Informationssicherheit

Informationen gelten als der Rohstoff des digitalen Zeitalters. Sie werden gesammelt, analysiert und gehandelt, oft ohne Kenntnis der betroffenen Person.

Ohne Informations- und Kommunikationstechnologie (IKT) ist die Bearbeitung der anfallenden Datenmenge nicht mehr denkbar. Zu berücksichtigen gilt es dabei der verantwortungsvolle Umgang mit den zur Bearbeitung überlassenen Daten. Unabhängig davon, wo und wie diese Informationen bearbeitet werden.

In einer sich stetig verändernden Bedrohungslandschaft schützt die Informationssicherheit die Informationswerte der der kantonalen Verwaltung Zug durch angemessene Massnahmen. Diese dienen dem Ziel der Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit dieser Informationen.

Grundlage der Informationssicherheit der kantonalen Verwaltung Zug bildet die Verordnung über die Informationssicherheit von Personendaten (VIP, BGS 157.12) Diese regelt «das Verfahren und die Verantwortlichkeiten zur Gewährleistung der Sicherheit von Personendaten, die mit elektronischen Hilfsmitteln oder auf andere Weise bearbeitet werden». Sie bezweckt den Schutz von Personendaten, insbesondere gegen:

• zufällige Bekanntgabe, Vernichtung oder Verlust
• technische Fehler
• unbefugte Kenntnisnahme
• unbefugte Bearbeitung
• Fälschung, Entwendung oder widerrechtliche Verwendung

Die Steuerung und Koordination der Informationssicherheit auf kantonaler Stufe obliegt dem in der kantonalen Verwaltung Zug breit abgestütztem Security Board, das vom Chief Information Security Officer (CISO) geleitet wird.

Das Security Board berät und koordiniert die Anliegen der öffentlichen Organe in allen Fragen der Informationssicherheit. Es sorgt für eine ausreichende Regelungsdichte im Bereich der Informationssicherheit und unterstützt die IT-Betriebsorganisationen bei der Umsetzung der Sicherheitsvorgaben. Das Security Board verabschiedet unter anderem Weisungen zur Informationssicherheit, beschliesst Massnahmen zur Abwehr von Cyberangriffen und beauftragt Sicherheitsaudits und Überprüfung die Einhaltung der Vorgaben.

Die IT-Sicherheit als Teil der Informationssicherheit (geregelt im Informationssicherheits-Managementsystem) konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und IT-Systeme. Informationen und IT-Systeme lassen sich aber nur dann schützen, wenn sichergestellt ist, dass nur legitimierte Anwender die für ihre Tätigkeit notwendigen Systeme und Informationen nutzen können. Die IT-Sicherheit ist immer dann bedroht, wenn Schwachstellen bestehen, die es einem Angreifer ermöglichen, sich unrechtmässig Zugang zu Informationen zu verschaffen.

Wir vom Amt für Informatik und Organisation (AIO) sind verantwortlich, dass:

• mit einem effizienten Schwachstellen-Management Sicherheitslücken frühzeitig aufgespürt und geschlossen werden,
• Angriffe auf die kantonale IT-Infrastruktur frühzeitig erkannt und abgewehrt werden,
• IT-Systeme aufgrund ihres Schutzbedarfs vor Zugriffen durch unberechtigte Dritte geschützt sind,
• Informationen und IT-Systeme verfügbar sind,
• Informationen nicht unbemerkt verändert oder gelöscht werden,
• die Qualität der Informationssicherheitsprozesse kontinuierlich verbessert wird,
• Vorgaben zur Informationssicherheit und gesetzliche Anforderungen eingehalten werden und
• Risiken der IT-Sicherheit kontinuierlich und nachhaltig reduziert werden.

Wir vom AIO erbringen durch die regelmässige ISO 27001 Zertifizierung den Nachweis, dass unser Informationssicherheits-Managementsystem mit den Anforderungen der Norm konform ist.