Informationsverarbeitung. Das Ziel der Informationssicherheit ist es, Informationen jeglicher Art und Herkunft zu schützen, insbesondere die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen und ihrer Verarbeitung zu gewährleisten. IT-Sicherheit als Teilmenge der Informationssicherheit konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung.

Die Digitalisierung der Verwaltungsarbeit in den Landesbehörden in Schleswig-Holstein nimmt stetig zu. Gleichzeitig ist ein stetiger Anstieg von Bedrohungen der informationsverarbeitenden Systeme festzustellen. Durch die zunehmenden Bedrohungen steigen die Anforderungen an die Gewährleistung der Informationssicherheit, wobei die Gefährdungen der Informationssicherheit sowohl technische als auch nichttechnische, insbesondere organisatorische, Aspekte umfassen. Es besteht die Herausforderung, die Informationssicherheit in allen Bereichen der Landesverwaltung aufrecht zu erhalten und im Lichte der sich ständig ändernden Gefährdungslage kontinuierlich zu verbessern und dabei den Grundsatz der Wirtschaftlichkeit zu beachten.

Die Landesregierung stellt sich dieser Herausforderung und bekennt sich mit dieser Leitlinie deutlich sichtbar zu ihrer Verantwortung für die Gewährleistung von Informationssicherheit in der Landesverwaltung.

Mit dieser Leitlinie legt die Landesregierung den übergreifenden Rahmen der Informationssicherheit verbindlich fest. Grundlage ist ein umfassendes Informationssicherheitsmanagement auf Basis des IT-Grundschutzes und der entsprechenden

Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie der entsprechenden ISO-Normenreihe zur Informationssicherheit.

Mit der vorliegenden Informationssicherheitsleitlinie wird die bisherige Informationssicherheitsleitlinie für die Landesverwaltung Schleswig-Holstein ¹ fortgeschrieben und damit zugleich den geänderten rechtlichen Rahmenbedingungen Rechnung getragen.

2 Anwendungsbereich

Diese Leitlinie gilt in der unmittelbaren Landesverwaltung Schleswig-Holstein.

Im Landesrechnungshof und beim Präsidenten des Landtages Schleswig-Holstein findet diese Leitlinie keine Anwendung. Diese Behörden können die Regelungen in ihrem Zuständigkeitsbereich jedoch für anwendbar erklären.

Diese Leitlinie findet im Bereich der Justiz keine Anwendung, sofern die Regelungen des IT-Gesetzes für die Justiz des Landes Schleswig-Holstein (ITJG) und die auf dieser Grundlage getroffenen Bestimmungen und Regelungen dem entgegenstehen.

Anderen Trägern der öffentlichen Verwaltung steht die Anwendung dieser Leitlinie offen.

Diese Leitlinie gilt als übergreifender Mindeststandard. Sie kann seitens einzelner Einrichtungen durch Regelungen hinsichtlich höherer Anforderungen oder weiterer Maßnahmen ergänzt werden. Sofern sich aus bestehenden Regelungen zusätzliche oder weitergehende Anforderungen an die Informationssicherheit ergeben, bleiben diese unberührt.

3 Rechtliche Grundlagen

Die vom IT-Planungsrat auf Grundlage des IT-Staatsvertrags verabschiedete Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung ² verpflichtet die Länder zur Erstellung einer Informationssicherheitsleitlinie und zum Aufbau eines Informationssicherheitsmanagementsystems auf Basis des IT-Grundschutzes des BSI. Durch die gemeinsame Leitlinie für Informationssicherheit von Bund und Ländern soll sichergestellt werden, dass dem jeweiligen Schutzziel angemessene und dem Stand der Technik sowie dem Grundsatz der Wirtschaftlichkeit entsprechende Sicherheitsmaßnahmen ergriffen werden, um das Eintreten von Sicherheitsvorfällen weitestgehend zu verhindern und mögliche Schäden zu minimieren. Es wird ein Sicherheitsniveau angestrebt, das festgelegten Mindestanforderungen genügt und keine hohen Risiken akzeptiert.

Für die Verarbeitung personenbezogener Daten stellen insbesondere die Vorschriften der Europäischen Datenschutzgrundverordnung ( DSGVO) seit deren Inkrafttreten am 25. Mai 2018 und das Bundes- sowie das Landesdatenschutzgesetz SH ( LDSG) ergänzende Anforderungen.

Gemäß Organisationserlass ITSH (OrgErl ITSH) ³, Ziffer 4.5, koordiniert die oder der Chief Information Officer (CIO) das integrierte Sicherheitsmanagement des Landes Schleswig-Holstein. Zudem ist gemäß Ziffer 5.8 des OrgErl ITSH das Zentrale IT-Management (ZIT SH) in unmittelbarer Abstimmung mit der oder dem CIO zuständig für das integrierte Sicherheitsmanagement des Landes Schleswig-Holstein. Diese Zuständigkeit schließt Konzeption und Planung des Sicherheitsprozesses, die Erstellung, Fortschreibung und Umsetzung der IT-Sicherheitsleitlinie sowie die Leitung und Koordination des Informationssicherheitsmanagements ein. Das ZIT SH kann in Fragen der IT-Sicherheit abschließende Maßgaben erteilen und deren Umsetzung kontrollieren.

Im Sinne der ISLL wird das integrierte Sicherheitsmanagement als ressortübergreifendes Informationssicherheitsmanagement verstanden. Eine Anpassung ist im Digitalisierungsbeschleunigungsgesetz-Entwurf vorgesehen.

Die Richtlinie (EU) 2022/2555