Die fortschreitende Digitalisierung der Behörden bietet Gemeinden wie Bürgern viele Möglichkeiten. Sie macht aber auch ein durchdachtes Informationssicherheitskonzept nötig, dessen Umsetzung für eine angemessen sichere Verarbeitung der Informationen sorgt. Die Gemeinde Kissing entschied sich für ISIS12.
Das war auch für die Gemeinde Kissing ausschlaggebend, als man sich zur Steuerung, Überwachung und Dokumentation der Informationssicherheit für die Implementierung des Informationssicherheitsmanagementsystems (ISMS) ISIS12 entschied. Damit schuf die Gemeinde Kissing eine solide Grundlage für stabile, digitale Arbeitsprozesse und einen sicheren Umgang mit Daten. Durch ISIS12 wird die Implementierung von geeigneten organisatorischen und technischen Sicherheitsmaßnahmen unterstützt bzw. weiter ausgeprägt. Dies trägt in Folge auch zu einem besseren Schutz vor Cyberangriffen bzw. zu einem effektiveren Umgang mit Angriffsszenarien bei. Und getreu ihrem Motto „Kissing – Eine fortschrittliche Gemeinde“ geht die Gemeinde Kissing in diesem Thema noch einen Schritt weiter und lässt sich ihr ISMS zusätzlich extern zertifizieren.
Situation
Seit dem 01.01.2019 sind bayerische Kommunen nach Artikel 11 BayEGovG dazu verpflichtet, ein Informationssicherheitskonzept vorzuweisen und einen Informationssicherheitsbeauftragten (ISB) zu benennen, der die Umsetzung des Konzepts sicherstellt. Dies gilt natürlich auch für die Gemeinde Kissing, bei der bereits viele Prozesse digital ablaufen. Informationssicherheit ist daher ein wichtiges Thema. „Uns war klar: Wir müssen uns intensiv mit dem Thema auseinandersetzen, um unserer großen Verantwortung gerecht zu werden“, sagt Ingeborg Köhler, Informationssicherheits-beauftragte und Datenschutzkoordinatorin der Gemeinde Kissing.
Herausforderung
Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) ist ein umfangreiches Projekt und nicht im Vorbeigehen zu erledigen. „Wir haben sehr schnell die Komplexität dieses Projektes „Implementierung eines ISMS“ erkannt“, weiß Frau Köhler, „und daher einen erfahrenen externen Dienstleister zur Unterstützung gesucht“. Wie Kissing geht es vielen Gemeinden. Für eine interne Umsetzung dieser verantwortungsvollen Aufgabe fehlen meist die Ressourcen. Denn für ein ISMS ist es nicht nur notwendig, Leitlinien zu erstellen und die IT-Struktur zu analysieren. Auch eine recht aufwendige Dokumentation ist erforderlich, um am Ende die richtige Umsetzung nachweisen zu können.
Lösung: ISIS12 für die Gemeinde Kissing
Die Gemeinde Kissing beschloss daher, ihr internes Know-How zum Thema Informations-sicherheit durch die Unterstützung des externen Dienstleisters fly-tech aus Friedberg zu ergänzen. Fly-tech konnte neben fundiertem Wissen rund um das Thema Informationssicherheit auch Kenntnisse über die kommunalen Besonderheiten und Fachverfahren mitbringen.
Gemeinsam mit ihr wurde als geeignetes ISMS ISIS12 identifiziert. Durch ISIS12 wird ein ISMS in 12 Schritten eingeführt und die erfolgreiche Umsetzung durch ein Abnahme-Audit oder ein Zertifizierungs-Audit am Schluss offiziell bestätigt. Der gesetzlichen Verpflichtung wäre mit einem Abnahme-Audit schon genüge getan. Doch die Gemeinde Kissing beschloss, noch einen Schritt weiterzugehen und entschied sich für ein Zertifizierungs-Audit von ISIS12. „Die Einführung von ISIS12 ist ein weiterer wichtiger Schritt in Richtung einer angemessenen Informationssicherheit. Ein ISMS fordert auch, dass die Gemeinde regelmäßig die nachhaltige Umsetzung und Qualitätssicherung prüft und optimiert. Und genau dabei unterstützt uns das zyklische externe Zertifizierungs-Audit. Denn es ermöglicht uns die Qualität unserer ISMS-Prozesse extern gegenprüfen zu lassen“, erklärt Ingeborg Köhler. Bei dieser 2‑tägigen externen Prüfung durchleuchten zugelassene, unabhängige ISIS12-Auditoren das implementierte ISMS. Und vergeben, bei Bestehen, das offizielle ISIS12-Zertifikat.
Resultat
So war es auch bei der Gemeinde Kissing, als im Juni 2021 das externe Zertifizierungs-Audit erfolgreich bestanden wurde. In den nächsten 3 Jahren folgen nun zwei Überwachungs-Audits und am Ende eine Re-Zertifizierung. Damit wird sichergestellt, dass das ISMS kontinuierlich weiterentwickelt und optimiert wird.
„Natürlich wurde bei uns auch schon vor der ISIS12‑Einführung Informationssicherheit gelebt.“ erinnert sich Frau Köhler. „Aber durch ISIS12 sind wir heute auf einem ganz anderen Niveau.“
Für weitere Informationen geht es hier zu unserer CISIS12-Infoseite