Amtliche Bekanntmachungen der Gerichte

AV d. MJ v. 20.11.2019 (1510 - ISMS.5) *

Vom 20. November 2019 (Nds. Rpfl. 2020 S. 15, 91)

- VORIS 31600 -

Die Informationssicherheitsleitlinie der niedersächsischen Justiz (ISLL Justiz) beschreibt den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) in der niedersächsischen Justiz auf Grundlage des Standards ISO/IEC 27001 und dient der langfristigen Gewährleistung der Informationssicherheit.

Sie setzt die Leitlinie zur Gewährleistung der Informationssicherheit (ISLL Land) - Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 9.11.2016 - CIO-02850-0007 - VORIS 20500 in der niedersächsischen Justiz um.

Das ISMS der Justiz ist selbstständiger Teil eines ressortübergreifenden Gesamt-ISMS der niedersächsischen Landesverwaltung. Soweit Gegenstände der ISLL Land den Einsatz der IT in der Justiz betreffen, sind die aus der verfassungs- und einfachrechtlich garantierten Position der unabhängigen Rechtspflegeorgane resultierenden Besonderheiten zu beachten. Die richterliche Unabhängigkeit ist zu wahren. Aufgrund dieser besonderen Erfordernisse an die IT im Justizressort kann das Niedersächsische Justizministerium (MJ) von den Festlegungen der ISLL Land abweichen.

Eine zentrale Rolle der ISLL Land und der Informationssicherheitsrichtlinien (ISRLen) des Landes stellt der Terminus "Behördenleitung" dar. Abweichend von der Systematik des vorliegenden Dokuments, sämtliche Begriffsdefinitionen unter Nummer 2 zu behandeln, wird der Begriff "Behördenleitung" i.S. des Informationssicherheitsmanagements der niedersächsischen Justiz wie folgt definiert:

1. a)

   Behördenleitung im Sinne von ISLL Land und ISRL Konzeption ist grundsätzlich die Gerichts- oder Behördenleitung der jeweiligen Ortsinstanz.

2. b)

   Das MJ und die unter Nummer 4.6 genannten Organisationseinheiten gelten für ihre eigene Behörde bzw. Institution als Behördenleitung. Als solche nehmen sie die in Nummer 4.7 genannten Aufgaben eigenverantwortlich wahr.

3. c)

   Behördenleitungen tragen grundsätzlich die Verantwortung für die Gewährleistung der Informationssicherheit für sämtliche Geschäftsprozesse ihrer Behörde.

   Für zentral eingeführte Fachverfahren und Services gilt dies nur

   1. ca)

      für die Gewährleistung der organisatorischen Aspekte der Informationssicherheit.

   2. cb)

      für technische Aspekte, wenn

      1. cba)

         dies ausdrücklich und rechtsverbindlich geregelt ist oder

      2. cbb)

         behördenspezifische Risiken existieren, die nicht bereits durch zentrale Schutzmaßnahmen abgedeckt werden.

In allen anderen Fällen nimmt das MJ die Aufgaben der Behördenleitung im Sinne dieser Leitlinie wahr (vgl. Nummer 4.3, Abs. 2 lit. a)).

Im Zweifel ist die Behördenleitung zuständig, welche die Organisations- oder IT-Maßnahmenkompetenz innehat.

Die in der niedersächsischen Justiz etablierten Berichtswege bleiben durch die ISLL Justiz unberührt; die nachfolgenden Regelungen dienen daher lediglich der Klarstellung.

2.1
Niedersächsische Justiz

Der Begriff "niedersächsische Justiz" umfasst das Niedersächsische Justizministerium, die Gerichte, Staatsanwaltschaften und Justizvollzugseinrichtungen sowie die Norddeutsche Hochschule für Rechtspflege, den ZIB und den AJSD.

2.2
Werte (Assets)

Als Werte (Assets) werden gerichtliche oder behördliche Erzeugnisse (Urteile, Beschlüsse, Verfahren, Daten etc.) als auch unterstützende Werte (Hard- und Software, Netzwerk, Personal, Standorte, Organisation etc.) bezeichnet.

2.3
Werte(Asset)-Eigner

Der Werte(Asset)-Eigner ist ein sachkundiger Ansprechpartner für Risikoanalyseinterviews. Als solchen bestimmt die Behördenleitung diejenige oder denjenigen, die oder der den jeweiligen Geschäftsprozess kennt und beurteilen kann und daher in der Lage ist, das jeweilige Risikoszenario zu beschreiben und zu bewerten. Der Werte(Asset)-Eigner ist im Regelfall nicht identisch mit dem Risikoeigentümer, der in der Hierarchie einer Organisation höher angesiedelt ist.

2.4
Behörde

Behörden im Sinne dieser Leitlinie sind das Niedersächsische Justizministerium sowie alle niedersächsischen Gerichte, Staatsanwaltschaften und Justizvollzugseinrichtungen, soweit sie über eine eigene Behördenleitung verfügen. Der ZIB, AJSD und die Norddeutsche Hochschule für Rechtspflege sind im Sinne dieser Regelung Behörden gleichgestellt.

2.5
Behördenspezifisches Risiko

Das behördenspezifische Risiko ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in der Behörde verarbeiteten Informationen, nachdem sie angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat, soweit diese Maßnahmen sich im Rahmen ihrer Organisations- und Umsetzungskompetenz befinden.

2.6
Behördenspezifisches Sicherheitskonzept

Das behördenspezifische Sicherheitskonzept bezeichnet ein auf der Vorlage der oder des Informationssicherheitsbeauftragten basierendes und vom MJ genehmigtes Dokument, in dem die Ergebnisse der risikoorientierten Vorgehensweise (vgl. Nummer 2.27) für die Leitung jeder Behörde zur Entscheidung dargestellt werden. Dazu werden den Risiken der Behörde angemessene Sicherheitsmaßnahmen zugeordnet, die daraus abgeleitete Handlungsstrategie für die Maßnahmenumsetzung aufgezeigt und die behördenspezifischen Risiken nach der Maßnahmenumsetzung dargestellt.

2.7
Informationssicherheit

Informationssicherheit ist die Herstellung und Aufrechterhaltung der Grundwerte

• "Vertraulichkeit", d.h. die Gewährleistung des physikalischen bzw. logischen Zugangs zu Informationen nur für Zugriffsberechtigte,

• "Verfügbarkeit", d.h. die Gewährleistung des bedarfsorientierten Zugangs zu Informationen und zugehörigen Werten für berechtigte Benutzerinnen und Benutzer,

• "Integrität", d.h. die Sicherstellung der Richtigkeit und Vollständigkeit von Informationen und Verarbeitungsmethoden.

2.8
Sicherheitskonzepte

Die Sicherheitskonzepte für die Informationssicherheit dokumentieren

• die für Services, Fachverfahren und sonstige Fachaufgaben der Sicherheitsdomänen ermittelten Risiken,

• die Sicherheitsmaßnahmen zur Risikoreduzierung und

• die nach der Maßnahmenumsetzung verbleibenden Restrisiken.

Sie ermöglichen der jeweils zuständigen Behördenleitung Entscheidungen zur Maßnahmenumsetzung und Risikoakzeptanz zu treffen.

2.9
Risikoanalysen

Sind Dokumente, in denen im Rahmen von Risikoanalyseinterviews mögliche Schadensereignisse, deren Ursachen, Auswirkungen und Eintrittswahrscheinlichkeit vom Asset-Eigner sowohl zu untersuchen, als auch Maßnahmen zur Risikobehandlung zu entwickeln und zu dokumentieren sind. Das nach der Maßnahmenumsetzung verbleibende Restrisiko ist zu beschreiben, durch den Risikoeigentümer zu verantworten und die Risikoakzeptanz zu dokumentieren.

2.10
Informationssicherheitsmanagementsystem (ISMS)

Das ISMS ist die Aufstellung von Verfahren und Regeln, die dazu dienen, die Informationssicherheit in der Behörde dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

2.11
Informationseigentümer

Informationseigentümer ist die Leitung jeder Behörde für die von ihr verarbeiteten Informationen, auch wenn diese in von IT-Dienstleistern bereitgestellten Fachverfahren oder Services verarbeitet werden.

2.12
Informationsklassifizierung

Alle Informationen mit Relevanz für die Geschäftsprozesse der niedersächsischen Justiz sind in Schutzkategorien zu klassifizieren. Eine grundsätzliche Klassifizierung von Kategorien von Informationen, z. B. für Fachverfahren bestimmter Rechtsgebiete oder bestimmter Arten von Verwaltungsangelegenheiten, erfolgt durch eine zentrale Regelung durch das Justizministerium. Diese Regelung entbindet die Mitarbeiterinnen und Mitarbeiter der niedersächsischen Justiz nicht von ihrer Pflicht auf Grund besonderer Umstände des Einzelfalls eine höhere Schutzkategorie für eine Ressource oder eine Information festzulegen.

2.13
Behördliches Informationssicherheitsmanagementsystem (ISMS)

Das behördliche ISMS muss mindestens das Erstellen von behördenspezifischen Sicherheitskonzepten im Rahmen der Organisations- und Maßnahmenkompetenz der Behörde umfassen.

2.14
Domänenrisiko

Das Domänenrisiko ist das Ergebnis einer systematischen Einschätzung möglicher Schäden für die in der gesamten Sicherheitsdomäne verarbeiteten Informationen, nachdem jede Behörde einer Sicherheitsdomäne angemessene Sicherheitsmaßnahmen für ihre jeweils eingesetzten Ressourcen umgesetzt hat. Das Domänenrisiko ist vom MJ zu verantworten.

2.15
Domänenspezifisches Sicherheitskonzept

Das domänenspezifische Sicherheitskonzept ist die Summe aller in der Sicherheitsdomäne zu erstellenden Sicherheitskonzepte.

2.16
Fachverfahren

Das Fachverfahren unterstützt die Gerichte und Justizbehörden durch Automation der Geschäftsabläufe (z. B. EUREKA, web.sta). Es setzt sich in der Regel aus Funktionen, Datenbeständen, IT-Systemen, Computerprogrammen, Dokumentationen und der Beratung zusammen.

2.17
Fachverfahrenseigentümer

Fachverfahrenseigentümer ist der das jeweilige Fachverfahren anbietende IT-Dienstleister, also entweder der Zentrale IT-Betrieb der niedersächsischen Justiz (ZIB), IT.Niedersachsen (IT.N) oder andere externe Dienstleister. Hiervon unberührt bleibt die strategische Verantwortung des MJ.

2.18
Service

Ein Service ist eine standardisierte Leistung, die ein IT-Dienstleister zur Unterstützung von Geschäftsprozessen (z. B. Skype for Business) bereitstellt.

2.19
Service-Eigentümer

Service-Eigentümer ist der den jeweiligen Service anbietende IT-Dienstleister, also entweder der Zentrale IT-Betrieb der niedersächsischen Justiz (ZIB), IT.Niedersachsen (IT.N) oder andere externe Dienstleister. Hiervon unberührt bleibt die strategische Verantwortung des MJ.

2.20
Sonstige Fachaufgabe

Eine sonstige Fachaufgabe ist eine Aufgabe, deren Bearbeitung nicht durch den Einsatz eines Fachverfahrens unterstützt wird.

2.21
Leistungsempfänger

Der Leistungsempfänger ist die Behördenleitung, die einen Service nutzt oder ein Fachverfahren einsetzt.

2.22
Einsatzszenario

Ist die detaillierte Beschreibung der Einsatzbedingungen und Zweckbestimmungen, für die ein Service oder ein Fachverfahren konzipiert worden ist.

2.23
Schutzbedarfseignung

Ist die Eigenschaft, die ein Service-Eigentümer für seinen Service und ein Fachverfahrenseigentümer für sein Fachverfahren kommuniziert, damit die Leistungsempfänger einschätzen können, inwieweit der Service und das Fachverfahren, ggf. nach Umsetzung zusätzlicher Sicherheitsmaßnahmen zwecks weitergehender Risikoreduzierung, genutzt werden dürfen.

2.24
Risikobehandlung

Die Risikobehandlung erfolgt durch

• Risikoreduktion

• Risikobeseitigung

• Risikoakzeptanz oder

• Risikotransfer/Risikoübertragung (Versicherung).

2.25
Risikoeigentümer

Eine Person, die die Verantwortung und Entscheidungsbefugnis hat, ein Risiko zu behandeln.

Risikoeigentümer von Services ist die Leiterin oder der Leiter des jeweiligen IT-Dienstleisters.

Risikoeigentümer von Fachverfahren ist die Leiterin oder der Leiter des jeweiligen IT-Dienstleisters. Risikoeigentümer von sonstigen Fachaufgaben ist die Behördenleitung der Ortsbehörde.

2.26
Risikoklassifizierung

2.26.1 Für das Servicerisiko oder Fachverfahrensrisiko werden folgende Klassifizierungen vorgenommen:

1. a)

   "grün": Servicerisiko oder Fachverfahrensrisiko kann in der Regel ohne weitere Risikobehandlung akzeptiert werden;

2. b)

   "gelb": Behördenleitung des Serviceeigentümers oder Fachverfahrenseigentümers kann das Servicerisiko oder Fachverfahrensrisiko akzeptieren;

3. c)

   "rot": Servicerisiko oder Fachverfahrensrisiko ist grundsätzlich nicht akzeptabel und verhindert grundsätzlich den Produktivbetrieb; Akzeptanz dieses Risikos muss begründet und an die Informationsbeauftragte oder den Informationsbeauftragten der niedersächsischen Landesverwaltung kommuniziert werden.

2.26.2 Für behördenspezifische Risiken und Domänenrisiken werden folgende Klassifizierungen vorgenommen:

1. a)

   "grün": Risiko kann in der Regel ohne weitere Risikobehandlung akzeptiert werden;

2. b)

   "gelb": Behördenleitung kann das Risiko akzeptieren und muss für eine regelmäßige Kontrolle sorgen;

3. c)

   "rot": Risiko ist grundsätzlich nicht akzeptabel; die Behördenleitung muss unverzüglich Maßnahmen zur Risikoreduzierung einleiten; Akzeptanz dieses Risikos muss begründet werden und ist auf dem üblichen Berichtsweg zu eskalieren. Die übergeordneten Behörden haben im Rahmen der weiteren Risikobehandlung die Möglichkeit zur Risikoreduzierung. Sollte bis zur Eskalation an das Justizministerium keine Risikoreduzierung erfolgt sein und immer noch ein "rotes" Risiko bestehen, entscheidet MJ final über eine mögliche Risikobehandlung. Ein dann noch verbleibendes "rotes" Risiko ist durch MJ an die Informationsbeauftragte oder den Informationsbeauftragten der niedersächsischen Landesverwaltung zu kommunizieren.

2.27
Risikomanagement

Ermitteln möglicher Risiken, Entwicklung adäquater Schutzmaßnahmen und Entscheidung über Umsetzung dieser Schutzmaßnahmen, bzw. Übernahme von Restrisiken im zulässigen Umfang.

Das ISMS wird durch mehrere Dokumente beschrieben, die hierarchisch aufeinander aufbauen.

3.1 Die Leitlinie zur Gewährleistung der Informationssicherheit (ISLL Land) - Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 9.11.2016 - CIO-02850-0007 - VORIS 20500; ist das übergeordnete strategische Basisdokument zur Gewährleistung der Informationssicherheit für den Geltungsbereich. Sie dient der Aufrechterhaltung des ressortübergreifenden ISMS.

3.2 Die Informationssicherheitsleitlinie der niedersächsischen Justiz (ISLL Justiz) beschreibt den Aufbau und den Betrieb eines ISMS in der niedersächsischen Justiz. Sie dient der langfristigen Gewährleistung der Informationssicherheit in allen Behörden bzw. Institutionen der niedersächsischen Justiz.

3.3 Die Informationsrichtlinien (ISRLen) der niedersächsischen Landesverwaltung gestalten das ressortübergreifende ISMS taktisch aus und legen für einzelne organisatorische oder technische Bereiche Sicherheitsanforderungen für den Geltungsbereich verbindlich fest.

3.4 Dienstanweisungen und ggf. Dienstvereinbarungen legen fest, wie die Bestimmungen der Informationssicherheitsrichtlinien konkret umzusetzen sind.

Die Sicherheitsstrategie beruht auf Sicherheitskonzepten (Nummer 2.8) und Risikoanalysen (Nummer 2.9). Für diese Strategien gibt es folgende Handlungsfelder und Verantwortungsbereiche:

4.1 Sicherheitsdomäne

Die gesamte niedersächsische Justiz bildet eine Sicherheitsdomäne.

Ausgenommen sind IT-Systeme, die nicht im vom ZIB betreuten Justiznetz betrieben werden oder nicht mit diesem verbunden sind.

4.2 Alle Bediensteten

Alle Bediensteten der niedersächsischen Justiz haben im Rahmen ihrer jeweiligen Zuständigkeiten und Verantwortungsbereiche für die Erhaltung der unter Nummer 2.7 beschriebenen Grundwerte (Vertraulichkeit, Verfügbarkeit, Integrität) in Bezug auf die ihnen anvertrauten Informationen und Prozesse Sorge zu tragen.

4.3 Niedersächsisches Justizministerium (MJ)

Die strategische Verantwortung für das ISMS der Justiz liegt bei der Staatssekretärin oder dem Staatssekretär der niedersächsischen Justiz. Sie oder er schafft die personellen, organisatorischen und materiellen Voraussetzungen und führt auf Grundlage eines regelmäßigen Managementberichts der oder des Informationssicherheitsbeauftragten (ISB, vgl. Nummer 4.5) eine regelmäßige Bewertung des ISMS durch, um das Ziel einer kontinuierlichen Verbesserung des Systems zu gewährleisten.

Das Justizministerium auf operativer Ebene

1. a)

   verantwortet die zentrale Einführung von Services und Fachverfahren. Des Weiteren ist es als Dienststelle im Sinne von § 78 Abs. 2 NPersVG "Vertragspartner" der Stufenvertretungen beim Abschluss von Dienstvereinbarungen und gilt als "Behördenleitung" beim Erlass von Geschäftsbereich-übergreifenden Dienstanweisungen;

2. b)

   entscheidet über und verantwortet die Aufnahme des Produktivbetriebs im Falle eines nicht bewertbaren oder nicht bewerteten Service- oder Fachverfahrensrisikos sowie im Falle eines "roten" Restrisikos (siehe Nummer 2.26 - Risikoklassifizierung);

3. c)

   entscheidet und verantwortet die Nutzung von bereits eingeführten Services und Fachverfahren im Falle eines nicht bewertbaren oder bewerteten Service- oder Fachverfahrensrisikos;

4. d)

   teilt der oder dem Informationssicherheitsbeauftragten der niedersächsischen Landesverwaltung und der oder dem Informationssicherheitsbeauftragten der niedersächsischen Justiz die Akzeptanz "roter" Risiken mit;

5. e)

   ist über die geplante Festlegung eines Schutzbedarfs für in Services oder Fachverfahren verarbeiteten Informationen bei mindestens einem der Grundwerte (Vertraulichkeit, Verfügbarkeit und Integrität) mit "sehr hoch" zu informieren und kann sich innerhalb von zwei Wochen nach Erhalt der Mitteilung vorbehalten, eine Überprüfung der Schutzbedarfsfeststellung vornehmen zu lassen;

6. f)

   führt Sensibilisierungsmaßnahmen auf Basis einer von der oder dem Informationssicherheitsbeauftragten entwickelten Sensibilisierungskampagne für alle Mitarbeiter/-innen im eigenen Haus durch.

4.4 Leitung des Zentralen IT-Betriebs (ZIB)

Die Leitung des ZIB betreibt die IT-Infrastruktur der niedersächsischen Justiz und

1. a)

   verantwortet und gewährleistet die Informationssicherheit der von ihm betriebenen Services und Fachverfahren im Umfang des vom MJ im Servicekatalog oder an anderer Stelle zu beschreibenden Einsatzszenarios und ist insoweit Risikoeigentümer;

2. b)

   verantwortet die Erstellung von Sicherheitskonzepten und legt im Auftrag des Justizministeriums für jeden Service und jedes Fachverfahren den Schutzbedarf der dort verarbeiteten Informationen getrennt für jeden Grundwert (Vertraulichkeit, Verfügbarkeit und Integrität) fest;

3. c)

   verantwortet und gewährleistet ferner die Aktualität der Sicherheitskonzepte und Risikoanalysen der von ihm betriebenen Services und Fachverfahren sowie der Handlungsstrategie und der Übersicht über den Stand der Maßnahmenumsetzung;

4. d)

   entscheidet über den Umgang mit "gelben" Restrisiken (siehe Nummer 2.26 - Risikoklassifizierung) hinsichtlich der Nutzung bereits eingeführter oder einzuführender Services oder Fachverfahren.

4.5 Die oder der Informationssicherheitsbeauftragte der niedersächsischen Justiz (ISB)

Die oder der Informationssicherheitsbeauftragte der niedersächsischen Justiz initiiert und verantwortet als vom IT-Betrieb unabhängige Instanz die Einführung und Fortentwicklung eines ISMS in der Justiz. Sie oder er berät und unterstützt die jeweils zuständigen Entscheidungsträger bei der Aufgabenwahrnehmung im Hinblick auf die Informationssicherheit.

Die oder der Informationssicherheitsbeauftragte

1. a)

   hat insbesondere die Aufgabe, das ISMS fortzuentwickeln und deren Wirksamkeit zu überprüfen;

2. b)

   überwacht die Einhaltung der Arbeitsschritte zur Bewältigung von Sicherheitsvorfällen sowie zur Vermeidung künftiger Sicherheitsvorfälle;

3. c)

   legt dem MJ zum Ende eines Kalenderjahres einen Managementbericht über den Zustand des ISMS der Justiz vor;

4. d)

   fertigt Vorlagen bzw. Vorgaben für die behördenspezifischen Sicherheitskonzepte sowie für die durch den ZIB zu erstellenden Sicherheitskonzepte und Risikoanalysen;

5. e)

   erhält von den unter Nummer 4.6 genannten Organisationseinheiten eine Übersicht über die von den Behörden bzw. Institutionen ihres Zuständigkeitsbereichs tatsächlich erstellten und noch zu erstellenden Sicherheitskonzepte mitsamt der gefertigten Sicherheitskonzepte;

6. f)

   erhält alle (eigenen) behördenspezifischen Sicherheitskonzepte des Niedersächsischen Justizministeriums, der Mittelbehörden, des Niedersächsischen Finanzgerichts, der Norddeutschen Hochschule für Rechtspflege, des ZIB und des AJSD;

7. g)

   berichtet dem MJ über den Stand der Erstellung behördenspezifischer Sicherheitskonzepte bezogen auf Nummer 4.5 S. 3 lit. e) und f);

8. h)

   bildet die Koordinatorinnen und Koordinatoren (Nummer 4.6) fort und unterstützt diese bei der Wahrnehmung ihrer Aufgaben;

9. i)

   entwickelt Sensibilisierungskampagnen und steuert deren Durchführung;

10. j)

    ist befugt, von jeder Behörde bzw. Institution der Justiz Berichte in Bezug auf die Aspekte der Informationssicherheit anzufordern;

11. k)

    ist bei der Neueinführung oder wesentlichen Änderung von Services, Fachverfahren und organisatorischen Änderungen angemessen und frühzeitig zu beteiligen;

12. l)

    ist Ressortvertreter der niedersächsischen Justiz in den einschlägigen landesinternen und landesübergreifenden Gremien;

13. m)

    hat ein unmittelbares Vortragsrecht bei der Staatsekretärin oder dem Staatssekretär der niedersächsischen Justiz.

4.6 Leitung der Mittelbehörden und der Abteilung III des Justizministeriums

Die Leitungen der Mittelbehörden, des Niedersächsischen Finanzgerichts, der Norddeutschen Hochschule für Rechtspflege, der Abteilung III des Justizministeriums sowie die Leitungen des Zentralen IT-Betriebs (ZIB) und Ambulanten Justizsozialdienstes (AJSD) verantworten die Gewährleistung der Informationssicherheit für ihre eigene Behörde bzw. Institution und bestellen Koordinatorinnen und Koordinatoren für Informationssicherheit, die in ihrem Auftrag die folgenden Aufgaben bezogen auf die Behörden bzw. Institutionen des nachgeordneten Geschäftsbereichs wahrnehmen:

1. a)

   die dienstaufsichtliche Kontrolle über die Erstellung sämtlicher behördenspezifischer Sicherheitskonzepte (einschl. deren Einforderung im Bedarfsfall);

2. b)

   die Überwachung der Umsetzung der Sicherheitsmaßnahmen;

3. c)

   die Berücksichtigung der Aspekte der Informationssicherheit bei der Durchführung von Geschäftsprüfungen;

4. d)

   die Unterstützung der Durchführung von Sensibilisierungsveranstaltungen auf Basis einer von der oder dem ISB entwickelten Sensibilisierungskampagnen.

   Die Verantwortung der Leitung der Ortsbehörde bleibt hiervon unberührt.

5. e)

   Darüber hinaus fertigen sie eine Übersicht über die in ihrem Zuständigkeitsbereich tatsächlich erstellten und noch zu erstellenden Sicherheitskonzepte und übermitteln diese an die oder den ISB.

4.7 Leitung der Ortsbehörden

Die Behördenleitung jeder Justizbehörde ist Eigentümerin sämtlicher von ihr verarbeiteten Informationen. Das gilt insbesondere für die in jeglichen IT-Anwendungen gespeicherten Informationen.

Die Behördenleitung

1. a)

   verantwortet und gewährleistet die Aufrechterhaltung der Informationssicherheit beim Zugang zu Räumen und Gebäuden ihrer Behörde, sofern ihr die Bewirtschaftung ausschließlich übertragen ist;

2. b)

   verantwortet die Teilnahme der Mitarbeiterinnen und Mitarbeiter an den Sensibilisierungsveranstaltungen;

3. c)

   verantwortet und gewährleistet ferner die Berechtigungseinrichtung und den bedarfsgerechten Zugriff auf Fachanwendungen, Eigenentwicklungen und Services in ständiger Übereinstimmung mit dem Geschäftsverteilungsplan. Die Übereinstimmung der Berechtigungseinrichtung in IT-Anwendungen und Services mit dem Geschäftsverteilungsplan ist quartalsweise stichprobenartig zu überprüfen und das Ergebnis zu dokumentieren;

4. d)

   ist verantwortlich und zuständig für die Erstellung und Revision des behördenspezifischen Sicherheitskonzepts auf Basis einer von der oder dem ISB erstellten und vom MJ genehmigten Vorlage. Die Erstellung des behördenspezifischen Sicherheitskonzepts beinhaltet unter anderem die Entwicklung der Handlungsstrategie (Maßnahmenkatalog inkl. Umsetzungsplanung) für behördenspezifische Risiken. Die Behördenleitung entwickelt und verantwortet die behördenspezifische Maßnahmenumsetzung sowie die Risikoakzeptanz der von ihr beeinflussbaren Restrisiken. Die behördenspezifische Handlungsstrategie einschließlich einer darin enthaltenen Akzeptanz von Risiken ist von der Behördenleitung zu unterschreiben. Sie überwacht in eigener Verantwortlichkeit die Umsetzung der dort festgelegten Maßnahmen;

5. e)

   übermittelt das behördenspezifische Sicherheitskonzept an die jeweils zuständige Mittelbehörde bzw. an Abteilung III des Justizministeriums.

Die Leitung jeder Ortsbehörde benennt eine Ansprechpartnerin oder einen Ansprechpartner für Informationssicherheit, die oder der in ihrem Auftrag die Etablierung und Verbesserung des behördlichen Informationssicherheitsmanagementsystems umsetzt und diese bei der Erstellung und Revision des behördenspezifischen Sicherheitskonzepts unterstützt.