6.1
Niedersächsischer IT-Planungsrat

Der Niedersächsische IT-Planungsrat legt technische und organisatorische Sicherheitsanforderungen fest und beschließt dazu domänenübergreifende ISRL. Für die behördliche Umsetzung der ISRL gibt er verbindliche Fristen unter Berücksichtigung der jeweils aktuellen Rahmenbedingungen vor und lässt sich von der oder dem Informationssicherheitsbeauftragten der Landesverwaltung über die Fristeinhaltung berichten.

6.2
ISMS-Board

Als Arbeitsgruppe des Niedersächsischen IT-Planungsrates wird ein Koordinierungsgremium "ISMS-Board" eingerichtet. Das ISMS-Board verfolgt das Ziel, die Informationssicherheitsprozesse domänenübergreifend abzustimmen und das ressortübergreifende ISMS kontinuierlich zu verbessern. Es hat insbesondere die Aufgabe, Beschlüsse des Niedersächsischen IT-Planungsrates zum ressortübergreifenden ISMS vorzubereiten. Die StK und die Ministerien entsenden jeweils eine Vertreterin oder einen Vertreter in das ISMS-Board. Die oder der Informationssicherheitsbeauftragte der Landesverwaltung leitet das Gremium. Das Gremium kann sich eine Geschäftsordnung geben.

6.3
StK und Ministerien

6.3.1 Die StK und die Ministerien legen eine oder mehrere Sicherheitsdomänen für ihren Geschäftsbereich fest. Abgrenzungskriterien für die Bildung von Sicherheitsdomänen, denen mehrere Behörden angehören, können rechtliche Anforderungen, enge Kommunikationsbeziehungen, der Einsatz einheitlicher Fachverfahren oder die Wahrnehmung vergleichbarer Verwaltungsaufgaben sein. Liegt eine Behörde im Geschäftsbereich mehrerer Ministerien, entscheiden diese im Einvernehmen über die Zugehörigkeit zu einer Sicherheitsdomäne. Für jede Sicherheitsdomäne wird eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter benannt. Sie oder er kann für mehrere Behörden einer Sicherheitsdomäne zuständig sein. Die oder der Informationssicherheitsbeauftragte der Landesverwaltung wird über die Bildung der Sicherheitsdomänen und die Benennung ihrer Informationssicherheitsbeauftragten unterrichtet.

6.3.2 Die StK und die Ministerien koordinieren und überwachen die Gewährleistung der Informationssicherheit in den Sicherheitsdomänen ihres Geschäftsbereichs.

6.4
Informationssicherheitsbeauftragte oder Informationssicherheitsbeauftragter der Landesverwaltung

6.4.1 Beim für die zentrale Steuerung der IT des Landes zuständigen Ministerium ist eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter für die Landesverwaltung (Chief Information Security Officer - CISO) zu bestimmen, die oder der für die Koordinierung des ressortübergreifenden ISMS und für die strategische, ressortübergreifende Planung und Steuerung des Informationssicherheitsprozesses in der gesamten Landesverwaltung zuständig ist. Sie oder er kann die Behörden der mittelbaren und unmittelbaren Landesverwaltung in Fragen der Informationssicherheit beraten. Die oder der CISO hat ein direktes Vortragsrecht bei ihrer oder seiner Behördenleitung und im Niedersächsischen IT-Planungsrat.

6.4.2 Die oder der CISO hat insbesondere die Aufgaben,

• das ressortübergreifende ISMS und die ISLL weiterzuentwickeln,

• die ISRL zu entwerfen und weiterzuentwickeln,

• die Wirksamkeit des ISMS zu überprüfen,

• den jährlichen Informationssicherheitsbericht zu erstellen,

• Sicherheitsvorfälle zu untersuchen und Schwachstellen festzustellen,

• die Zusammenarbeit der Informationssicherheitsbeauftragten der Sicherheitsdomänen zu fördern sowie

• Audits und Penetrationstests anzuregen und zu begleiten.

6.5
Niedersächsisches Computer Emergency Response Team (N-CERT)

Das N-CERT nimmt die Funktion der zentralen Meldestelle der oder des CISO für Sicherheitsvorfälle wahr, die domänenübergreifende oder schwerwiegende Auswirkungen haben. Das N-CERT unterstützt die Informationssicherheitsbeauftragten der Sicherheitsdomänen bei der Bewältigung dieser Sicherheitsvorfälle und bei der kontinuierlichen Verbesserung von Sicherheitsmaßnahmen.

6.6
Behördenleitung

6.6.1 Die Behördenleitung trägt die Verantwortung für die Informationssicherheit ihrer Behörde. Die zuständige oberste Landesbehörde kann abweichende Verantwortlichkeiten festlegen. Die ISLL und die ISRL sind in diesem Fall sinngemäß anzuwenden.

6.6.2 Die Behördenleitung hat insbesondere zu veranlassen, dass

• eine Informationssicherheitsbeauftragte oder ein Informationssicherheitsbeauftragter (Nummer 6.7) benannt wird,

• die ISRL nach den Vorgaben des Niedersächsischen IT-Planungsrates umgesetzt werden,

• die Risikoanalysen zu den Services, Fachverfahren und sonstigen Verwaltungsaufgaben des jeweiligen Zuständigkeitsbereichs durchgeführt werden,

• angemessene organisatorische und technische Sicherheitsmaßnahmen umgesetzt werden,

• die Leistungsempfänger von Services und Fachverfahren über die nach der Maßnahmenumsetzung verbleibenden Risiken unterrichtet werden,

• das N-CERT unverzüglich über alle domänenübergreifenden und schwerwiegenden Sicherheitsvorfälle unterrichtet wird,

• die Verantwortlichkeiten im Umgang mit Informationen definiert und gegenüber den Nutzerinnen und Nutzern festgelegt werden,

• die innerbehördlichen Zuständigkeiten (jeweils zuständigen Stellen) für Informationssicherheit festgelegt werden,

• die Prozessabläufe für das behördliche ISMS und für die Unterrichtung des N-CERT etabliert und kontinuierlich verbessert werden,

• die Informationssicherheit bereits bei der Planung und Einführung eines Services oder Fachverfahrens, bei der Vorbereitung zur Übernahme einer Verwaltungsaufgabe sowie bei sonstigen Projekten und Vorhaben berücksichtigt wird.

6.6.3 Die Behördenleitung hat sich regelmäßig über den Stand der Umsetzung, etwa anhand von Kontrollen und Revisionen, berichten zu lassen. Sie entscheidet über die Umsetzung angemessener Sicherheitsmaßnahmen und über die Akzeptanz der nach der Maßnahmenumsetzung verbleibenden Risiken.

6.7
Informationssicherheitsbeauftragte der Sicherheitsdomänen

6.7.1 Die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne berät und unterstützt die Behördenleitung bei der Wahrnehmung ihrer Aufgaben im Hinblick auf alle Belange der Informationssicherheit. Insoweit hat die oder der Informationssicherheitsbeauftragte ein direktes Vortragsrecht bei jeder Behördenleitung innerhalb der Sicherheitsdomäne. Sie oder er hat ferner das Recht, die für ihre oder seine Aufgaben benötigten Berichte und Informationen in jeder Organisationseinheit der Sicherheitsdomäne anzufordern. Ihr oder ihm werden die dafür erforderlichen Unterlagen zugänglich gemacht und Auskünfte erteilt.

6.7.2 Die oder der Informationssicherheitsbeauftragte einer Sicherheitsdomäne hat insbesondere die Aufgaben,

• die Umsetzung der ISRL zu überwachen,

• die Prozessabläufe für das behördliche ISMS zu definieren und zu optimieren,

• die Erstellung und Aktualisierung der Risikoanalysen zu überwachen,

• die Umsetzung der Sicherheitsmaßnahmen zu überwachen,

• die Erstellung und Aktualisierung der Risikobeschreibungen zu überwachen,

• regelmäßige Informationssicherheitsberichte für die Behördenleitung zu erstellen,

• die Wirksamkeit des behördlichen ISMS (z. B. in Form von Audits und Penetrationstests) zu überprüfen,

• die Bewältigung der Sicherheitsvorfälle zu überwachen,

• die Erkennung von Schwachstellen sicherzustellen sowie

• Sensibilisierungs- und Schulungsmaßnahmen anzuregen.

6.7.3 Sie oder er ist bei neuen Projekten und Beschaffungen, die Auswirkungen auf die Integrität, Vertraulichkeit oder Verfügbarkeit der verarbeiteten Informationen haben, insbesondere bei der Einführung oder Änderung von IT-Anwendungen und IT-Systemen zu beteiligen, um die Beachtung von Informationssicherheitsaspekten in den verschiedenen Projektphasen zu gewährleisten.