Für die Steuerung des ISMS müssen behördliche Informationssicherheitsprozesse definiert werden. Dazu werden die Prozessabläufe zur Planung, Umsetzung, Überprüfung und Anpassung so ausgestaltet, dass sie sich dauerhaft wiederholen, um die Informationssicherheit langfristig zu gewährleisten und kontinuierlich zu verbessern.

7.1 Planung des ISMS

Die Aufbauorganisation für die Sicherheitsdomäne und die Prozessabläufe für das behördliche ISMS werden festgelegt.

7.2 Umsetzung des ISMS

Die Aufgaben gemäß Nummer 6 werden regelmäßig im erforderlichen Umfang wahrgenommen.

7.3 Überprüfung des ISMS

7.3.1 Domänenübergreifend erhebt die oder der CISO jährlich den Stand der Informationssicherheit in den Sicherheitsdomänen, insbesondere zum Reifegrad des behördlichen ISMS und zum Ausmaß der von den Behördenleitungen nach der Maßnahmenumsetzung akzeptierten Risiken. Unter Berücksichtigung dieser Meldungen der Informationssicherheitsbeauftragten der Sicherheitsdomänen unterrichtet die oder der CISO jährlich den Niedersächsischen IT-Planungsrat in angemessener Weise über die Wirksamkeit des ressortübergreifenden ISMS und über die domänenübergreifende Sicherheitslage und gibt Handlungsempfehlungen.

7.3.2 Die Wirksamkeit des behördlichen ISMS wird von der oder dem Informationssicherheitsbeauftragten einer Sicherheitsdomäne regelmäßig, mindestens einmal jährlich überprüft. Sie oder er überprüft dabei insbesondere

• die Prozessabläufe für das behördliche ISMS auf deren nachhaltige Etablierung,

• die Risikoanalysen und deren Dokumentation auf deren Aktualität,

• die Risikobeschreibungen für die Leistungsempfänger auf deren Aktualität,

• die Umsetzung der Sicherheitsanforderungen auf deren Vollständigkeit und

• die Risikoakzeptanz seitens der Behördenleitung auf deren Nachweisbarkeit.

7.3.3 Auf der Basis der Erhebungsergebnisse gemäß Nummer 7.3.1 und der Prüfungsergebnisse gemäß Nummer 7.3.2 unterrichtet die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne die Behördenleitungen ihres oder seines Zuständigkeitsbereichs regelmäßig in angemessener Weise und macht Vorschläge zu den identifizierten Handlungsbedarfen.

7.4 Anpassung des ISMS

7.4.1 Auf der Grundlage der Unterrichtung der oder des CISO gemäß Nummer 7.3.1 beschließt der Niedersächsische IT-Planungsrat erforderliche Optimierungsmaßnahmen und angemessene Umsetzungsfristen, um das ressortübergreifende ISMS und die domänenübergreifende Sicherheitslage zu verbessern.

7.4.2 Auf Basis der Unterrichtung der oder des zuständigen Informationssicherheitsbeauftragten der Sicherheitsdomäne gemäß Nummer 7.3.3 bewertet die Behördenleitung den Wirkungsgrad des behördlichen ISMS und die Sicherheitslage für die Behörde. Die Behördenleitung gewährleistet ferner die Aktualität

• der Dienstanweisungen und -vereinbarungen zur Informationssicherheit,

• der Zuständigkeitsregelungen für Aufgaben gemäß dieser ISLL und der ISRL,

• der Prozessabläufe zum behördlichen ISMS und

• der Risikoanalysen und Risikobeschreibungen.

7.4.3 Jährlich prüft die oder der CISO, ob sich die Rahmenbedingungen für das ISMS geändert haben und daher das Vorgehen in Bezug auf die Gewährleistung der Informationssicherheit geändert werden muss und ob die Informationssicherheitsziele noch angemessen sind.