Die Informationssicherheitsleitlinie der niedersächsischen Justiz (ISLL Justiz) beschreibt den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) in der niedersächsischen Justiz auf Grundlage des Standards ISO/IEC 27001 und dient der langfristigen Gewährleistung der Informationssicherheit.

Sie setzt die Leitlinie zur Gewährleistung der Informationssicherheit (ISLL Land) - Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 9.11.2016 - CIO-02850-0007 - VORIS 20500 in der niedersächsischen Justiz um.

Das ISMS der Justiz ist selbstständiger Teil eines ressortübergreifenden Gesamt-ISMS der niedersächsischen Landesverwaltung. Soweit Gegenstände der ISLL Land den Einsatz der IT in der Justiz betreffen, sind die aus der verfassungs- und einfachrechtlich garantierten Position der unabhängigen Rechtspflegeorgane resultierenden Besonderheiten zu beachten. Die richterliche Unabhängigkeit ist zu wahren. Aufgrund dieser besonderen Erfordernisse an die IT im Justizressort kann das Niedersächsische Justizministerium (MJ) von den Festlegungen der ISLL Land abweichen.

Eine zentrale Rolle der ISLL Land und der Informationssicherheitsrichtlinien (ISRLen) des Landes stellt der Terminus "Behördenleitung" dar. Abweichend von der Systematik des vorliegenden Dokuments, sämtliche Begriffsdefinitionen unter Nummer 2 zu behandeln, wird der Begriff "Behördenleitung" i.S. des Informationssicherheitsmanagements der niedersächsischen Justiz wie folgt definiert:

1. a)

   Behördenleitung im Sinne von ISLL Land und ISRL Konzeption ist grundsätzlich die Gerichts- oder Behördenleitung der jeweiligen Ortsinstanz.

2. b)

   Das MJ und die unter Nummer 4.6 genannten Organisationseinheiten gelten für ihre eigene Behörde bzw. Institution als Behördenleitung. Als solche nehmen sie die in Nummer 4.7 genannten Aufgaben eigenverantwortlich wahr.

3. c)

   Behördenleitungen tragen grundsätzlich die Verantwortung für die Gewährleistung der Informationssicherheit für sämtliche Geschäftsprozesse ihrer Behörde.

   Für zentral eingeführte Fachverfahren und Services gilt dies nur

   1. ca)

      für die Gewährleistung der organisatorischen Aspekte der Informationssicherheit.

   2. cb)

      für technische Aspekte, wenn

      1. cba)

         dies ausdrücklich und rechtsverbindlich geregelt ist oder

      2. cbb)

         behördenspezifische Risiken existieren, die nicht bereits durch zentrale Schutzmaßnahmen abgedeckt werden.

In allen anderen Fällen nimmt das MJ die Aufgaben der Behördenleitung im Sinne dieser Leitlinie wahr (vgl. Nummer 4.3, Abs. 2 lit. a)).

Im Zweifel ist die Behördenleitung zuständig, welche die Organisations- oder IT-Maßnahmenkompetenz innehat.

Die in der niedersächsischen Justiz etablierten Berichtswege bleiben durch die ISLL Justiz unberührt; die nachfolgenden Regelungen dienen daher lediglich der Klarstellung.