Verwaltungsvorschrift
des Sächsischen Staatsministeriums der Finanzen
zur Gewährleistung der Informationssicherheit im Geschäftsbereich
(VwV Informationssicherheit SMF)
Vom 24. März 2021
I.
Regelungsgegenstand
- 1.
- Zur Gewährleistung der Informationssicherheit im Geschäftsbereich des Staatsministeriums der Finanzen (SMF) ist das Sächsische Informationssicherheitsgesetz vom 2. August 2019 (SächsGVBl. S. 630) anzuwenden.
- 2.
- Ergänzend gelten nachfolgende Regelungen.
II.
Geltungsbereich
- 1.
- Die Verwaltungsvorschrift gilt für alle Behörden und Einrichtungen des Geschäftsbereichs des SMF.
- 2.
- Die Anwendung dieser Verwaltungsvorschrift wird den der Aufsicht des Freistaates Sachsen unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie den Unternehmen mit staatlicher Beteiligung im Geschäftsbereich des SMF empfohlen.
III.
Grundsätze und Ziele der Informationssicherheit
- 1.
- Die Informationssicherheit hat im Geschäftsbereich des SMF einen hohen Stellenwert, da alle strategischen und operativen Geschäftsprozesse mit den dort enthaltenen und zu verarbeitenden Informationen und Daten von der Gewährleistung der Informationssicherheit abhängen. Nur so können die Fachaufgaben des Geschäftsbereiches des SMF in angemessener Qualität, sicher, verlässlich, integer und wirtschaftlich erfüllt werden.
- Ein Informationssicherheitsmanagementsystem (ISMS) ist daher eine wesentliche Grundlage für die Arbeit in den Behörden und Einrichtungen des Geschäftsbereichs des SMF.
- 2.
- Jede Behörde entwickelt ein Informationssicherheitskonzept, soweit dies aufgrund der Anforderungen und Gegebenheiten der betroffenen Behörden und Dienststellen zweckmäßig und wirtschaftlich ist. Es ist stets auf dem aktuellen Stand zu halten, ständig den sich verändernden Rahmenbedingungen anzupassen und laufend zu überprüfen.
- 3.
- Weitere Einzelheiten und nähere Regelungen zu dem Informationssicherheitsprozess ergeben sich aus den behördenspezifischen Leitlinien für die Informationssicherheit sowie weiteren Richtlinien, detaillierten Regelungen und Dienstanweisungen zur Informationssicherheit für den Geschäftsbereich des SMF.
- 4.
- Die Gesamtverantwortung für die Informationssicherheit trägt die jeweilige Behördenleitung.
IV.
Informationssicherheitsbeauftragte/r
- 1.
- Im SMF ist der oder die Informationssicherheitsbeauftragte (ISB SMF) nebst Vertretung benannt. Der oder die ISB SMF unterstützt die Behördenleitung bei der Wahrnehmung ihrer Gesamtverantwortung für die Informationssicherheit, koordiniert die Umsetzung der Informationssicherheit im Geschäftsbereich und übt die Fachaufsicht aus.
- 2.
- In den Behörden des nachgeordneten Geschäftsbereichs sind grundsätzlich weitere ISB und Vertretungen benannt. Erfolgt keine Benennung, wird die Aufgabe von der Behördenleitung wahrgenommen. Bei Bedarf sind an jedem Standort einer Behörde lokale ISB zu ernennen, die die ISB der Behörden vor Ort vertreten und ihnen zuarbeiten.
- 3.
- Die Beteiligung der ISB an informationssicherheitsrelevanten Vorgängen ist in den Behörden sicherzustellen.
- 4.
- Der oder die ISB SMF vertritt den Geschäftsbereich des SMF in der ressortübergreifenden Arbeitsgruppe Informationssicherheit (AG IS) als koordinierendes Gremium für übergreifende Aspekte der Informationssicherheit.
V.
Informationssicherheitsmanagementteam
- 1.
- Im SMF wird zur Unterstützung des oder der ISB SMF bei der Erfüllung der Aufgaben ein Informationssicherheitsmanagementteam (ISM-Team SMF) gebildet. Es setzt sich zusammen aus dem oder der ISB SMF und der IT-Leitung des SMF als ständige Mitglieder sowie, soweit eine Fachanwendung betroffen ist, mindestens einer Vertretung der betroffenen Fachreferate. Bei Bedarf werden der oder die Datenschutzbeauftragte des SMF, der oder die Geheimschutzbeauftragte des SMF, die ISB der nachgeordneten Behörden oder weitere Beteiligte hinzugezogen.
- 2.
- In den Behörden des nachgeordneten Geschäftsbereichs sollen ebenfalls ISM-Teams gebildet werden.
VI.
Arbeitskreis Informationssicherheit
- 1.
- Im Geschäftsbereich des SMF wird der Arbeitskreis Informationssicherheit (AK InfoSic) eingerichtet, der das behördenübergreifende Gremium zur Abstimmung von Fragen der Informationssicherheit darstellt.
- 2.
- Der AK InfoSic tagt in regelmäßigen Abständen oder nach Bedarf unter der Leitung des oder der ISB SMF. Mitglieder sind die ISB des Ressorts. Der AK InfoSic wird über den oder die ISB SMF an allen übergeordneten Planungs- und Strategievorgängen beteiligt.
VII.
Inkrafttreten, Außerkrafttreten
Diese Verwaltungsvorschrift tritt am Tag nach der Veröffentlichung in Kraft. Gleichzeitig tritt die VwV Informationssicherheit SMF vom 22. März 2017 (SächsABl. S. 527), zuletzt enthalten in der Verwaltungsvorschrift vom 9. Dezember 2019 (SächsABl. SDr. S. S 352), außer Kraft.
Dresden, den 24. März 2021
Der Staatsminister der Finanzen
Hartmut Vorjohann