- Auftragsvergabe
Beschlussvorschlag:
Der Verwaltungs-, Finanz- und Personalausschuss beschließt:
- Zum Schutz aller digitalen und analogen Informationen wird ein Inforamtionssicherheitskonzept gem. Art. 8 BayEGovG erstellt.
2. Der Auftrag für die Einführung und den Betrieb eines Informationssicherheitsmanagementsystems für die Stadtverwaltung Lauf inklusive aller Standorte wird auf der Grundlage des Angebots vom 16.06.2017 an die Firma Bechtle Competence Center „Datenschutz & Datensicherheit“ GmbH & Co. KG, Neckarsulm zum Angebotspreis von 60.374,65 Euro (brutto) vergeben.
3. Die erforderlichen Mittel stehen im Haushalt 2017 zur Verfügung.
Im Dezember 2015 hat der Bayerische
Landtag das „Gesetz über die elektronische Verwaltung in Bayern“ (BayEGovG)
verabschiedet. In Verbindung mit dem bayerischen Datenschutzgesetz ergibt sich
daraus neben vielen anderen Regelungen auch die Verpflichtung für alle Kommunen
und Landkreise, bis zum 01.01.2018 einen systematischen Ansatz zur dauerhaften
Sicherstellung der Informationssicherheit eingeführt zu haben. Dieser ist zu
betreiben und dauerhaft aktuell zu halten. Mittlerweile haben sich für diesen
Komplex die Begriffe Informationssicherheitskonzept (ISK) oder auch
Informationssicherheitsmanagementsystem (ISMS) etabliert.
Bei einem ISMS geht es nicht nur um klassische IT-Themen, sondern insgesamt um den Schutz aller digitalen und analogen Informationen, die in einer Verwaltung verarbeitet werden. Die Spanne reicht dabei von der Gebäudesicherheit über Datenschutzrichtlinien und Verfahrensbeschreibungen, Schulungen, Backup- und Wiederherstellungskonzepte bis hin zu Firewallmanagement und dem Schutz gegen Cyberattacken.
Ein ISMS umfasst mindestens folgende Themenbereiche:
· Vorgehensweisen zur Identifikation von (neuen und bestehenden) Risiken,
· Vorgehensweisen zur Planung von Maßnahmen zur Beseitigung oder Minimierung dieser Risiken,
· Vorgehensweisen zur kontinuierlichen Beschäftigung mit dem Thema in der Organisation („Sicherheitskultur“),
· verantwortliche Personen mit ausreichend Zeit und Mitteln zum Betrieb des Sicherheitskonzepts,
· Regeln, Richtlinien und Anweisungen für die Organisation und die Mitarbeiter zur Umsetzung und zum Betrieb des Konzepts,
· Maßnahmen zur kontinuierlichen Schulung und Sensibilisierung für Informationssicherheit.
Es liegt auf der Hand, dass ein ISMS und seine daraus resultierenden Ergebnissen und Handlungsanweisungen tief in die Stadtverwaltung eingreifen und nahezu alle Mitarbeiter betreffen werden.
Auf Grund der sehr unterschiedlichen Ausgangssituationen und Strukturen in den deutschen Verwaltungen ist es nachvollziehbar, dass es ein ISMS niemals „von der Stange“ geben kann, sondern dass hier ein sehr individueller Prozess gestartet wird, der exakt für die jeweilige Behörde entwickelt werden muss.
Trotzdem hat die Stadtverwaltung Lauf zusammen mit dem Datenschutzbeauftragten des Landkreises Nürnberger Land in mehreren Treffen mit den größeren Kommunen im Landkreis versucht, die Möglichkeiten einer interkommunalen Zusammenarbeit bei diesem Thema auszuloten. Insbesondere bei der verpflichtenden Einrichtung eines Informationssicherheitsbeauftragten (ISB) bestand die Absicht, eine ähnliche Konstellation wie beim gemeinsamen Datenschutzbeauftragten zu schaffen. Im Laufe der Beratungen hat sich aber leider gezeigt, dass die Individualität der Strukturen und auch der Umfang der Arbeit von einer Person im Landratsamt für alle Kommunen im Landkreis nicht zu leisten sind.
Zur Einführung eines ISMS, dessen Betrieb und der Stellung eines Informationssicherheitsbeauftragten hat die Stadtverwaltung Lauf drei Angebote eingeholt. Angebotsgrundlage ist ein Zeitraum von zwei Jahren, in dem das ISMS aufgebaut und die entsprechenden Strukturen und Prozesse eingeführt werden sollen. Die Stellung eines ISB soll ebenfalls für zwei Jahre im Angebot enthalten sein. Während dieser Aufbauphase muss entschieden werden, welche personellen Ressourcen für diesen Themenbereich zusätzlich aufgebaut werden müssen.
Die abgegebenen Angebote (siehe Anlage „Angebotsprüfung und Vergabevorschlag“) unterscheiden sich in der Wahl des Standards, nach dem das ISMS aufgestellt werden soll. Ein Anbieter baut auf den sogenannten VDS3473-Standard, der von der Versicherungswirtschaft entwickelt wurde. Die beiden anderen Angebote basieren auf dem IT-Grundschutz-Katalog des Bundesamtes für Sicherheit in der Informationstechnologie (BSI). Dieser Standard ist die Grundlage für alle Informationssicherheitssysteme. Das BSI nimmt mit seinen Richtlinien auch direkt Einfluss auf die europäische Gesetzgebung. Gerade im Hinblick auf die neue Europäische Datenschutzgrundverordnung, die u.a. auch für Kommunen ab Mai 2018 ein verwaltetes Sicherheitssystem fordert, ist die Auswahl eines Anbieters zu empfehlen, der auf diesen Standard setzt.
Nach Prüfung der vorliegenden Angebote fallen für den wirtschaftlichsten Anbieter Kosten in Höhe von 60.374,65 € an. Die entsprechenden Mittel werden auf den entsprechenden Haushaltstellen zur Verfügung gestellt.