Verordnung über die Informationssicherheit (153.320)
CH - BS

Verordnung über die Informationssicherheit

Informationssicherheit: Verordnung Verordnung über die Informationssicherheit (ISV) Vom 13. Dezember 2016 (Stand 18. Dezember 2016) Der Regierungsrat des Kantons Basel-Stadt, gestützt auf das Gesetz betreffend die Organisation des Regierungsrates und der Verwaltung des Kantons Basel-Stadt (Organisationsgesetz, OG) vom 22. April 1976
1 ) und das Gesetz über die In - formation und den Datenschutz (Informations- und Datenschutzgesetz, IDG) vom 9. Juni 2010
2 ) , unter Verweis auf seine Erläuterungen Nr. P161893 , beschliesst: Kapitel I: Allgemeine Bestimmungen

§ 1 Gegenstand und Zweck

1 Diese Verordnung regelt die Informationssicherheit im Kanton Basel-Stadt.
2 Die Informationssicherheit bezweckt die Gewährleistung der Vertraulichkeit, der Integrität und der Verfügbarkeit von Informationen sowie die Zurechenbarkeit und Nachvollziehbarkeit von diese betreffende Handlungen oder Abläufen durch angemessene Massnahmen.

§ 2 Geltungsbereich

1 Diese Verordnung gilt für die Organisationseinheiten des Kantons im Sinne von § 3 Abs. 1 lit. a IDG mit Ausnahme der Gerichte. Kapitel II: Zuständigkeiten und Aufgaben

1. Strategische Ebene

§ 3 Regierungsrat

1 Der Regierungsrat trägt die Gesamtverantwortung für die Informationssicherheit.
2 Er legt die Informationssicherheitsstrategie fest und steuert mit einem Informationssicherheits-Mana - gement-System die Umsetzung der Informationssicherheitsstrategie und stellt deren zeitgerechte An - passung an veränderte Verhältnisse sicher.
1 Das Steuerungsorgan für Informationssicherheit steht dem Regierungsrat als beratendes Gremium zur Seite und stellt die Anträge zur Anpassung der Informationssicherheitsstrategie. Die oder der Vorsit - - richt über die Erreichung der Ziele der Strategie in den Departementen.
2 Das Steuerungsorgan für Informationssicherheit erlässt Weisungen und kontrolliert deren Einhaltung über eine jährliche Berichterstattung durch die kantonale Beauftragte oder den kantonalen Beauftrag - ten für Informationssicherheit (ISB).
3 Es entscheidet abschliessend über Ausnahmen von Informationssicherheitsmassnahmen.
1) SG 153.100 .
2) SG 153.260 .
1
Informationssicherheit: Verordnung

2. Taktische Ebene

§ 5 Die oder der kantonale Beauftragte für Informationssicherheit (ISB)

1 Die oder der ISB führt die zentrale Fachstelle für Informationssicherheit und hat folgende Aufgaben: die Erarbeitung der Informationssicherheitsstrategie unter Berücksichtigung der kantona - len Informatikstrategie; die Erstellung eines jährlichen Berichts über die Informationssicherheit zu Handen des Steuerungsorgans für Informationssicherheit; die Erhebung der gesamtkantonalen Informationssicherheitsrisiken auf Basis anerkannter Methoden; die Überprüfung der von der Dateneignerin oder dem Dateneigner erhobenen Schutzbe - darfs- und Risikoanalysen und die Empfehlung von risikomindernden Massnahmen; die Erstellung und Aktualisierung eines Verzeichnisses über die vorhandenen Informati - onsbestände und Informations- und Kommunikations-Anwendungen (IKT-Anwendun - gen) inkl. Auflistung der jeweils verantwortlichen Dateneignerin oder des verantwortli - chen Dateneigners, der Schutzstufe sowie die Führung eines Risiko- und Ausnahmenre - gisters; die Leitung der Kommission Informationssicherheit; die Unterstützung des Steuerungsorgans für Informationssicherheit und der Departemente bei der Wahrnehmung ihrer Aufgaben zur Einhaltung der Informationssicherheit; die Durchführung von Informationssicherheitsprüfungen in den Departementen in Ab - sprache mit dem zentralen Leistungserbringer; die erstinstanzliche Entscheidung über Ausnahmebewilligungen von Informationssicher - heitsmassnahmen - die Bewilligungen sind zeitlich zu befristen; die Ausarbeitung von Ausführungsbestimmungen zur Umsetzung der Informationssicher - heitsstrategie.

§ 6 Kommission Informationssicherheit

1 Die Kommission Informationssicherheit unterstützt das Steuerungsorgan für Informationssicherheit und die oder den ISB bei der Wahrnehmung der ihnen übertragenen taktischen Aufgaben.
2 Sie koordiniert die Tätigkeiten der departementalen Beauftragten für Informationssicherheit (ISBD) und entwickelt Sensibilisierungskampagnen zuhanden des Steuerungsorgans für Informations - sicherheit.

3. Operative Ebene

§ 7 Departemente

1 Die Departemente gewährleisten die operative Umsetzung der Informationssicherheitsstrategie mit angemessenen Massnahmen und dem Informationssicherheits-Management-System sowie eine jährli - che Berichterstattung an die oder den ISB.
2 Jedes Departement bezeichnet eine oder einen ISBD, die oder der die Departemente bei der Umset - zung der Massnahmen und der Berichterstattung gemäss Abs. 1 unterstützt.
3 - formationssicherheitsmassnahmen; die Erstellung eines Verzeichnisses über die vorhandenen Informationsbestände und IKT- Anwendungen, deren Schutzstufen inkl. Bezeichnung der verantwortlichen Dateneignerin oder des verantwortlichen Dateneigners sowie eines Risikoregisters; die regelmässige Aktualisierung des Verzeichnisses gemäss Bst. b und Meldung der Ver -
2
Informationssicherheit: Verordnung

§ 8 Dateneignerin oder Dateneigner

1 Die Verantwortung für den Umgang mit Informationen trägt dasjenige öffentliche Organ, das die In - formationen zur Erfüllung seiner gesetzlichen Aufgaben bearbeitet. Dieses ist insbesondere zuständig für die Ermittlung des Schutzbedarfs der vorhandenen Informationsbestände und IKT-Anwendungen nach den Schutzzielen gemäss § 8 Abs. 2 IDG. Ergibt eine entsprechende Ermittlung einen über den Grundschutz hinausgehenden Schutzbedarf, ist eine Risikoanalyse inkl. Massnahmenplan zur Risiko - senkung durchzuführen.
2 Der Massnahmenplan ist jährlich auf seine Zweckmässigkeit und Aktualität zu überprüfen und muss als Teil des Grundschutzes mindestens Regelungen zu den folgenden Punkten enthalten: das Erstellen und Verwalten eines Zugriffs- und Berechtigungskonzepts; die Datenaufbewahrung und -löschung unter Einhaltung der Archivierungsvorschriften; den sicheren Informationsaustausch mit Dritten; den Einbezug der Mitarbeitenden in den Sicherheitsprozess und die Dokumentation von bewilligten und abgelehnten Ausnahmen von Informationssicher - heitsmassnahmen sowie des Risikoregisters.
3 Die Dateneignerin oder der Dateneigner berichtet über die Umsetzung von Informationssicherheits - massnahmen im Rahmen der jährlichen departementalen Berichterstattung.

§ 9 Die oder der departementale Beauftragte für Informationssicherheit (ISBD)

1 Die oder der ISBD: ist Ansprechpartnerin oder Ansprechpartner für die oder den ISB und die Datenschutzbe - auftragte oder den Datenschutzbeauftragten; führt und aktualisiert ein Risikoregister auf Ebene Departement und dokumentiert die Ausnahmebewilligungen; prüft die Umsetzung der organisatorischen und technischen Sicherheitsmassnahmen; empfiehlt Sicherheitsmassnahmen zur Umsetzung; ist die zentrale Anlaufstelle für Sicherheitsfragen im Bereich der IKT-Anwendungen; unterstützt die Departementsführung bei der Erstellung der organisatorischen Sicherheits - vorgaben; unterstützt die Dateneignerin oder den Dateneigner, dass die Informationen im Departe - ment durch angemessene organisatorische und technische Massnahmen geschützt wer - den; verwaltet die internen und externen Sicherheitsprüfungen; meldet technische Informationssicherheitslücken der oder dem ISB; vertritt das Departement in der Kommission Informationssicherheit; organisiert Informationsveranstaltungen zur Informationssicherheit auf Stufe Departe - ment.

§ 10 Der zentrale Leistungserbringer

1 Der zentrale Leistungserbringer ist für die Entwicklung, Beschaffung, Bereitstellung, den Unterhalt von IKT-Anwendungen sowie die Einhaltung und Umsetzung der Vorgaben im Bereich der Informati - onssicherheit zuständig, welche die Departemente unter Einhaltung der datenschutz- und informati - onssicherheitsrechtlichen Vorgaben zur Erfüllung ihrer gesetzlichen Aufgaben benötigen, soweit diese
2 Werden die IKT-Anwendungen von Dritten bezogen, ist sicherzustellen, dass diese die Vorgaben ge - mäss Abs. 1 einhalten.
3 Der zentrale Leistungserbringer erstellt den entsprechenden Bericht gemäss § 7 Abs. 1.
4 Die oder der Informationssicherheitsbeauftragte des zentralen Leistungserbringers (ISBZ) übernimmt bei diesem die Funktionen der oder
3
Informationssicherheit: Verordnung
5 Der zentrale Leistungserbringer ist befugt, Dienstleistungen Dritten ausserhalb des Geltungsbereichs gemäss § 2 zu erbringen, wenn diese sich verpflichten, mindestens die kantonalen Sicherheitsvorgaben zu gewährleisten. Der zentrale Leistungserbringer ist befugt, entsprechende Kontrollen vorzunehmen oder zu delegieren. Schlussbestimmung Diese Verordnung ist zu publizieren. Sie wird sofort wirksam. Auf den gleichen Zeitpunkt wird die Verordnung zur Informatiksicherheit (ISV) vom 9. April 2002 aufgehoben. Die Änderung der Verord - nung über das Informatiksystem der Staatsanwaltschaft wird am 1. Februar 2017 wirksam.
4
Markierungen
Leseansicht