Die Sicherheitsstrategie beruht auf Sicherheitskonzepten (Nummer 2.8) und Risikoanalysen (Nummer 2.9). Für diese Strategien gibt es folgende Handlungsfelder und Verantwortungsbereiche:

4.1 Sicherheitsdomäne

Die gesamte niedersächsische Justiz bildet eine Sicherheitsdomäne.

Ausgenommen sind IT-Systeme, die nicht im vom ZIB betreuten Justiznetz betrieben werden oder nicht mit diesem verbunden sind.

4.2 Alle Bediensteten

Alle Bediensteten der niedersächsischen Justiz haben im Rahmen ihrer jeweiligen Zuständigkeiten und Verantwortungsbereiche für die Erhaltung der unter Nummer 2.7 beschriebenen Grundwerte (Vertraulichkeit, Verfügbarkeit, Integrität) in Bezug auf die ihnen anvertrauten Informationen und Prozesse Sorge zu tragen.

4.3 Niedersächsisches Justizministerium (MJ)

Die strategische Verantwortung für das ISMS der Justiz liegt bei der Staatssekretärin oder dem Staatssekretär der niedersächsischen Justiz. Sie oder er schafft die personellen, organisatorischen und materiellen Voraussetzungen und führt auf Grundlage eines regelmäßigen Managementberichts der oder des Informationssicherheitsbeauftragten (ISB, vgl. Nummer 4.5) eine regelmäßige Bewertung des ISMS durch, um das Ziel einer kontinuierlichen Verbesserung des Systems zu gewährleisten.

Das Justizministerium auf operativer Ebene

1. a)

   verantwortet die zentrale Einführung von Services und Fachverfahren. Des Weiteren ist es als Dienststelle im Sinne von § 78 Abs. 2 NPersVG "Vertragspartner" der Stufenvertretungen beim Abschluss von Dienstvereinbarungen und gilt als "Behördenleitung" beim Erlass von Geschäftsbereich-übergreifenden Dienstanweisungen;

2. b)

   entscheidet über und verantwortet die Aufnahme des Produktivbetriebs im Falle eines nicht bewertbaren oder nicht bewerteten Service- oder Fachverfahrensrisikos sowie im Falle eines "roten" Restrisikos (siehe Nummer 2.26 - Risikoklassifizierung);

3. c)

   entscheidet und verantwortet die Nutzung von bereits eingeführten Services und Fachverfahren im Falle eines nicht bewertbaren oder bewerteten Service- oder Fachverfahrensrisikos;

4. d)

   teilt der oder dem Informationssicherheitsbeauftragten der niedersächsischen Landesverwaltung und der oder dem Informationssicherheitsbeauftragten der niedersächsischen Justiz die Akzeptanz "roter" Risiken mit;

5. e)

   ist über die geplante Festlegung eines Schutzbedarfs für in Services oder Fachverfahren verarbeiteten Informationen bei mindestens einem der Grundwerte (Vertraulichkeit, Verfügbarkeit und Integrität) mit "sehr hoch" zu informieren und kann sich innerhalb von zwei Wochen nach Erhalt der Mitteilung vorbehalten, eine Überprüfung der Schutzbedarfsfeststellung vornehmen zu lassen;

6. f)

   führt Sensibilisierungsmaßnahmen auf Basis einer von der oder dem Informationssicherheitsbeauftragten entwickelten Sensibilisierungskampagne für alle Mitarbeiter/-innen im eigenen Haus durch.

4.4 Leitung des Zentralen IT-Betriebs (ZIB)

Die Leitung des ZIB betreibt die IT-Infrastruktur der niedersächsischen Justiz und

1. a)

   verantwortet und gewährleistet die Informationssicherheit der von ihm betriebenen Services und Fachverfahren im Umfang des vom MJ im Servicekatalog oder an anderer Stelle zu beschreibenden Einsatzszenarios und ist insoweit Risikoeigentümer;

2. b)

   verantwortet die Erstellung von Sicherheitskonzepten und legt im Auftrag des Justizministeriums für jeden Service und jedes Fachverfahren den Schutzbedarf der dort verarbeiteten Informationen getrennt für jeden Grundwert (Vertraulichkeit, Verfügbarkeit und Integrität) fest;

3. c)

   verantwortet und gewährleistet ferner die Aktualität der Sicherheitskonzepte und Risikoanalysen der von ihm betriebenen Services und Fachverfahren sowie der Handlungsstrategie und der Übersicht über den Stand der Maßnahmenumsetzung;

4. d)

   entscheidet über den Umgang mit "gelben" Restrisiken (siehe Nummer 2.26 - Risikoklassifizierung) hinsichtlich der Nutzung bereits eingeführter oder einzuführender Services oder Fachverfahren.

4.5 Die oder der Informationssicherheitsbeauftragte der niedersächsischen Justiz (ISB)

Die oder der Informationssicherheitsbeauftragte der niedersächsischen Justiz initiiert und verantwortet als vom IT-Betrieb unabhängige Instanz die Einführung und Fortentwicklung eines ISMS in der Justiz. Sie oder er berät und unterstützt die jeweils zuständigen Entscheidungsträger bei der Aufgabenwahrnehmung im Hinblick auf die Informationssicherheit.

Die oder der Informationssicherheitsbeauftragte

1. a)

   hat insbesondere die Aufgabe, das ISMS fortzuentwickeln und deren Wirksamkeit zu überprüfen;

2. b)

   überwacht die Einhaltung der Arbeitsschritte zur Bewältigung von Sicherheitsvorfällen sowie zur Vermeidung künftiger Sicherheitsvorfälle;

3. c)

   legt dem MJ zum Ende eines Kalenderjahres einen Managementbericht über den Zustand des ISMS der Justiz vor;

4. d)

   fertigt Vorlagen bzw. Vorgaben für die behördenspezifischen Sicherheitskonzepte sowie für die durch den ZIB zu erstellenden Sicherheitskonzepte und Risikoanalysen;

5. e)

   erhält von den unter Nummer 4.6 genannten Organisationseinheiten eine Übersicht über die von den Behörden bzw. Institutionen ihres Zuständigkeitsbereichs tatsächlich erstellten und noch zu erstellenden Sicherheitskonzepte mitsamt der gefertigten Sicherheitskonzepte;

6. f)

   erhält alle (eigenen) behördenspezifischen Sicherheitskonzepte des Niedersächsischen Justizministeriums, der Mittelbehörden, des Niedersächsischen Finanzgerichts, der Norddeutschen Hochschule für Rechtspflege, des ZIB und des AJSD;

7. g)

   berichtet dem MJ über den Stand der Erstellung behördenspezifischer Sicherheitskonzepte bezogen auf Nummer 4.5 S. 3 lit. e) und f);

8. h)

   bildet die Koordinatorinnen und Koordinatoren (Nummer 4.6) fort und unterstützt diese bei der Wahrnehmung ihrer Aufgaben;

9. i)

   entwickelt Sensibilisierungskampagnen und steuert deren Durchführung;

10. j)

    ist befugt, von jeder Behörde bzw. Institution der Justiz Berichte in Bezug auf die Aspekte der Informationssicherheit anzufordern;

11. k)

    ist bei der Neueinführung oder wesentlichen Änderung von Services, Fachverfahren und organisatorischen Änderungen angemessen und frühzeitig zu beteiligen;

12. l)

    ist Ressortvertreter der niedersächsischen Justiz in den einschlägigen landesinternen und landesübergreifenden Gremien;

13. m)

    hat ein unmittelbares Vortragsrecht bei der Staatsekretärin oder dem Staatssekretär der niedersächsischen Justiz.

4.6 Leitung der Mittelbehörden und der Abteilung III des Justizministeriums

Die Leitungen der Mittelbehörden, des Niedersächsischen Finanzgerichts, der Norddeutschen Hochschule für Rechtspflege, der Abteilung III des Justizministeriums sowie die Leitungen des Zentralen IT-Betriebs (ZIB) und Ambulanten Justizsozialdienstes (AJSD) verantworten die Gewährleistung der Informationssicherheit für ihre eigene Behörde bzw. Institution und bestellen Koordinatorinnen und Koordinatoren für Informationssicherheit, die in ihrem Auftrag die folgenden Aufgaben bezogen auf die Behörden bzw. Institutionen des nachgeordneten Geschäftsbereichs wahrnehmen:

1. a)

   die dienstaufsichtliche Kontrolle über die Erstellung sämtlicher behördenspezifischer Sicherheitskonzepte (einschl. deren Einforderung im Bedarfsfall);

2. b)

   die Überwachung der Umsetzung der Sicherheitsmaßnahmen;

3. c)

   die Berücksichtigung der Aspekte der Informationssicherheit bei der Durchführung von Geschäftsprüfungen;

4. d)

   die Unterstützung der Durchführung von Sensibilisierungsveranstaltungen auf Basis einer von der oder dem ISB entwickelten Sensibilisierungskampagnen.

   Die Verantwortung der Leitung der Ortsbehörde bleibt hiervon unberührt.

5. e)

   Darüber hinaus fertigen sie eine Übersicht über die in ihrem Zuständigkeitsbereich tatsächlich erstellten und noch zu erstellenden Sicherheitskonzepte und übermitteln diese an die oder den ISB.

4.7 Leitung der Ortsbehörden

Die Behördenleitung jeder Justizbehörde ist Eigentümerin sämtlicher von ihr verarbeiteten Informationen. Das gilt insbesondere für die in jeglichen IT-Anwendungen gespeicherten Informationen.

Die Behördenleitung

1. a)

   verantwortet und gewährleistet die Aufrechterhaltung der Informationssicherheit beim Zugang zu Räumen und Gebäuden ihrer Behörde, sofern ihr die Bewirtschaftung ausschließlich übertragen ist;

2. b)

   verantwortet die Teilnahme der Mitarbeiterinnen und Mitarbeiter an den Sensibilisierungsveranstaltungen;

3. c)

   verantwortet und gewährleistet ferner die Berechtigungseinrichtung und den bedarfsgerechten Zugriff auf Fachanwendungen, Eigenentwicklungen und Services in ständiger Übereinstimmung mit dem Geschäftsverteilungsplan. Die Übereinstimmung der Berechtigungseinrichtung in IT-Anwendungen und Services mit dem Geschäftsverteilungsplan ist quartalsweise stichprobenartig zu überprüfen und das Ergebnis zu dokumentieren;

4. d)

   ist verantwortlich und zuständig für die Erstellung und Revision des behördenspezifischen Sicherheitskonzepts auf Basis einer von der oder dem ISB erstellten und vom MJ genehmigten Vorlage. Die Erstellung des behördenspezifischen Sicherheitskonzepts beinhaltet unter anderem die Entwicklung der Handlungsstrategie (Maßnahmenkatalog inkl. Umsetzungsplanung) für behördenspezifische Risiken. Die Behördenleitung entwickelt und verantwortet die behördenspezifische Maßnahmenumsetzung sowie die Risikoakzeptanz der von ihr beeinflussbaren Restrisiken. Die behördenspezifische Handlungsstrategie einschließlich einer darin enthaltenen Akzeptanz von Risiken ist von der Behördenleitung zu unterschreiben. Sie überwacht in eigener Verantwortlichkeit die Umsetzung der dort festgelegten Maßnahmen;

5. e)

   übermittelt das behördenspezifische Sicherheitskonzept an die jeweils zuständige Mittelbehörde bzw. an Abteilung III des Justizministeriums.

Die Leitung jeder Ortsbehörde benennt eine Ansprechpartnerin oder einen Ansprechpartner für Informationssicherheit, die oder der in ihrem Auftrag die Etablierung und Verbesserung des behördlichen Informationssicherheitsmanagementsystems umsetzt und diese bei der Erstellung und Revision des behördenspezifischen Sicherheitskonzepts unterstützt.