Leitlinie für Informationssicherheit

 

Einführung

Der Betrieb einer Hochschule hängt in hohem Maße von IT-Dienstleistungen ab. Das Vertrauen der Benutzer in die Informationstechnik bildet die Grundlage für ihren erfolgreichen Einsatz. Um dieses Vertrauen zu rechtfertigen, muss die Sicherheit von Informationen und Informationstechnik hochschulweit gewährleistet sein.

Diese Leitlinie definiert grundsätzliche Regelungen zur Informationssicherheit für die Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (im Folgenden „FHWS“ oder „Hochschule“). Die Leitlinie bildet die Grundlage des Informationssicherheitskonzepts der Hochschule. Als Rahmendokument legt sie den Stellenwert und die Ziele der Informationssicherheit sowie die Organisationsstruktur des Informationssicherheitsmanagements fest. Die Leitlinie ergänzt bestehende Richtlinien der Hochschule und steht im Einklang mit geltenden gesetzlichen Regelungen und anderen relevanten Vorschriften.

Die Hochschulleitung hat die Gesamtverantwortung für die Informationssicherheit an der FHWS. Damit die Hochschulleitung dieser Verantwortung angesichts einer wachsenden Bedrohung der sich rasch weiterentwickelnden Technik nachkommen kann, müssen sämtliche Einrichtungen der Hochschule Informationssicherheit als gemeinsame Herausforderung begreifen und die Verantwortlichen in der Bewältigung der Aufgaben unterstützen. Diese Aufgaben sollen auf der Basis dieser Leitlinie in einem kontinuierlichen Informationssicherheitsmanagement bewältigt werden.

 

Stellenwert der Informationssicherheit

Die FHWS ist eine der größten Hochschulen für angewandte Wissenschaften in Bayern. Der reibungslose Ablauf der Prozesse in der Lehre, Forschung und Verwaltung der FHWS hängt in hohem Maße von der Qualität von IT Dienstleistungen ab. Die Digitalisierungsstrategie der Hochschule unterstreicht diese wichtige Rolle der IT. Ziel der Strategie ist neben der Vermittlung digitaler Kompetenzen an die Studierenden u. a. die stärkere Digitalisierung der hochschulinternen Prozesse. Mit der Digitalisierung steigen die Anforderungen an die Informationssicherheit in der Hochschule. Die Initiierung, Umsetzung und kontinuierliche Verbesserung des Informationssicherheitskonzepts gewährleistet, dass die Hochschule ihre Aufgaben erfüllen kann, indem IT gestützte Prozesse sicher und fehlerfrei ablaufen.

 

Geltungsbereich

Diese Leitlinie gilt für die gesamte Hochschule. Sie betrifft alle organisatorischen Einheiten (z. B. Fakultäten, Institute, Stabsstellen, Hochschulservices, zentrale Einrichtungen) an allen Standorten der FHWS. Sie ist für alle Hochschulangehörigen (z. B. Studierende, Dozenten inkl. Lehrbeauftragte, wissenschaftliches und technisches Personal, Verwaltungsangestellte, Hochschulleitung) sowie externe Dienstleister und Besucher/Gäste der FHWS verpflichtend einzuhalten, sofern Sie Zugang zu hochschulinternen Informationen erlangen oder die Informationstechnik der Hochschule verwenden.

 

Ziele der Informationssicherheit

Mit der Stärkung der Informationssicherheit will die FHWS insbesondere folgende Ziele erreichen:

(1)           Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und der Informationstechnik unter Berücksichtigung ihrer spezifischen Anforderungen.

(2)           Schutz der IT-Infrastruktur und der damit verarbeiteten Informationen gegen Missbrauch von innen und außen.

(3)           Sicherstellung einer zuverlässigen IT-Unterstützung des Lehr-, Forschungs- und Verwaltungsbetriebes.

(4)           Einhaltung gesetzlicher Vorgaben im Umgang mit Informationen und Informationstechnik.

(5)           Aufrechterhaltung der positiven Außendarstellung der Hochschule in der Öffentlichkeit.

Absolute Informationssicherheit gibt es nicht. Daher ist das Ziel der Hochschule, die Risiken, die mit dem Betrieb der IT-Infrastruktur und der Verarbeitung von Informationen einhergehen, auf ein akzeptables Maß zu reduzieren. Die umzusetzenden Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch das Eintreten eines Sicherheitsvorfalls erwartet wird. Zudem sind die Sicherheitsmaßnahmen mit den Anforderungen der akademischen Freiheit abzuwägen.

 

Informationssicherheitsmaßnahmen

Die Hochschule ergreift die technischen und organisatorischen Maßnahmen, die notwendig sind, um die oben genannten Ziele zu erreichen. Dazu etabliert die FHWS ein Informationssicherheitsmanagementsystem (ISMS), welches sich an der Vorgehensweise eines zertifizierbaren Standards orientiert. Die einzelnen Maßnahmen orientieren sich am Grundschutzkatalog des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das ISMS und die Einhaltung der technischen und organisatorischen Maßnahmen werden regelmäßig auf Aktualität und Wirksamkeit geprüft, um das angestrebte Sicherheitsniveau herzustellen. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation an der Hochschule zu verbessern.

Das geforderte Maß an Informationssicherheit kann an der Hochschule nur erreicht werden, wenn alle Angehörigen der Hochschule die eigenen Kompetenzen und Pflichten kennen und sich verantwortungsbewusst verhalten. Um die notwendigen Kompetenzen zur Informationssicherheit aufzubauen, bzw. zu vertiefen, werden alle Hochschulangehörigen im erforderlichen Umfang sensibilisiert und qualifiziert. Alle Hochschulangehörigen werden über informationssicherheitsrelevante Themen und Regelungen durch geeignete Kanäle informiert.

 

Organisationsstruktur und Verantwortlichkeiten für das Informationssicherheitsmanagement[1]

Die Hochschulleitung hat die Gesamtverantwortung für die Informationssicherheit in der Hochschule. Sie steht in vollem Umfang hinter den in dieser Leitlinie formulierten Zielen und den daraus abgeleiteten und abzuleitenden Maßnahmen. Die Hochschulleitung trifft strategische Entscheidungen zum Informationssicherheitskonzept der FHWS, erlässt verbindliche Regeln zur Informationssicherheit und gibt sie den Hochschulangehörigen bekannt. Sie stellt jederzeit eine Möglichkeit zur Kenntnisnahme der aktuellen Regeln sicher.

Die Hochschulleitung richtet einen Informationssicherheitsausschuss (ISA) ein. Der ISA bereitet die strategischen Entscheidungen zum Informationssicherheitskonzept für die Hochschulleitung vor, wie z. B. die Bestimmung der Sicherheitsziele und der Sicherheitsstrategie, die Erstellung und die Anpassung des Sicherheitskonzeptes. Die Mitglieder des ISA werden durch die Hochschulleitung berufen.

Die Hochschulleitung benennt einen Informationssicherheitsbeauftragten[2] (ISB), der über eine geeignete Fachkompetenz zur Informationssicherheit verfügt. Er koordiniert und steuert methodisch das Informationssicherheitsmanagementsystem der Hochschule und ist in Fragen der Informationssicherheit den Hochschulangehörigen gegenüber weisungsbefugt. Der ISB berichtet in seiner Funktion direkt an die Hochschulleitung und hat den Vorsitz im ISA.

Der Datenschutzbeauftragte (DSB) der FHWS wirkt beratend am Informationssicherheitsmanagement in Belangen des Datenschutzes mit.

Das IT-Service Center (ITSC) nimmt als Dienstleister für zentrale IT-Services innerhalb der Hochschule eine wichtige Rolle für die Informationssicherheit ein. Das ITSC ist für die Umsetzung der technischen Sicherheitsmaßnahmen innerhalb seines Verantwortungsbereiches zuständig.

Die Bereichs-Informationssicherheitsbeauftragten (z. B. in Fakultäten oder Instituten) sind Multiplikatoren für das Informationssicherheitskonzept innerhalb ihres Verantwortungsbereiches.

Alle Hochschulangehörigen tragen die Verantwortung, bestimmungsgemäß und sachgerecht mit den von ihnen genutzten Informationen und der Informationstechnik umzugehen. Sie sind angehalten, die Regeln zur Informationssicherheit für ihren Arbeitsbereich anzuwenden.

 

Umsetzung der Leitlinie

Die Hochschulleitung setzt die Leitlinie in Kraft. Alle Hochschulangehörigen erlangen Kenntnis von der Leitlinie und erkennen sie an. Die Hochschulleitung motiviert die Hochschulangehörigen zur Einhaltung dieser Leitlinie und unterstützt die ständige Verbesserung des Sicherheitsniveaus. Alle Angehörigen der Hochschule sind angehalten, Verbesserungsvorschläge das ISMS betreffend an den ISB zu melden.

Die Revision der Leitlinie erfolgt zwölf Monate nach ihrem Inkrafttreten durch den ISB und wird auch in Zukunft einer jährlichen Revision unterzogen.

 

Würzburg, den 29.11.2017

Der Präsident – Prof. Dr. Robert Grebner



[1]   Die genaue Ausgestaltung der Organisationsstruktur ist dem Dokument „Organisationsstruktur/ Governance Informationssicherheitsmanagement“ zu entnehmen.


[2]   Status- und Funktionsbezeichnungen nach dieser Leitlinie gelten gleichermaßen in der weiblichen wie in der männlichen Form.