Die Dokumente der Datenschutzbeauftragen als Grundlage
- Die Dokumente der Datenschutzbeauftragen als Grundlage
-
Die Datenschutzbeauftragte hat für die Volksschulen im Kanton Zürich auf ihrer Webseite umfassende Unterlagen für die Umsetzung von Informationssicherheit publiziert. Diese Dokumente bilden die Grundlage für die Ausführungen und den Vorlagen hier im ICT-Coach. Die Erfahrungen mit den Pilotgemeinden haben gezeigt, dass die Dokumente der DSB eine gute Grundlage sind. Gewisse Dokumente wurden im Piloten ergänzt mit weiterführenden Informationen. Diese soll die Schulen in der Umsetzung bzw. Anwendung unterstützen.
Der Leitfaden
Im Leitfaden umschreibt die Datenschutzbeauftragte das Vorgehen zur Umsetzung von Informationssicherheit und erwähnt die dazugehörigen Dokumente. Im Pilot Informationssicherheit ist der Leitfaden ebenfalls als Grundlage genommen worden. Die Ausführungen zur Umsetzung der Informationssicherheit hier im ICT-Coach basieren daher auf dem Leitfaden. Es empfiehlt sich als zuständige Behörde den Leitfaden zu lesen und mit dem Projektteam die Vorgehensweise in der eigenen Schulgemeinde zu planen. Als Unterstützung dazu können die Informationen zu Schulpflegbeschluss und Projektorganisation verwendet werden.
Die Leitlinie
Mit der Leitlinie hat die Datenschutzbeauftragte eine Vorlage erstellt, mit welcher die Schulbehörde bzw. die zuständige Behörde die Grundlagen im Bereich Informationssicherheit und Datenschutz in ihrem Zuständigkeitsbereich (Schule oder Schulgemeinde) erlassen. Dazu wird die Vorlage auf die eigenen Gegebenheiten angepasst. Es ist anzumerken, dass nur die Anpassung der Leitlinie und deren Beschlussfassung durch die Schulbehörden noch nicht ausreichen, dass Informationssicherheit auch wirklich realisiert ist. Es braucht die notwendigen finanziellen und zeitlichen Ressourcen sowie das Erkennen der Risiken und das Ergreifen der Massnahmen. Dies ist ein Prozess, welcher in der Aufarbeitung mindestens zwei Jahre dauert und dann vom Projekt in den täglichen Betrieb überführt werden muss. Zum Betrieb finden sich hier weitere Informationen.
Minimummassnahmenkatalog und BSI-Dokumente
Der Minimummassnahmenkatalog ist als Checkliste zu verstehen für die Umsetzungsverantwortlichen einer Schule. Für Schulen und Gemeinden mit weniger als 6000 Einwohner sind die Teilaufgaben mit dem Schutzniveau S1 umzusetzen. Dazu ist mittels Risikoanalyse zu erkennen, welche Massnahme mit welcher Dringlichkeit umgesetzt werden muss. Mit dem hier im ICT-Coach vorgeschlagenen Vorgehen werden viele Punkte in der Umsetzung von Informationssicherheit gemäss dem Minimummassnahmenkatalog angegangen. Es empfiehlt sich für die Schulen, dass sie im Minimummassnahmenkatalog dokumentieren, was sie bereits umgesetzt haben und was bis wann in Planung ist.
Zu den einzelnen Massnahmen im Minimummassnahmenkatalog wird auf die Unterlagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwiesen. Im Minimummassnahmenkatalog ist jede Massnahme mit einer Identifikation versehen (z.B. Sichere Authentisierung von Benutzenden, sys.2.1.A1). Mit dieser Identifikation können im IT-Grundschutzkompendium weiterführende Informationen zur entsprechenden Massnahme gefunden werden.