Amtliche Mitteilung der Gemeindlichen Werke Hengersberg


Informationssicherheitsziele der Gemeindlichen Werke Hengersberg und Bekennung zur Verantwortung für die Informationssicherheit.


1. Stellenwert und Ziele der Informationssicherheit


Datenerhebung, -verarbeitung und –nutzung sind ein wichtiger Bestandteil der täglichen Arbeit bei den Gemeindlichen Werken Hengersberg. Mit dem steigenden Bekanntheitsgrad und dem stetigen Ausbau des Angebots in den Bereichen Strom, Wasser, Erdgas und Kommunikation sowie im Freizeitsektor, nehmen auch die Bedrohungen und die Zahl der potenziellen Aggressoren zu. Beeinträchtigungen im Bereich des Datengebrauchs können entscheidende Auswirkungen auf die vertraglichen Verpflichtungen zur der zur Verfügung Stellung der Leistungen sowie der Verwaltung der Gemeindlichen Werke Hengersberg haben und werden folglich materielle und immaterielle Schäden verursachen.
Diese Leitlinie legt die Grundlage für den Informationssicherheitsprozess an den Gemeindlichen Werken Hengersberg fest, die sich an den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI ISO 27001 sowie dem IT Grundschutzkatalog) orientiert. Sie hat das Ziel die nachfolgenden Grundeigenschaften von Informationen zu wahren:


1. Vertraulichkeit: Informationen dürfen nur dem berechtigten Personenkreis zur Verfügung stehen.


2. Integrität: Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen ist zu gewährleisten.


3. Verfügbarkeit: Möglichkeit des Datengebrauchs des berechtigten Personenkreises in dem benötigtem Zeitraum mit der erforderlichen Güte


2. Maßnahmen zur Gewährleistung der IT-Sicherheit


Entsprechend dem Schutzbedarf sind bei den Gemeindlichen Werken Hengersberg für alle Informationen , Verfahren, IT-Anwendungen und IT-Systeme Informationssicherheitsmaßnahmen zu treffen, die geeignet sind, die Grundeigenschaften von Informationen zu schützen. Diese Informationssicherheitsmaßnahmen orientieren sich wiederum an den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI ISO 27001 sowie dem IT Grundschutzkatalog) und umfassen Maßnahmen zu Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation sowie zur Notfallvorsorge. Die Notfallvorsorge umschreibt sowohl Prozesse, die den Eintritt eines Notfalls verhindern sollen, sowie Verhaltensweisen nach Eintritt eines Notfalls.
Dabei sind wirtschaftliche Betrachtungen anzustellen. Die Maßnahmen stehen in einem wirtschaftlich vertretbaren und umsetzbaren Verhältnis zum Wert der schützenwerten Informationen. Die Festlegung des Schutzbedarfs erfolgt im Rahmen des Informationssicherheitsprozesses als Teil des IT-Sicherheitskonzepts nach ISO 27001 für die Gemeindlichen Werke Hengersberg.


3. Verantwortliche und Zuständigkeiten


Der Informationssicherheitsprozess ist ein Managementprozess zur Erkennung, Beurteilung und Behandlung von Risiken, die bei der Verarbeitung und Nutzung von Informationen für die Gemeindlichen Werke Hengersberg entstehen. Die Verantwortung für den Informationssicherheitsprozess trägt die Werkleitung. Die Unternehmensleitung bestellt eine/n Informationssicherheitsbeauftragte/n, der für alle Belange der Informationssicherheit bei den Gemeindlichen Werken Hengersberg zuständig ist. Dieser ist der Werkleitung periodisch rechenschaftspflichtig. Für den Informationssicherheitsprozess ist es von wesentlicher Bedeutung, dass alle Mitarbeiter aktiv mit einbezogen werden. Dafür wird den Mitarbeitern zunächst der Aufbau der IS-Organisation mit den jeweiligen Zuständigkeiten bekannt gegeben. Weiter veranlasst der Informationssicherheitsbeauftragte Sensibilisierungsmaßnahmen die sicherstellen, dass die Unternehmensleitung und alle Mitarbeiter sich Ihrer Verantwortung beim Umgang mit Informationen bewusst sind und die Sicherheitsstrategie nach besten Kräften unterstützen.


4. Sicherung und Verbesserung der Informationssicherheit


Eine Überprüfung des Informationssicherheitsprozesses zur ständigen Verbesserung des Sicherheitsniveaus findet regelmäßig statt. Dabei werden die Wirksamkeit, Aktualität und Praktikabilität überprüft. Diese Maßnahmen werden von der Werkleitung aktiv unterstützt. Die Beschäftigten sind angehalten, mögliche Verbesserungen oder Schwachstellen an die entsprechenden Stellen weiterzugeben. Durch eine kontinuierliche Revision des Informationssicherheitskonzepts wir die Einhaltung des angestrebten Informationssicherheits- und Datenschutzniveaus sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Informationssicherheit zu verbessern und ständig auf dem aktuellen Stand zu halten.


5. Inkrafttreten


Diese Leitlinie tritt am Tag nach ihrer Veröffentlichung in Kraft.