Massnahmen zum Schutz ergreifen

Massnahmen zum Schutz ergreifen

Sicherheitsniveau einer Schule 

Die Massnahmen der Schulen zur Sicherstellung von Datenschutz und Informationssicherheit sind auf einen normalen Schutzbedarf auszurichten. Diese Einstufung erfolgt durch die Datenschutzbeauftragte (siehe Dokumente Allgemeinde Richtlinie für Informationssicherheit und Datenschutz) aufgrund der Tatsache,

  • dass die Schule Daten bearbeitet, die einen erhöhten Schutz vor unberechtigten Zugriffen und vor unerlaubten Änderungen benötigen (Personendaten und besondere Personendaten bzw. Persönlichkeitsprofile),
  • der Anzahl Schülerinnen und Schüler,
  • der Unterstützung aller wesentlichen Funktionen und Aufgaben durch IKT- und Netzwerksysteme,
  • der Tatsache, dass ein Ausfall von IKT- und Netzwerksystemen die Aufgabenerfüllung nicht beeinträchtigen darf.

Ziele der Informationssicherheit

Mit dem Ergreiffen von Massnahmen werden die folgenden Ziele sichergestellt:

  • Integrität: Informationen müssen richtig und vollständig sein.
  • Nachvollziehbarkeit: Veränderungen von Informationen müssen erkennbar und nachvollziehbar sein.
  • Verantwortung: Die politischen Behörden und die Mitarbeiterinnen und Mitarbeiter der Schule sind sich ihrer Verantwortung beim Umgang mit Informationen, IKT-Systemen und Anwendungen bewusst. Sie unterstützen die Informationssicherheitsziele.
  • Verfügbarkeit: Informationen müssen bei Bedarf vorhanden sein. Die Ausfallzeiten dürfen keine wesentlichen Auswirkungen auf den Verwaltungsbetrieb haben.
  • Vertraulichkeit: Informationen dürfen nicht unrechtmässig zur Kenntnis gelangen.
  • Zurechenbarkeit: Informationsbearbeitungen müssen einer Person zugerechnet werden können.

Vorgehen

Die Schule kann die Vorlage der DSB zu den allgemeinen Richtlinien für den Datenschutz und die Informationssicherheit verwenden und diese auf die eigene Schule anpassen (Link zur Vorlage). Diese Richtlinie umfasst die Regelung der Betriebsorganisation (siehe Massnahme 1) sowie die Festlegung des Rahmens für die Informationssicherheitsmassnahmen (siehe Massnahme 2). Das Dokument muss anschliessend von der Schulbehörde genehmigt werden. Mit dem Minimummassnahmenkatalog (LinkLink) hat die Schule eine Checkliste zur Hand, welche die einzelnen Massnahmen detailliert aufführt und die Umsetzung der erstellten allgemeinen Richtlinie erleichtern soll.

Massnahme 1: Betriebsorganisation Informationssicherheit

Bereits im Projekt ist nach vorne zu schauen und die Verteilung der Aufgaben im Bereich Informationssicherheit und Datenschutz auf die verschiedenen Funktionen und Rollen in der Schule zu verteilen. Dabei gilt es die gesetzlichen Vorgaben zu beachten sowie die Unabhängigkeit sicherzustellen. Grob zusammengefasst, sind die Aufgaben den folgenden Rollen und Funktionen zuzuteilen:

Detaillierte Ausführungen zu den Aufgaben und ihrer Zuteilung zu Rollen und Funktionen finden sich in der Übersicht der Datenschutzbeauftragten des Kantons Zürich im Dokument "Allgemeine Richtlinien für Datenschutz und Informationssicherheit" (Link). Dieses Dokument ist die Vorlage für die Umsetzung in der eigenen Schule. Folgendes Muster-Organigramm zeigt, wie die im Dokument genannten Rollen in einer Schulorganisation aufgestellt werden können, damit die Unabhängigkeit gewährleistet ist.

 

Massnahmen 2: Informationssicherheitsmassnahmen

Im Dokument der allgemeinen Richlinien werden im Kapitel 8 zwanzig Massnahmenbereiche aufgeführt. Diese Massnahmenbereiche werden wiederum im Minimummassnahmenkatalog der DSB weiter aufgeführt. Der Minumummassnahmenkatalog kann daher als Checkliste angesehen werden für eine Schule. Sie hält darin fest, welche Massnahmen sie bereits umgesetzt hat. 

Die 20 Massnahmen lassen sich in sieben Themenbereiche aufgliedern. Damit wird gezeigt, dass die Massnahmen im Zusammenhang gedacht werden und aufeinander abgestimmt werden sollen.