Verordnung über die Informationssicherheit (162.51)
Verordnung über die Informationssicherheit (162.51)
Verordnung über die Informationssicherheit
Verordnung über die Informationssicherheit (VIS) Vom 11. März 2008 (Stand 1. Januar 2013) Der Regierungsrat des Kantons Basel-Landschaft und die Geschäftsleitung des Kantonsgerichts, gestützt auf § 8 Absatz 3 des Gesetzes vom 10. Februar
2011
1 ) über die Information und den Datenschutz (Informations- und Daten - schutzgesetz, IDG), beschliessen: *
1 Allgemeine Bestimmungen
§ 1 Zweck und Zielsetzung
1 Diese Verordnung regelt den Schutz der Informatik-Systeme des Kantons vor Systemausfällen und den Schutz der mit solchen Systemen bearbeiteten In - formationen vor Verlust sowie unbefugter Kenntnisnahme und Veränderung.
2 Oberstes Ziel ist die Kenntnis der aktuellen Risiken der Informationssicherheit und deren systematische und verhältnismässige Behandlung zu angemesse - nen Kosten.
3 Erkannte Risiken werden verwaltungsweit einheitlich bewertet und durch angemessene Massnahmen auf ein akzeptables Restrisiko beschränkt.
4 Ein existenzbedrohendes Risiko muss auf ein wirtschaftlich akzeptables Mass beschränkt werden. Erscheint dies aus technischen oder finanziellen Gründen nicht möglich, ist das Vorhaben abzulehnen oder abzubrechen.
5 Über die Zulässigkeit eines Restrisikos und dessen anzustrebende Deckung entscheiden die finanzkompetenten Stellen.
6 Risiken werden von den verantwortlichen Linienstellen getragen.
7 Die vorhandenen Risiken sind mindestens alle 3 Jahre gesamthaft zu evaluie - ren und gegebenenfalls in eine entsprechende Verbesserungsplanung einzu - bringen.
§ 2 Geltungsbereich und Abgrenzung
1 Diese Verordnung gilt für die Direktionen und ihre Dienststellen (inklusive kantonale Spitäler), die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen.
2 Sie gilt für sämtliche Informatik-Systeme und darauf bearbeitete Informatio - nen.
1) GS 1165, SGS 162 * Änderungstabellen am Schluss des Erlasses GS 36.0543
3 Soweit keine anderen Regeln bestehen, gilt sie auch für nicht mittels Informa - tik bearbeitete Informationen.
4 Bei der Zusammenarbeit mit Organisationen und Personen ausserhalb des Geltungsbereichs dieser Verordnung sind die hier festgelegten Grundsätze so - weit wie möglich vertraglich zu vereinbaren.
§ 3 Ergänzende Regelungen
1 Die Direktionen, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen können in ihrem Kompetenzbereich strengere Sicherheitsanforderun - gen festlegen.
2 Die Fachgruppe Informatik (FGI) kann einzelne Aspekte dieser Verordnung konkretisieren und entsprechende ergänzende Weisungen zur Informationssi - cherheit erlassen, insbesondere zur Regelung von anzuwendenden Verfahren, generell gültigen Mindestanforderungen und zum Umgang mit vernetzungsbe - dingten Sicherheitsrisiken.
3 Die FGI kann einzelnen dieser Verordnung unterstellten Institutionen einen erhöhten Freiheitsgrad zugestehen, solange
a. dadurch keine erhöhte Bedrohung der restlichen Institutionen entsteht;
b. ein eigenes Informationssicherheits-Managementsystem branchenübli - cher Qualität betrieben und jährlich die vorhandenen Risiken der In - formationssicherheit und die Verbesserungsplanung rapportiert werden;
c. mindestens alle drei Jahre die Angemessenheit des Managements der In - formationssicherheit und der vorhandenen Risiken durch eine unabhängi - ge Stelle zuhanden des oder der zentralen Informationssicherheitsbeauf - tragten nachgewiesen wird.
4 Der zugestandene erhöhte Freiheitsgrad kann widerrufen werden, wenn die Voraussetzungen nicht mehr erfüllt sind.
2 Begriffe und Schnittstellen der Informationssicherheit
§ 4 Leistungserbringer und Leistungsbezüger
1 Die Betreibenden der Informatik-Systeme sind die Leistungserbringenden.
2 Die Benutzenden der Informatik-Systeme sind die Leistungsbeziehenden.
1 Informationen im Sinne dieser Verordnung sind Daten jeglicher Art, die für Leistungsbeziehende oder -erbringende von Bedeutung sind.
2 Informationen werden entsprechend ihrem Schutzbedarf anhand eines Ras - ters klassifiziert. * Änderungstabellen am Schluss des Erlasses GS 36.0543
3 Die Kriterien für die Klassifizierung sind Vertraulichkeit, Integrität und Verfüg - barkeit der Informationen. Sie werden verwaltungsweit einheitlich festgelegt.
§ 6 Informatiksicherheit
1 Informatiksicherheit dient dem Schutz der elektronisch bearbeiteten In - formationen.
§ 7 Physische Sicherheit der IT-Infrastruktur (Anlagenschutz)
1 Die für den Betrieb der Informatik-Infrastruktur notwendigen physischen Ein - richtungen sind zu schützen.
§ 8 Service Level Agreements
1 Leistungsbeziehende und Leistungserbringende legen alle Anforderungen an die Dienstleistung, insbesondere auch die Anforderungen zur Gewährleistung der Informationssicherheit in einem schriftlichen Service Level Agreement fest.
2 Die Sicherheitsmassnahmen sind schriftlich festzulegen.
3 Grundsätze der Informationssicherheit
§ 9 Sicherheitsbewusstsein
1 Das Sicherheitsbewusstsein der Mitarbeitenden ist regelmässig zu schulen und eine Sicherheitskultur zu pflegen.
§ 10 Konzeptioneller Rahmen
1 Anzustreben ist ein Management der Informationssicherheit nach den Nor - men der ISO 27000 Familie.
§ 11 Wirtschaftlichkeit und Angemessenheit
1 Die Schutzmassnahmen müssen immer in einem angemessenen wirtschaftli - chen Verhältnis zum möglichen Schaden stehen.
§ 12 Projekte und Systemanpassungen
1 Im Rahmen von Projekten und Systemanpassungen hat die verantwortliche Stelle frühzeitig die Anforderungen an die Informationssicherheit festzulegen und zu berücksichtigen. Es gelten die Richtlinien gemäss der Projektführungs - methodik HERMES.
2 Ein Projekt gilt frühestens dann als abgeschlossen, wenn die Informationssi - cherheit auch während des Betriebs und bei späteren Anpassungsarbeiten in genügendem Umfang gewährleistet ist. * Änderungstabellen am Schluss des Erlasses GS 36.0543
3 Für die Betriebsfreigabe muss eine Risikobeurteilung durch eine neutrale Fachperson und eine Bestätigung der Übernahme der Restrisiken durch den Leistungsbezüger vorliegen.
§ 13 Richtlinien zur Nutzung der Informatik
1 Richtlinien und Weisungen zur Nutzung der Informatik sind durch die FGI wei - terzuentwickeln und regelmässig auf Einhaltung zu kontrollieren.
§ 14 Kostenmanagement
1 Die Kosten für die Informatiksicherheit sind Teil der Projekt- und Betriebskos - ten und dementsprechend zu budgetieren.
§ 15 Sicherheitsmassnahmen und ihre schriftliche Dokumentation
1 Sicherheitsmassnahmen sind organisatorischer, technischer oder physischer Natur.
2 Sie sind systematisch und in einem konzeptionellen Rahmen zu vollziehen sowie schriftlich zu dokumentieren.
3 Für alle Anwendungen, Projekte und Datensammlungen wird eine zentrale Liste mit sicherheitsrelevanten Informationen geführt. Der oder die Informatiksi - cherheitsbeauftragte der Direktion (DIT-SiBe) hat Einsicht in das Portfolio oder führt es selber.
§ 16 Datenschutzfreundliche Technologien
1 Bei der Beschaffung von Informatikmitteln zur Verwaltung von Personendaten ist die Datenschutzfreundlichkeit der Technologien angemessen zu berücksich - tigen.
2 Bevor Informatikmittel zu diesem Zweck beschafft werden, ist die zuständige Datenschutzbehörde anzuhören.
§ 17 Benutzerfreundlichkeit
1 Bei der Evaluation von Sicherheitslösungen wird auch deren Benutzerfreund - lichkeit bewertet.
§ 18 Zugangsbeschränkungen
1 Benutzerprofile haben den Zugang auf diejenigen Informationen zu beschrän - ken, welche für die Aufgabenerfüllung notwendig sind.
§ 19 Notfallkonzept
1 Leistungsbeziehende und Leistungserbringende erstellen je eigene Notfall - konzepte und stimmen diese aufeinander ab. * Änderungstabellen am Schluss des Erlasses GS 36.0543
2 Die Notfallkonzepte regeln das Vorgehen bei einem Ausfall von Informatik- Systemen, der länger als die definierten Verfügbarkeitsanforderungen dauert.
4 Organisation und Verantwortung
§ 20 Grundsatz
1 Alle Mitarbeitende sind im Rahmen ihrer Tätigkeiten für die Wahrung der Si - cherheit verantwortlich.
§ 21 Informationssicherheitsbeauftragte auf Stufe Kanton
1 Die Informatikplanung und -koordination (IPK) übernimmt die Aufgaben des/ der zentralen Informationssicherheitsbeauftragten (KIT-SIBE).
2 Der/die KIT-SIBE
a. koordiniert alle kantonsinternen und kantonsübergreifenden Informations - sicherheitsaspekte;
b. steht zur Überprüfung der Anforderungen und zur Aufsicht im Bereich der Informationssicherheit zur Verfügung, ist jedoch nicht für deren Durchset - zung verantwortlich;
c. stellt periodisch, mindestens aber alle 3 Jahre, einen Risikobericht und eine gesamtheitliche Massnahmenplanung zusammen;
d. koordiniert zwischen den Direktionen, der Landeskanzlei, dem Kantons - gericht und den kantonalen Schulen und stellt einheitliche Verfahren zum Umgang mit Informations- und Informatik-Sicherheit zur Verfügung.
§ 22 Informationssicherheitsbeauftragte auf Stufe Direktion
1 Jede Direktion, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen bestimmen eine Informationssicherheitsbeauftragte oder einen In - formationssicherheitsbeauftragten (DIT-SIBE).
2 Die oder der DIT-SIBE koordiniert direktionsweit im Rahmen seiner bzw. ihrer Aufgaben, Kompetenzen und Verantwortung, die Sicherheitsanliegen im Be - reich Informationssicherheit mit Schwergewicht Informatik und stimmt diese mit dem oder der zentralen KIT-SIBE ab.
§ 23 Leistungsbeziehende und Leistungserbringende
1 Die Leistungsbeziehenden legen in Abstimmung mit dem oder der DIT-SIBE die Sicherheitsanforderungen für Projekte, Anwendungen und Datensammlun - gen fest und organisieren unter Einbezug der Auftraggebenden und der Ver - tragspartner periodisch die Kontrollen der Umsetzung der Sicherheitsmassnah - men. * Änderungstabellen am Schluss des Erlasses GS 36.0543
2 Die Direktionen, die Landeskanzlei das Kantonsgericht und die kantonalen Schulen sind dafür verantwortlich, dass ihre Mitarbeitenden die zuständigen Stellen/Organe und die Abläufe der Informationssicherheit in der Kantonsver - waltung stufengerecht kennen.
3 Die Leistungserbringenden haben die von den Leistungsbeziehenden defi - nierten Vorgaben einzuhalten.
4 Die Verantwortlichen stellen sicher, dass die Sicherheitsmassnahmen beim Betrieb von Informations- und Kommunikationstechnik auf allen Systemen und für alle involvierten Personen umgesetzt werden.
5 Die Verantwortlichkeiten auf der operativen Ebene werden in den Projektver - einbarungen und in den Service Level Agreements zwischen den Leistungsbe - zügern und den Leistungserbringern detailliert festgehalten.
6 Der/die Leistungsbeziehende muss zuhanden des/der DIT-SIBE eine periodi - sche Überprüfung der vorgenommenen Umsetzung der Informatiksicherheit und der vorhandenen Sicherheitsrisiken bei sich und beim Leistungserbringer vornehmen.
§ 24 Informationsschutz
1 Die Direktionen, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen sind dafür verantwortlich, die in ihrer Zuständigkeit bearbeiteten In - formationen gemäss bestehenden Weisungen angemessen zu schützen.
§ 25 Mitarbeitende
1 Die Mitarbeitenden sind für die Einhaltung von Sicherheitsbestimmungen in ihrem Arbeitsbereich verantwortlich.
2 Als Verfassende von Informationen sind sie für deren Klassifizierung und Schutz besorgt.
§ 26 Kontinuierlichen Verbesserung
1 Die Direktionen, die Landeskanzlei, das Kantonsgericht und die kantonalen Schulen überprüfen mindestens alle 3 Jahre, ob die Sicherheitsmassnahmen angemessen sind und ob sie umgesetzt werden.
2 Die Ergebnisse werden zuhanden des/der KIT-SIBE und der Aufsichtsstelle Datenschutz rapportiert.
3 Es besteht ein kontinuierliches Verbesserungsprogramm. * Änderungstabellen am Schluss des Erlasses GS 36.0543
5 Einführung der Verordnung
§ 27 Einführung der Verordnung
1 Diese Verordnung wird schrittweise nach Massgabe der jeweils vorhandenen Risiken umgesetzt.
2 Innerhalb von 24 Monaten nach Inkrafttreten dieser Verordnung sind
a. die Organisation und die Verfahren zur Bestimmung von angemessenen Massnahmen und den vorhandenen Risiken umzusetzen;
b. Massnahmen mit sehr gutem Verhältnis von Kosten zu Nutzen zu treffen;
c. der erste Bericht zur Informationssicherheit zu erstellen;
d. die erste Fassung des kontinuierlichen Verbesserungsprogrammes zu - handen des Regierungsrates zu erstellen.
3 Die übrigen Massnahmen sind so rasch als möglich umzusetzen.
4 Der/die KIT-SIBE erarbeitet gemeinsam mit der FGI das kontinuierliche Ver - besserungsprogramm.
§ 28 Inkrafttreten
1 Diese Verordnung tritt am 30. Juni 2008 in Kraft. * Änderungstabellen am Schluss des Erlasses GS 36.0543
Änderungstabelle - Nach Beschlussdatum Beschlussdatum Inkraft seit Element Wirkung Publiziert mit
11.03.2008 30.06.2008 Erlass Erstfassung GS 36.0543
04.12.2012 01.01.2013 Ingress geändert wg. GS 37.1185 * Änderungstabellen am Schluss des Erlasses GS 36.0543
Änderungstabelle - Nach Artikel Element Beschlussdatum Inkraft seit Wirkung Publiziert mit Erlass 11.03.2008 30.06.2008 Erstfassung GS 36.0543 Ingress 04.12.2012 01.01.2013 geändert wg. GS 37.1185 * Änderungstabellen am Schluss des Erlasses GS 36.0543
Feedback