Informationssicherheit
In einer sich verändernden Bedrohungslandschaft schützt die Informationssicherheit die Informationswerte des Kantons Zug durch angemessene Massnahmen. Die IT-Sicherheit als Teilmenge der Informationssicherheit schützt die IT-Systeme und die elektronisch gespeicherten Informationen.
Kontakt
Amt für Informatik und Organisation
Informationssicherheit
Informationen gelten als der Rohstoff des digitalen Zeitalters. Sie werden gesammelt, analysiert und gehandelt, oft ohne Kenntnis der betroffenen Person.
Ohne Informations- und Kommunikationstechnologie (IKT) ist die Bearbeitung der anfallenden Datenmenge nicht mehr denkbar. Zu berücksichtigen gilt es dabei der verantwortungsvolle Umgang mit den zur Bearbeitung überlassenen Daten. Unabhängig davon, wo und wie diese Informationen bearbeitet werden.
In einer sich stetig verändernden Bedrohungslandschaft schützt die Informationssicherheit die Informationswerte der der kantonalen Verwaltung Zug durch angemessene Massnahmen. Diese dienen dem Ziel der Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit dieser Informationen.
Grundlage der Informationssicherheit der kantonalen Verwaltung Zug bildet die Verordnung über die Informationssicherheit von Personendaten (VIP, BGS 157.12) Diese regelt «das Verfahren und die Verantwortlichkeiten zur Gewährleistung der Sicherheit von Personendaten, die mit elektronischen Hilfsmitteln oder auf andere Weise bearbeitet werden». Sie bezweckt den Schutz von Personendaten, insbesondere gegen:
- zufällige Bekanntgabe, Vernichtung oder Verlust
- technische Fehler
- unbefugte Kenntnisnahme
- unbefugte Bearbeitung
- Fälschung, Entwendung oder widerrechtliche Verwendung
Security Board
Die Steuerung und Koordination der Informationssicherheit auf kantonaler Stufe obliegt dem in der kantonalen Verwaltung Zug breit abgestütztem Security Board, das vom Chief Information Security Officer (CISO) geleitet wird.
Das Security Board berät und koordiniert die Anliegen der öffentlichen Organe in allen Fragen der Informationssicherheit. Es sorgt für eine ausreichende Regelungsdichte im Bereich der Informationssicherheit und unterstützt die IT-Betriebsorganisationen bei der Umsetzung der Sicherheitsvorgaben. Das Security Board verabschiedet unter anderem Weisungen zur Informationssicherheit, beschliesst Massnahmen zur Abwehr von Cyberangriffen und beauftragt Sicherheitsaudits und Überprüfung die Einhaltung der Vorgaben.
Merkblätter und Sensibilisierungsprogramm
Die Merkblätter Informationssicherheit (siehe unten) sind für die Mitarbeitenden der kantonalen Verwaltung, der Einwohnergemeinden, der Gerichte und der kantonalen Schulen sowie für temporär Angestellte und Personen, die für den Kanton tätig sind, verpflichtend. Die Merkblätter dienen als Leitfaden und sollen die Mitarbeitenden dabei unterstützen, die Informations- und Kommunikationsmittel bei der Bearbeitung von Personendaten im Kanton Zug sicher zu nutzen.
Die Merkblätter gelten auch für die Mitarbeitenden von Bürger-, Kirch- und Korporationsgemeinden und von Institutionen, sobald ihnen in Leistungsvereinbarungen öffentliche Aufgaben übertragen werden.
Die Merkblätter umfassen folgende Themen:
- Sicherer Umgang mit Daten
- Passwort
- Internet
- Mobile Geräte und Datenträger
Die Merkblätter sind auch in einem Flyer «Das Wichtigste in Kürze» (siehe unten) zusammengefasst.
Aufbauend auf den Merkblättern zur Informationssicherheit existiert ein E-Learning-Kurs (nur für registrierte Nutzenden zugänglich). Dieser muss gemäss Regierungsratsbeschluss vom 10. Dezember 2013 von allen Mitarbeitenden der kantonalen Verwaltung, der Gerichte, der Einwohnergemeinden, der öffentlich-rechtlichen Anstalten des Kantons sowie Dritten mit Leistungsvereinbarung mit der kantonalen Verwaltung Zug innerhalb von drei Monaten nach Eintritt mit einem erfolgreichen Test absolviert und anschliessend alle zwei Jahre aufgefrischt werden.
IT-Sicherheit
Die IT-Sicherheit als Teil der Informationssicherheit (geregelt im Informationssicherheits-Managementsystem) konzentriert sich auf den Schutz elektronisch gespeicherter Informationen und IT-Systeme. Informationen und IT-Systeme lassen sich aber nur dann schützen, wenn sichergestellt ist, dass nur legitimierte Anwender die für ihre Tätigkeit notwendigen Systeme und Informationen nutzen können. Die IT-Sicherheit ist immer dann bedroht, wenn Schwachstellen bestehen, die es einem Angreifer ermöglichen, sich unrechtmässig Zugang zu Informationen zu verschaffen.
Wir vom Amt für Informatik und Organisation (AIO) sind verantwortlich, dass:
- mit einem effizienten Schwachstellen-Management Sicherheitslücken frühzeitig aufgespürt und geschlossen werden,
- Angriffe auf die kantonale IT-Infrastruktur frühzeitig erkannt und abgewehrt werden,
- IT-Systeme aufgrund ihres Schutzbedarfs vor Zugriffen durch unberechtigte Dritte geschützt sind,
- Informationen und IT-Systeme verfügbar sind,
- Informationen nicht unbemerkt verändert oder gelöscht werden,
- die Qualität der Informationssicherheitsprozesse kontinuierlich verbessert wird,
- Vorgaben zur Informationssicherheit und gesetzliche Anforderungen eingehalten werden und
- Risiken der IT-Sicherheit kontinuierlich und nachhaltig reduziert werden.
Wir vom AIO erbringen durch die regelmässige ISO 27001 Zertifizierung den Nachweis, dass unser Informationssicherheits-Managementsystem mit den Anforderungen der Norm konform ist.
Informationssicherheit ISO 27001 Zertifizierung
Seit 2013 sind wir ISO 27001 zertifiziert.
Durch diese Zertifizierung verfügen wir über den Nachweis einer unabhägigen Institution, dass wir über ein umfassendes und effektives Informationssicherheits-Managementsystem (ISMS) verfügen und in der Lage sind, mit IT-Sicherheitsrisiken umzugehen und so den Schutz von vertraulichen Daten vor Offenlegung, Verlust und Missbrauch zu gewährleisten.
Alle zwei Jahre wird die Einhaltung der Vorgaben und Prozesse überprüft respektive rezertifiziert.
Informationssicherheit ISO 27001 (Zertifikat)