Verwaltungsvorschrift
des Sächsischen Staatsministeriums der Justiz
und für Demokratie, Europa und Gleichstellung
zur Gewährleistung der Informationssicherheit
(VwV Informationssicherheit Justiz)
Vom 17. September 2021
(berichtigt vom 14. Januar 2022 [SächsJMBl. S. 2])
[geändert durch VwV vom 11. Dezember 2023 (SächsJMBl. S. 256)
mit Wirkung ab 1. Januar 2024]
I.
Regelungsgegenstand, Begriffsbestimmung
Diese Verwaltungsvorschrift dient der Schaffung eines Informationssicherheitsprozesses zur Gewährleistung der Informationssicherheit. Die allgemeinen Grundsätze und Ziele der Informationssicherheit, die Verantwortlichkeiten und Rollen sowie die Informationssicherheitsorganisation sind in der Leitlinie Informationssicherheit (Anlage 1) ausgeführt. Staatliche Stellen im Sinne dieser Verwaltungsvorschrift sind das Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung und sämtliche ihm nachgeordneten Behörden sowie die Gerichte.
II.
Beauftragte für Informationssicherheit
- 1.
- Die Beauftragten für Informationssicherheit fördern die Informationssicherheit mit dem Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten.
- 2.
- Den Beauftragten für Informationssicherheit werden keine Entscheidungsbefugnisse übertragen.
- 3.
- Über Ernennungen der Beauftragten für Informationssicherheit ist das Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung durch die Leiterin oder den Leiter der staatlichen Stelle auf dem Dienstweg zu unterrichten.
- 4.
- In die Beurteilung, ob Vorgänge im jeweiligen Zuständigkeitsbereich Auswirkungen auf die Informationssicherheit haben, ist die oder der jeweils zuständige Beauftragte für Informationssicherheit der staatlichen Stelle einzubeziehen. Hierbei sind der oder dem Beauftragten für Informationssicherheit wesentliche Informationen zur Beurteilung zu übermitteln. Die oder der Beauftragte für Informationssicherheit hat binnen drei Monaten Stellung zu nehmen, ob die Informationssicherheit berührt ist. Falls dies der Fall ist, ist sie oder er anschließend an allen Vorgängen im jeweiligen Zuständigkeitsbereich zu beteiligen, die Auswirkungen auf die Informationssicherheit haben. Die oder der Beauftragte für Informationssicherheit kann hierzu Informationen und Dokumente anfordern, den für die Vorgänge Verantwortlichen Vorgaben der Informationssicherheit mitteilen und bei der Umsetzung der Vorgaben unterstützend mitwirken. Die Gesamtverantwortung nach Nummer 3.1 der Anlage 1 bleibt hiervon unberührt.
III.
Information und Sensibilisierung der Bediensteten
- 1.
- Bedienstete im Sinne dieser Verwaltungsvorschrift sind alle im Geschäftsbereich des Staatsministeriums der Justiz und für Demokratie, Gleichstellung und Europa tätigen Richterinnen und Richter, Beamtinnen und Beamten, Referendarinnen und Referendare sowie Tarifbeschäftigten und Auszubildenden. Für Praktika sowie andere Dienst- und Beschäftigtenverhältnisse gilt die Verwaltungsvorschrift entsprechend.
- 2.
- Die Bediensteten sind auf diese Verwaltungsvorschrift und die Anlage 1 sowie auf deren Ablageort im Intranet hinzuweisen. Auf Anforderung sind diese Verwaltungsvorschrift und die Anlage 1 in Papierform auszuhändigen.
- 3.
- Die Bediensteten sind über ihre Pflichten gemäß Nummer 3.4 der Anlage 1 zu informieren. Die Information erfolgt unverzüglich nach dem Dienstantritt der Bediensteten. Die staatlichen Stellen haben die Durchführung der Information aktenkundig zu machen. Bereits im Dienst befindliche Bedienstete sind binnen sechs Monaten nach Inkrafttreten dieser Verwaltungsvorschrift zu informieren.
- 4.
- Die Bediensteten sind mittels geeigneter Maßnahmen fortlaufend zu sensibilisieren. Geeignete Maßnahmen können insbesondere Hinweise zum verantwortungsvollen Umgang mit IT-Technik, Informationen zu aktuellen und für die Justiz relevanten Geschehnissen aus der Informationssicherheit sowie Anweisungen zum informationssicheren Verhalten im Dienst und zum Umgang mit Hard- und Software sein.
- 5.
- Zukünftige, im Rahmen der Informationssicherheit erforderliche Belehrungen der Bediensteten haben unverzüglich zu erfolgen und sind jeweils aktenkundig zu machen.
- 6.
- Die Bediensteten sind verpflichtet, sich zur Informationssicherheit durch Kenntnisnahme der im Intranet bereitgestellten Dokumente und der durch die Beauftragten für Informationssicherheit übermittelten Hinweise selbst laufend fortzubilden.
- 7.
- Die Bediensteten mit einem Active-Directory-Benutzerkonto (AD-Benutzerkonto) haben binnen zwei Monaten nach Dienstantritt das durch den Beauftragten für Informationssicherheit des Landes angebotene elektronische Lernprogramm zum Thema "Informationssicherheit am Arbeitsplatz" in der jeweils aktuellen Fassung zu absolvieren. Dies gilt nicht, wenn ein Nachweis über die Absolvierung des Lernprogramms bereits erfolgt ist.
- 8.
- Bedienstete mit einer beabsichtigten Verweildauer unter zwei Monaten in der Dienststelle oder ohne AD-Benutzerkonto sind unverzüglich nach Dienstantritt unter Nutzung des Musters in Anlage 3 schriftlich zur Informationssicherheit am Arbeitsplatz zu belehren. Stattdessen können die Bediensteten das elektronische Lernprogramm absolvieren. Die Belehrung oder der Nachweis über die Absolvierung des Lernprogramms ist von der Dienstellenleitung aktenkundig zu machen.
IV.
Externe Leistungserbringer
- 1.
- Soweit die staatlichen Stellen es für erforderlich halten, haben sie die von ihnen mit der Durchführung von Leistungen beauftragten Personen, Behörden und Unternehmen, die nicht zum Geschäftsbereich gehören (externe Leistungserbringer), gemäß Nummer 3.6 der Anlage 1 zur Gewährleistung der Einhaltung der Informationssicherheitsziele zu informieren. Hierzu sind diese Verwaltungsvorschrift und die Anlage 1 zu verwenden und in Papierform auszuhändigen. Die erfolgte Information ist von der staatlichen Stelle zu dokumentieren.
- 2.
- Die Verpflichtung wird schriftlich unter Nutzung des Musters in der Anlage 2 nach Einbindung der oder des zuständigen Beauftragten für Informationssicherheit vorgenommen. Dabei ist auf die strafrechtlichen Folgen einer Pflichtverletzung hinzuweisen.
V.
Inkrafttreten, Außerkrafttreten
Diese Vorschrift tritt am Tag nach ihrer Veröffentlichung in Kraft. Gleichzeitig tritt die Verwaltungsvorschrift des Sächsischen Staatsministeriums der Justiz zur Gewährleistung der Informationssicherheit vom 6. Januar 2017 (SächsJMBl. S. 4), zuletzt enthalten in der Verwaltungsvorschrift vom 6. Dezember 2019 (SächsABl. SDr. S. S 374), außer Kraft.
Dresden, den 17. September 2021
Die Staatsministerin der Justiz und für Demokratie, Europa und Gleichstellung
Katja Meier
Anlage 1
Leitlinie
des Sächsischen Staatsministeriums der Justiz
und für Demokratie, Europa und Gleichstellung
zur Gewährleistung der Informationssicherheit
(Leitlinie Informationssicherheit)
Inhaltsübersicht
- 1.
- Einleitung
- 2.
- Grundsätze und Ziele der Informationssicherheit
- 2.1
- Begriffe
- 2.2
- Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
- 2.3
- Informationssicherheit als Leistungsmerkmal von Geschäftsprozessen und IT-Verfahren
- 2.4
- Regelungskompetenz und Subsidiarität
- 2.5
- Informationssicherheitsmanagement-Team
- 2.6
- Sicherheit vor Verfügbarkeit
- 3.
- Verantwortlichkeiten und Rollen
- 3.1
- Verantwortung der Leitungsebene
- 3.2
- Verantwortung der Beauftragten für Informationssicherheit
- 3.3
- Verantwortung der Bediensteten
- 3.4
- Fachverantwortliche
- 3.5
- Beschäftigung externer Leistungserbringer
- 4.
- Umsetzung
- 5.
- Sicherung und Verbesserung der Informationssicherheit
- 6.
- Notfallmanagement
- 1.
- Einleitung
- a)
- Die umfassende Sicherheit der von der Justiz und der Justizverwaltung verarbeiteten Informationen muss auch bei fortschreitender Digitalisierung sowohl der internen Geschäftsgänge als auch der Kommunikation mit Externen gewährleistet sein, weil dies eine der zwingenden Voraussetzungen ist, um das Vertrauen der Menschen in die Justiz als dritte Gewalt in unserer demokratischen Staatsordnung zu erhalten und zu vertiefen.
- b)
- Diese Leitlinie konkretisiert die Vorgaben des Sächsischen Informationssicherheitsgesetzes vom 2. August 2019 (SächsGVBl. S. 630) für den Geschäftsbereich des Staatsministeriums der Justiz und für Demokratie, Europa und Gleichstellung und trifft darüber hinausgehende Regelungen. Die Gewährleistung der Informationssicherheit erfordert einen umfassenden Ansatz, der technische und organisatorische Umsetzungsmaßnahmen sowie rechtliche Regelungen gleichermaßen in den Blick nimmt. Hierfür bedarf es der Initiierung und Etablierung eines umfassenden Informationssicherheitsprozesses, der den gesamten Geschäftsbetrieb umfasst. Diese Leitlinie beschreibt die vom Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung formulierten Informationssicherheitsziele, die verfolgte Informationssicherheitsstrategie und die Organisationsstrukturen, die für die Initiierung und Etablierung des Informationssicherheitsprozesses erforderlich sind. Sie orientiert sich an den aktuellen gültigen Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
- 2.
- Grundsätze und Ziele der Informationssicherheit
- 2.1
- Begriffe
- a)
- Informationssicherheit: Dies bezeichnet einen Zustand, in dem die Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und der sie verarbeitenden Systeme durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. Die Informationssicherheit umfasst neben der Sicherheit von IT-Systemen und den darin gespeicherten Informationen auch die Sicherheit von nicht elektronisch verarbeiteten Informationen.
- b)
- Vertraulichkeit: Dies bedeutet Schutz vor unbefugter Preisgabe von Informationen.
- c)
- Integrität: Damit wird die Sicherstellung der Korrektheit und Unversehrtheit von Daten und der korrekten Funktionsweise von Systemen bezeichnet. Der Verlust der Integrität von Informationen kann insbesondere bedeuten, dass diese unerlaubt verändert, Angaben zum Autor verfälscht oder Zeitangaben zur Erstellung manipuliert wurden.
- d)
- Verfügbarkeit: Die Verfügbarkeit ist das Vorhandensein von Dienstleistungen, Funktionen eines IT-Systems, IT-Anwendungen oder IT-Netzen oder auch von Informationen gemäß der jeweils für sie geltenden Anforderungen.
- e)
- Notfallmanagement: Es dient der Erhöhung der Ausfallsicherheit und der adäquaten Vorbereitung der Gerichte und Behörden auf Notfälle und Krisen, damit die wichtigsten Geschäftsprozesse bei einem etwaigen Ausfall schnellstmöglich wieder aufgenommen werden können.
- 2.2
- Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
- Zur Erreichung und Aufrechterhaltung eines angemessenen und ausreichenden Informationssicherheitsniveaus sind die Standards des BSI in der jeweils aktuell gültigen Fassung maßgeblich.
- 2.3
- Informationssicherheit als Leistungsmerkmal von Geschäftsprozessen und IT-Verfahren
- Informationssicherheit ist ein zu bewertendes und herbeizuführendes Leistungsmerkmal von Geschäftsprozessen und IT-Verfahren. Bei der Gestaltung von Geschäftsprozessen sind technische und organisatorische Sicherheitsmaßnahmen zu berücksichtigen. Bleiben im Einzelfall trotz Sicherheitsvorkehrungen untragbare Risiken, ist auf den Einsatz des IT-Verfahrens zu verzichten oder der Geschäftsprozess anzupassen. Bei der Abwägung zwischen den Belangen der Informationssicherheit und der Gewährleistung einer effektiven Aufgabenerfüllung ist eine Risikobetrachtung erforderlich.
- 2.4
- Regelungskompetenz und Subsidiarität
- Das Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung regelt Belange von übergeordnetem Interesse für den Geschäftsbereich, definiert Mindeststandards zur Informationssicherheit und formuliert Vorgaben zur Erreichung von Sicherheitszielen. Bei der Umsetzung der Aufgaben sind die staatlichen Stellen an diese aufgestellten Regelungen, Mindeststandards und Vorgaben gebunden. Sie können für den jeweiligen Zuständigkeitsbereich entsprechend den individuellen Anforderungen präzisiert und ergänzt sowie an die besonderen Bedürfnisse der einzelnen staatlichen Stellen angepasst werden. Die staatlichen Stellen sind im Übrigen, unbeschadet fachaufsichtlicher Vorgaben, in der Auswahl der Mittel frei, mit denen sie die Ziele der Informationssicherheit erreichen wollen.
- 2.5
- Informationssicherheitsmanagement-Team
- a)
- Beim Sächsischen Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung wird ein Informationssicherheitsmanagement-Team im Sinne von § 9 Satz 1 des Sächsischen Informationssicherheitsgesetzes gebildet. Zur Sicherstellung der Informationssicherheit wirkt das Informationssicherheitsmanagement-Team beratend an der Festlegung von strategischen Entscheidungen und Einzelmaßnahmen mit möglichen Auswirkungen auf die Informationssicherheit mit, die vom Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung festgesetzt werden.
- b)
- Das Informationssicherheitsmanagement-Team setzt sich wie folgt zusammen:
- aa)
- die oder der Beauftragte beim Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung;
- bb)
- die oder der Beauftragte der Leitstelle für Informationstechnologie der Justiz;
- cc)
- vier Beauftragte als Vertreterinnen und Vertreter der Ordentlichen Gerichtsbarkeit, darunter zwingend die oder der Beauftragte des Oberlandesgerichts Dresden;
- dd)
- zwei Beauftragte als Vertreterinnen und Vertreter der Fachgerichtsbarkeit;
- ee)
- zwei Beauftrage als Vertreterinnen und Vertreter der Justizvollzugsanstalten;
- ff)
- eine Beauftragte oder ein Beauftragter als Vertreterin oder Vertreter der Staatsanwaltschaften;
- gg)
- eine Beauftragte oder ein Beauftragter als Vertreterin oder Vertreter des Ausbildungszentrums Bobritzsch.
- c)
- Das Informationssicherheitsmanagement-Team führt den Informationssicherheitsprozess ein und gestaltet ihn, formuliert Rahmenrichtlinien zur Gewährleistung der Informationssicherheit des Geschäftsbereiches und beachtet dabei die aktuell gültigen Standards des BSI. Es tritt auf Anforderung und Einladung der oder des Beauftragten beim Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung zusammen.
- 2.6
- Sicherheit vor Verfügbarkeit
- Im Falle einer Bedrohungs- oder sonstigen Risikolage kann die Verfügbarkeit von Informations- und Kommunikationstechnik, IT-Anwendungen sowie Daten und Netzwerken entsprechend dem Bedrohungs- und Schadensrisiko vorübergehend eingeschränkt werden. Im Interesse der Funktionsfähigkeit der Justiz und der Verwaltung ist der Schutz vor Schäden vorrangig. Vertretbare Einschränkungen in Bedienung und Komfort sind hinzunehmen. Dies gilt in besonderem Maße für die Übergänge zu anderen Netzwerken, vor allem zum Internet.
- 3.
- Verantwortlichkeiten und Rollen
- 3.1
- Verantwortung der Leitungsebene
- Die Leiterin oder der Leiter hat insbesondere folgende Aufgaben:
- a)
- sie oder er trägt die Verantwortung für die Umsetzung der vereinbarten Sicherheitsmaßnahmen und eine geeignete Dokumentation,
- b)
- sie oder er stellt die bereitgestellten Mittel für die Beschaffung und den Betrieb der vereinbarten Sicherheitsmaßnahmen zur Verfügung,
- c)
- sie oder er veranlasst erforderliche Schulungsmaßnahmen,
- d)
- sie oder er gibt die aktuellen Regelungen den Bediensteten bekannt und sorgt dafür, dass diese sich jederzeit darüber informieren können.
- 3.2
- Verantwortung der Beauftragten für Informationssicherheit
- Die Aufgaben der Beauftragten für Informationssicherheit umfassen insbesondere:
- a)
- die in § 7 Absatz 3 des Sächsischen Informationssicherheitsgesetzes normierten Aufgaben,
- b)
- die Sicherstellung der korrekten und verantwortungsbewussten Umsetzung der Standards des BSI in der jeweils aktuellen Fassung,
- c)
- die Beratung der jeweiligen staatlichen Stelle bei der organisatorischen Umsetzung strategischer Entscheidungen,
- d)
- die Steuerung und Koordinierung des Sicherheitsprozesses,
- e)
- die Mitwirkung bei der Erstellung von Sicherheitskonzepten,
- f)
- die Beschreibung von Sicherheitsmaßnahmen sowie die Initiierung und Prüfung ihrer Umsetzung,
- g)
- die Beratung der Leitungsebene,
- h)
- die Berichterstattung an die Leitungsebene und an die Beauftragten für Informationssicherheit übergeordneter Stellen über den Status der Informationssicherheit im Zuständigkeitsbereich,
- i)
- die Mitwirkung bei der Koordinierung sicherheitsrelevanter Projekte,
- j)
- die Koordinierung und Dokumentation der Behandlung sicherheitsrelevanter Vorfälle,
- k)
- die Initiierung und Koordinierung von Sensibilisierungs- und Schulungsmaßnahmen,
- l)
- die Gewährleistung des Zugangs der Bediensteten zu den erforderlichen Informationen.
- 3.3
- Verantwortung der Leitstelle für Informationstechnologie der sächsischen Justiz
- a)
- Die Leitstelle für Informationstechnologie der sächsischen Justiz ist für die Umsetzung der technischen Aufgaben, die sich aus den strategischen Entscheidungen ergeben, verantwortlich.
- b)
- Zwischen den Beauftragten für Informationssicherheit beim Staatsministerium der Justiz und für Demokratie, Europa und Gleichstellung sowie bei der Leitstelle für Informationstechnologie der sächsischen Justiz finden regelmäßige Abstimmungen zur Umsetzung der technischen Aufgaben und zu den damit verbundenen weiterführenden Maßnahmen statt.
- 3.4
- Verantwortung der Bediensteten
- a)
- Alle Bediensteten gewährleisten die Informationssicherheit durch ihr verantwortungsvolles Handeln und halten die für die Informationssicherheit relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein. Sie gehen korrekt und verantwortungsbewusst mit den von ihnen genutzten IT-Systemen, Daten und Informationen um.
- b)
- Die Bediensteten haben sich in Belangen der Informationssicherheit fortlaufend und eigenverantwortlich in geeigneter Weise zu informieren und fortzubilden. Hierfür werden ihnen die maßgeblichen Grundlagen zur Verfügung gestellt. Sie sind im erforderlichen Umfang durch die Beauftragten für Informationssicherheit zu sensibilisieren und zu qualifizieren.
- c)
- Jegliches Verhalten, das die Sicherheit von Daten, Informationen, IT-Systemen oder der Netze gefährdet, kann zu schwerwiegenden Folgen für Geschäftsprozesse und Schäden für den gesamten Geschäftsbereich führen und soll daher unterlassen werden. Bei Auftreten eines Sicherheitsvorfalls sind die jeweiligen Meldewege konsequent zu beachten. Die Bediensteten sind angehalten, auf mögliche Schwachstellen und Verbesserungsmöglichkeiten der Informationssicherheit hinzuweisen.
- 3.5
- Fachverantwortliche
- a)
- Die oder der Fachverantwortliche ist inhaltlich für einen oder mehrere Geschäftsprozesse oder Fachverfahren zuständig. Sie oder er hat im Rahmen der Informationssicherheit zu gewährleisten:
- aa)
- die Festlegung der geschäftlichen Relevanz der Informationen und deren Schutzbedarf sowie
- bb)
- die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz der Informationen umgesetzt werden.
- b)
- Die oder der Fachverantwortliche muss den Zugang zu Informationen sowie den Umfang und die Art der Autorisierung definieren, die im jeweiligen Verfahren erforderlich ist. Bei diesen Entscheidungen sind folgende Faktoren zu berücksichtigen:
- aa)
- die Notwendigkeit, die Informationen entsprechend ihrer geschäftlichen Relevanz zu schützen,
- bb)
- die Aufbewahrungsvorschriften und die mit den Informationen verbundenen rechtlichen Anforderungen und
- c)
- die Frage, inwieweit die Informationen für die jeweiligen Geschäftsanforderungen zugänglich sein müssen.
- 3.6
- Beschäftigung externer Leistungserbringer
- Die staatliche Stelle informiert, wenn sie dies nach Ziffer IV Nummer 1 für erforderlich hält, die externen Leistungserbringer über die Vorgaben zur Einhaltung der Informationssicherheitsziele gemäß dieser Leitlinie und verpflichtet sie diese einzuhalten. Die externen Leistungserbringer haben bei erkennbaren Mängeln und Risiken der von ihnen veranlassten Sicherheitsmaßnahmen die staatliche Stelle nach Maßgabe des jeweiligen Auftragsverhältnisses zu informieren.
- 4.
- Umsetzung
- Auf der Grundlage dieser Leitlinie und der für die gesamte Landesverwaltung geltenden Richtlinien für Informationssicherheit können im Geschäftsbereich eigene spezifische Informationssicherheitsrichtlinien, Informationssicherheitskonzepte und weitere Regelungen zur Informationssicherheit im erforderlichen Umfang gestaltet werden. Eine Unterschreitung der in dieser Leitlinie aufgestellten Maßstäbe ist nicht zulässig.
- 5.
- Sicherung und Verbesserung der Informationssicherheit
- a)
- Die Beauftragten für Informationssicherheit überprüfen regelmäßig den Informationssicherheitsprozess auf seine Aktualität und Wirksamkeit. Insbesondere werden die Maßnahmen regelmäßig daraufhin untersucht, ob sie den betroffenen Bediensteten bekannt, umsetzbar und in den Betriebsablauf integrierbar sind. Das Informationssicherheitsmanagement-Team gibt den Ablauf des Überprüfungsprozesses vor. Die Leiterinnen und Leiter der staatlichen Stellen unterstützen die ständige Verbesserung des Sicherheitsniveaus.
- b)
- Durch eine kontinuierliche Revision der Regelungen und deren Einhaltung wird das angestrebte Sicherheits- und Datenschutzniveau sichergestellt. Abweichungen werden mit dem Ziel analysiert, die Informationssicherheit zu verbessern und ständig auf dem aktuellen Stand zu halten.
- 6.
- IT-Notfallmanagement
- Es ist ein IT-Notfallmanagementsystem entsprechend dem Informationssicherheitsmanagement auf Grundlage der jeweils geltenden BSI-Standards aufzubauen, um die Kontinuität des Geschäftsbereichs in Notfällen sicherzustellen und Schäden durch Notfälle oder Krisen zu minimieren. Näheres bestimmt die Leitlinie IT-Notfallmanagement Justiz des Sächsischen Staatsministeriums der Justiz und für Demokratie, Europa und Gleichstellung vom 10. Februar 20231.
Anlage 2
Anlage 3
(zu Ziffer III Nummer 8 Satz 1)
……………………………………………………
Dienststelle
Belehrung zur Informationssicherheit am Arbeitsplatz
- I.
- Umgang mit Daten, Dokumenten und Informationen
- 1.
- Es sind keine personenbezogenen Daten oder dienstlichen Dokumente und Informationen unbefugt an Dritte weiterzugeben (z. B. per E-Mail oder per Telefon), sie dürfen nicht unbefugt Dritten zur Kenntnis gelangen (etwa durch Einsichtnahme am Bildschirm oder Ausdrucke).
- 2.
- Es ist untersagt, dienstliche Dokumente unbefugt zu scannen, zu kopieren oder zu anderen als dienstlichen Zwecken zu verwenden.
- 3.
- Eventuelle Ausdrucke mit vertraulichen Informationen (z. B. personenbezogenen Daten) müssen sicher vernichtet werden, wenn sie nicht mehr benötigt werden. Insbesondere ist eine Entsorgung mit dem Haus- oder Papiermüll nicht zulässig. Unterlagen sind grundsätzlich in der Dienststelle nach den dort geltenden Vorgaben zu entsorgen.
- 4.
- Dienstliche Dokumente und Informationen sind nicht zu veröffentlichen und vor allem nicht auf Social-Media-Plattformen zu verbreiten.
- 5.
- Dienstliche Dokumente und Informationen dürfen per E-Mail nicht unverschlüsselt übermittelt werden. Z. B. sind Übermittlungen an Empfänger mit einer Sachsen.de-E-Mail-Adresse verschlüsselt.
- 6.
- Mobile Datenträger und analoge Dokumente mit dienstlichen Inhalten dürfen nicht frei zugänglich aufbewahrt werden.
- 7.
- Dienstliche Akten und Dokumente sind außerhalb der Dienststelle diebstahlsicher zu transportieren und aufzubewahren.
- 8.
- Dienstliche Dokumente und Informationen dürfen nicht in der Öffentlichkeit bearbeitet werden.
- II.
- Umgang mit Hardware und Software
- 9.
- Der dienstliche und der für dienstliche Zwecke genutzte private Computer ist mit einem komplexen Passwort bestehend aus mindestens 14 Stellen zu sichern.
- 10.
- Passwörter sind stets sicher aufzubewahren.
- 11.
- Beim Verlassen des Arbeitsplatzes ist der Computer zu sperren und nach Möglichkeiten das Arbeitszimmer zu verschließen.
- 12.
- Der dienstliche oder für dienstliche Zwecke verwendete private Computer darf nicht mit freien WLAN-Hotspots (z. B. in Internet-Cafés, Bahn, Hotel, Supermärkten) verbunden werden.
- 13.
- Auf dem für dienstliche Zwecke genutzten privaten Computer ist ein aktuelles Betriebssystem mit einem aktuellen Virenscanner zu verwenden.
- 14.
- Software darf nur von der Leitstelle für Informationstechnologie der sächsischen Justiz auf dem dienstlichen Computer installiert werden.
- III.
- Umgang mit mobilen Datenträgern
- 15.
- Justizfremde Datenträger (u. a. USB-Sticks, CDs, DVDs, SD-Karten) dürfen nicht an dem dienstlichen Computer angeschlossen und ausgelesen werden.
- 16.
- Dienstliche Inhalte auf justizeigenen mobilen Datenträgern sind zwingend zu verschlüsseln.
- IV.
- Umgang mit Internet und E-Mail
- 17.
- Die Nutzung von E-Mail und Internet ist nur im Rahmen der dienstlich übertragenen Aufgaben gestattet.
- 18.
- Links in E-Mails sind vor dem Öffnen zu prüfen, indem die Maus über dem Link, ohne zu klicken, positioniert wird – sogenanntes Mouse-over. Die daraufhin angezeigte Internetadresse ist zu überprüfen, ob diese mit dem Link-Text in der E-Mail übereinstimmt und auf eine vertrauenswürde Internetadresse verweist. Beispiele für gefälschte Internetadressen sind https://www.sprakasse.de, https://www.arnazon.de, https://paypa1.com
- 19.
- Anhänge und Links in verdächtigen E-Mails dürfen nicht geöffnet werden. Verdächtige E-Mails sind zwingend als Anhang einer neuen E-Mail mit aussagekräftigem, daher warnendem, Betreff an spammeldung@lit.justiz.sachsen.de zu senden.
Ort, Datum | Unterschrift |
---|---|
.......................................................... | .......................................................... |
Ort, Datum | Unterschrift Bedienstete/Bediensteter |