Informationssicherheit

Informationssicherheit

Mit der Ausarbeitung des eigenen Informationssicherheits- und Datenschutzkonzepts (ISDS-Konzept) wird der Rahmen für den bewussten Umgang mit Risiken geschaffen. Basierend auf den Unterlagen der Datenschutzbeauftragten des Kantons Zürich werden in Zusammenarbeit mit der ZHAW verschiedene notwendige Dokumente aufgearbeitet, die in einer Schule wichtige Aspekte insbesondere im Bereich der Informationssicherheit regeln sollen. Diese beinhalten mehrheitlich formelle Aspekte. Wie so oft liegt die Herausforderung in der alltäglichen Umsetzung. Gelingensbedingung dafür ist die formelle Erarbeitung bzw. Anpassung der Dokumente gemäss der Webseite der Datenschutzbeauftragten des Kantons Zürich und damit verbunden auch die Klärung der Verantwortlichkeiten.  

Öffentlichkeitsprinzip

Das Öffentlichkeitsprinzip ist in der Kantonsverfassung und im Gesetz über die Information und den Datenschutz (IDG) verankert. Es gibt jeder Person das Recht auf Zugang zu amtlichen Dokumenten, soweit nicht überwiegende öffentliche oder private Interessen entgegenstehen. Im Zusammenhang mit dem Öffentlichkeitsprinzip kommt dem ICT deshalb zentrale Bedeutung zu, weil auf den ICT-Systemen viele Informationen, die diesen Grundsätzen unterstehen, vorhanden sind. Mit dem Öffentlichkeitsprinzip soll das Handeln der staatlichen Behörden und Ämter für Aussenstehende nachvollziehbar und transparent gestaltet werden. Es sollen die freie Meinungsbildung und die Wahrnehmung der demokratischen Rechte gefördert und die Kontrolle des staatlichen Handelns erleichtert werden. Tipp: Detaillierte Informationen zum Öffentlichkeitsprinzip finden Sie auf der Webseite der Staatskanzlei Kanton Zürich oder auf der Webseite der DSB ZH.

Informationssicherheitskonzept

Mit der Ausarbeitung des eigenen Informationssicherheits- und Datenschutzkonzepts (ISDS-Konzept) wird der Rahmen für den bewussten Umgang mit Risiken geschaffen. Das Informationssicherheitskonzept umfasst sowohl formelle Aspekte wie die Regelung der Zuständigkeiten, der Erstellung von Weisungen, das Treffen von organisatorischen und technischen Massnahmen als auch die regelmässige Durchführung von Weiterbildungen aller an der Schule tätigen Personen. Die konkrete Umsetzung mit den wichtigsten Schritten wird hier (Verlinkung) aufgezeigt.

Rechtsgrundlagen

Für die Verwaltungen im Kanton Zürich und damit eingeschlossen auch die Gemeinden und Volksschulen gilt seit 2007 das Informations- und Datenschutzgesetzt (IDG). Die Schulen und ihre Behörde sind damit verpflichtet, die Informationen so zu verwalten, dass sie zugänglich sind, nur so lange aufbewahrt bleiben, wie sie gebraucht werden und sie durch angemessene Massnahmen geschützt werden. Es ist gemäss IDG zulässig, Informationen an Dritte auszulagern, die Behörde bleibt aber trotzdem dafür weiter verantwortlich.

Die Massnahmen sind so umzusetzen, dass Informationen nicht unrechtmässig zur Kenntnis gelangen, d.h. 

  • Informationen müssen richtig und vollständig sein,
  • Informationen müssen bei Bedarf vorhanden sein,
  • Informationsbearbeitungen müssen einer Person zugerechnet werden können,
  • Veränderungen von Informationen müssen erkennbar und nachvollziehbar sein.

Die zu treffenden Massnahmen richten sich nach der Art der Information, nach Art und Zweck der Verwendung und nach dem jeweiligen Stand der Technik.

Aufbau der Informationssicherheit - ein Überblick

Das Informations- und Datenschutzgesetz des Kantons Zürich (IDG) verpflichtet die Schulen und ihre Behörde, die Informationen durch angemessen technische und organisaotirsche Massnhamen zu schützen. Gerade im Schulbereich gehören zu diesen beiden Massnahmenbereichen auch noch die Erweiterung auf den pädagogischen Bereich dazu. Schülerinnen und Schüler haben gemäss LP 21 ebenfalls die entsprechen Kompetenzen zu erwerben.

Erste Schritte in der Informationssicherheit

Für die Umsetzung hat die Datenschutzbeauftragte auf ihrer Webseite (Verlinkung) unterstützende Vorlagen erstellt. Informatoinssicherheit in der Umsetzung braucht einen Initialaufwand in einem Projekt. Anschliessend wird die Informationssicherheit in den Betrieb überführt. Das bedeutet, dass regelmässig über Sicherheitsmassnahmen, Bedrohungslagen und eigene Vorkehrungen informiert und geschult wird.

Die Informationen auf der Webseite der Datenschutzbeauftragten sind sehr umfassend. Unter (Verlinkung) sind die wichtigsten Schritte aufgeführt, welche eine Schule aus der Erfahrung der Pilotdurchführung des Projekts Informationssicherheit angehen soll. Dazu gehört

  • das Erstellen eines Inventars der Applikatonen und der Hardware,
  • der notwendige Schutz von dieser Infrastruktur (Schutzbedarfsfestellung),
  • das Ergreifen von Massnahmen zur Erhöhung der Sicherheit
  • das Erstellen von Weisungen
  • die Durchführung von Weiterbildungen und Sensibilisierungen aller Mitarbeitenden
  • die Betriebsorganisation aufbauen mit den Rollen "Informationssicherheitsverantwortlichen", "DatenschutzberaterIn", "Applikations- und Datenverantwortliche"
  • und weitere Schritte je nach Gegebenheiten.