Vom 14.08.2018

Hinweis:

Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Sämtliche Personenbezeichnungen gelten gleichwohl für beiderlei Geschlecht.

1 Präambel

Der Hessische Landtag ist die frei gewählte Vertretung der Bürgerinnen und Bürger des Bundeslandes Hessen. Er besteht als Institution aus den Abgeordneten als den gewählten Volksvertretern, den Fraktionsgeschäftsstellen der im Landtag vertretenen Parteien sowie der Landtagskanzlei. Die Landtagskanzlei als oberste Landesbehörde ist verantwortlich für alle administrativen und organisatorisch-technischen Dienste, die das Parlament und seine Organe bei der Wahrnehmung ihrer Aufgaben und Funktionen unterstützen.

Die vorliegende Leitlinie beschreibt die allgemeinen Ziele, Strategien und Organisationsstrukturen, die der Initiierung und Etablierung eines ganzheitlichen Prozesses zur Gewährleistung der Informationssicherheit im Hessischen Landtag zugrunde liegen. Sie bildet den Rahmen für nachfolgend erarbeitete, spezifische Sicherheitskonzepte und Organisationsanweisungen im Bereich der Informationssicherheit.

Sicherheitskonzepte und Organisationsanweisungen werden unter Wahrung der personalrechtlichen Beteiligungserfordernisse sowie der Belange des Datenschutzes erstellt.

2 Aufgaben des Landtags

Die Aufgaben des Landtags ergeben sich aus den Bestimmungen der Verfassung des Landes Hessen. Sie lassen sich in vier Aufgabenbereiche zusammenfassen:

• Beratung und Verabschiedung von Gesetzen,

• Kontrolle von Regierung und Verwaltung,

• Herstellung der parlamentarischen Öffentlichkeit,

• Sicherstellung des Beschwerde-/Petitionsrechts der Bürger nach Art. 16 der Verfassung des Landes Hessen.

Der Hessische Landtag bedient sich zur Erfüllung seiner Aufgaben einer Vielzahl von Informationen, zumeist in textueller, zunehmend aber auch in medialer Form. Die Bereitstellung, Verarbeitung und Speicherung dieser Informationen erfolgt dabei immer häufiger Technik gestützt auf elektronischer Basis.

Die Durchdringung parlamentarischer Prozesse mit Informationstechnik ist mittlerweile so groß, dass ohne vertrauenswürdige, korrekte und zuverlässige IT-Infrastruktur der Parlamentsbetrieb erheblich gestört, wenn nicht gar unmöglich gemacht würde. Informationssicherheit im Allgemeinen und IT-Sicherheit im Besonderen stellen für den Hessischen Landtag aus diesem Grunde ein wichtiges Thema und eine zentrale Herausforderung dar, der er sich im Sinne der vorliegenden Leitlinie umfassend stellt.

3 Geltungsbereich

Wer Informationen, informationsverarbeitende Einrichtungen oder Infrastruktur des Hessischen Landtags nutzt, unterliegt dieser Informationssicherheitsleitlinie.

Sie gilt für Abgeordnete und deren Mitarbeiter, für die im Hessischen Landtag vertretenen Fraktionen und für die Kanzlei.

Sie gilt auch für Dritte, die als Auftragnehmer für die zuvor Genannten Leistungen erbringen, was durch die jeweiligen Verantwortlichen durch gesonderte Verpflichtung im Vergabe- und Auftragsprozess sicherzustellen ist.

Die Landtagskanzlei berichtet in der interfraktionellen Arbeitsgruppe für Informationstechnik und E-Government, dem IT-Koordinierungsgremium des Landtags, regelmäßig über aktuelle Entwicklungen und Vorfälle im Bereich der Informationssicherheit. In dringenden Fällen erfolgt eine Information bzw. Warnung der politischen Bereiche des Hauses auch außerhalb des Sitzungsrhythmus der IT-Arbeitsgruppe auf geeigneten anderen Wegen.

4 Anforderungen und Ziele

Der Hessische Landtag steht als erste Gewalt in besonderer Weise im Fokus des öffentlichen Interesses. Bürger, gesellschaftliche Gruppen, Wirtschaft und Verbände verfolgen seine Arbeit aufmerksam und vielfach kritisch, unterstützt durch Berichte und Kommentare in der Presse und in den Medien. Aufgrund seiner herausgehobenen Bedeutung stellt der Landtag gleichzeitig aber auch ein bevorzugtes Ziel von Angriffen dar, wobei in zunehmendem Maße seine Informationen und Daten in das Visier potentieller Angreifer geraten.

Der Hessische Landtag ist bestrebt, die Risiken für Schadensereignisse und Vorfälle im Bereich der Informationssicherheit umfassend und nachhaltig zu reduzieren. Er orientiert sich dabei an den folgenden konkreten Zielen:

• Aufrechterhaltung der Arbeitsfähigkeit des Landtags auch in Notfall- und Krisensituationen,

• Herstellung parlamentarischer Transparenz durch die zeitnahe Vermittlung vollständiger und korrekter Informationen an die Öffentlichkeit,

• Gewährleistung der Vertraulichkeit von Sachverhalten im Zusammenhang mit nichtöffentlichen, parlamentarischen Beratungsgegenständen oder Vorgängen,

• Einhaltung gesetzlicher Vorgaben und Bestimmungen, insbesondere auch im Hinblick auf die Erhebung, Verarbeitung und Speicherung personenbezogener Daten,

• Sicherstellung der Vertraulichkeit von Geschäfts- und Vertragsinformationen externer Partner,

• Sicherheits- und datenschutzkonforme Ausgestaltung und Überwachung von externen Dienstleistungsverhältnissen,

• Gewährleistung des dauerhaften Zugriffs und der dauerhaften Darstellbarkeit aller an das Archiv des Hessischen Landtags abgegebenen Daten und Informationen,

• Mitwirkung bei der Erarbeitung von Sicherheitskonzepten für übergreifende, landesweite Anwendungen und Infrastrukturlösungen,

• Vertiefung des Erfahrungsaustausches zum Thema Informationssicherheit mit anderen Parlamenten bzw. Parlamentsverwaltungen,

• Aufrechterhaltung eines angemessenen Sicherheitsniveaus durch regelmäßige Überprüfung und ggf. Anpassung der Sicherheitsziele, des Sicherheitskonzepts und der aus diesen abgeleiteten Sicherheitsmaßnahmen.

5 Informationssicherheitsmanagement

Im Zentrum der Anstrengungen des Hessischen Landtags zur Verbesserung und Aufrechterhaltung der Informationssicherheit stehen die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit. Erst mit ihrer kontext- bzw. anwendungsbezogenen Sicherstellung können die formulierten Anforderungen und Ziele erreicht werden.

Beim Aufbau eines dafür geeigneten Managementsystems für Informationssicherheit (ISMS) orientiert sich der Hessische Landtag in erster Linie an den IT-Grundschutzstandards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den diese Standards ergänzenden IT-Grundschutzkatalogen. Die Vorgaben der internationalen Normreihe ISO/IEC 2700x für Informationssicherheit werden damit ebenfalls erfüllt. Maßnahmen, die dabei zur Risikoreduzierung oder Risikovermeidung eingesetzt werden, dürfen die Informations- und Kommunikationsflüsse der Abgeordneten und der Fraktionen, weder im Innenverhältnis noch nach außen, einschränken oder gar unterbinden.

Eine Zertifizierung des Managementsystems für Informationssicherheit wird nicht angestrebt. Ein formeller Nachweis der Standardkonformität seines ISMS gegenüber Dritten ist für den Hessischen Landtag nur von nachrangiger Bedeutung. Den mit einer Zertifizierung verbundenen Kosten und Aufwänden stünde kein unmittelbarer Nutzen gegenüber.

6 Informationssicherheitsorganisation

Informationssicherheit wird im Hessischen Landtag als eine Aufgabe und Verpflichtung verstanden, die alle Bereiche und Ebenen des Hauses betrifft. Entsprechend ruht die Verantwortung dafür auf vielen Schultern und wird in unterschiedlichen Rollen wahrgenommen.

6.1 Verantwortung der Leitungsebene

Der Präsident beim Hessischen Landtag trägt die Gesamtverantwortung für eine angemessene Informationssicherheit. Er sorgt für die Berücksichtigung ihrer Anforderungen in allen Prozessen und Projekten des Landtags, initiiert und überwacht den Aufbau eines Managementsystems für Informationssicherheit (ISMS) und fördert bzw. unterstützt einen darauf gerichteten kontinuierlichen Verbesserungsprozess.

Ihm obliegen der Erlass verbindlicher Regeln, die Bereitstellung von Ressourcen zur Umsetzung der als notwendig identifizierten Sicherheitsmaßnahmen sowie die Aufrechterhaltung eines ausreichenden Wissens- und Kenntnisstandes bei allen Mitarbeitern und Rolleninhabern im Sicherheitsprozess.

In gleicher Weise ist die der Direktor des Landtags verantwortlich für die Informationssicherheit in der Verwaltung, die Abgeordneten für die Informationssicherheit im Rahmen ihrer Mandatsausübung, sowie die Fraktionsvorsitzenden für die Informationssicherheit in den Fraktionen. Die Verantwortung erstreckt sich jeweils auch gegebenenfalls auf Dritte, die als Auftragnehmer für die genannten Leistungen erbringen.

6.2 Informationssicherheitsbeauftragter

Der Informationssicherheitsbeauftragte steuert und koordiniert in engem Zusammenwirken mit dem Informationssicherheitsteam alle Aufgaben und Aktivitäten im Bereich der Informationssicherheit. Er ist Mitglied der Führungsebene der Landtagskanzlei und in dieser Eigenschaft frühzeitig über alle Planungen und Entwicklungen informiert, die Auswirkungen auf die Informationssicherheit haben bzw. für diese von Relevanz sind. Zu seinen Aufgaben zählen insbesondere:

• Beratung und Unterstützung der Abgeordneten, Fraktionen und Kanzlei in allen Fragen der Informationssicherheit,

• Steuerung des Informationssicherheitsprozesses,

• Erstellung und Fortschreibung eines Umsetzungsplans inkl. Abschätzung der zeitlichen und finanziellen Aufwände,

• Leitung des Informationssicherheitsteams und Koordination seiner Aktivitäten,

• Koordination der Behandlung zeitkritischer Sicherheitsvorfälle und Weitermeldung derselben an die unter 6.1 genannten Verantwortlichen,

• Berichterstattung in der interfraktionellen Arbeitsgruppe für Informationstechnik und E-Government über aktuelle Entwicklungen und Vorfälle im Bereich der Informationssicherheit,

• Planung und Initiierung von Überprüfungen und Audits; Überwachung ihrer Durchführung und Ergebnisberichterstattung an den Präsidenten bzw. die IT-Arbeitsgruppe,

• Initiierung und Koordination von Sensibilisierungs- und Schulungsmaßnahmen.

6.3 Informationssicherheitsteam

Zum festen Kern des Informationssicherheitsteams gehören neben dem Informationssicherheitsbeauftragten Vertreter der Fachbereiche Organisation, Innerer Dienst, Justitiariat, IT-Management, der behördliche Datenschutzbeauftragte sowie Vertreter der Fraktionen und Abgeordneten. Die Fraktionen melden ihre Ansprechpartner der Kanzlei. Es handelt sich insoweit um ein offenes Team, als zu Beratungen bedarfsweise auch Vertreter anderer Fachbereiche oder Anwendungs-/Verfahrensverantwortliche hinzugezogen werden.

Alle Mitglieder des Informationssicherheitsteams fungieren als Ansprechpartner für die Mitarbeiter bzw. IT-Nutzer des Landtags in Fragen der Informationssicherheit. Darüber hinaus nimmt das Informationssicherheitsteam die folgenden Aufgaben wahr:

• Regelmäßige Überprüfung und ggf. Fortschreibung der vorliegenden Leitlinie zur Gewährleistung der Informationssicherheit für den Hessischen Landtag,

• Erarbeitung eines Sicherheitskonzepts auf Grundlage der Vorgehensweise nach IT- Grundschutz. In diesem Zusammenhang wird für alle wichtigen Fachanwendungen und Geschäftsprozesse der erforderliche Schutzbedarf ermittelt,

• Koordination und Überwachung der Umsetzung aller zur Erreichung der erforderlichen Schutzbedarfe als notwendig identifizierten Sicherheitsmaßnahmen,

• Regelmäßige Analyse des Informationssicherheitsprozesses zur Identifizierung und Dokumentation von Änderungs- bzw. Anpassungsbedarf,

• Regelmäßige Überprüfung des Sicherheitskonzepts und der umgesetzten Maßnahmen auf Angemessenheit und Wirksamkeit,

• Durchführung und Dokumentation der Ergebnisse von Überprüfungen und Audits.

6.4 Anwendungs-/Verfahrensverantwortliche

Für jede Fachanwendung und jeden auf einem Informationsbestand basierenden Geschäftsprozess wird ein Anwendungs-/Verfahrensverantwortlicher benannt, der mit den Besonderheiten der Fachanwendung bzw. des Geschäftsprozesses vertraut ist. Anwendungs-/Verfahrensverantwortliche sind in der Lage, bestehende Risiken für die Fachanwendung bzw. den Geschäftsprozess abzuschätzen und die planmäßige Umsetzung aller für eine angemessene und wirksame Risikobehandlung notwendigen Sicherheitsmaßnahmen zu gewährleisten.

Die Anwendungs-/Verfahrensverantwortlichen unterstützen das Informationssicherheitsteam bei der Schutzbedarfsfeststellung für ihre Fachanwendung bzw. den ihrem Geschäftsprozess zugrundeliegenden Informationsbestand. Sie wirken bei der Ermittlung der erforderlichen Sicherheitsmaßnahmen mit und stellen deren Angemessenheit und Wirksamkeit durch regelmäßige Überprüfungen sicher.

Bei Verdacht auf einen Informationssicherheitsvorfall meldet der Anwendungs-/Verfahrensverantwortliche diesen unverzüglich der oder dem Informationssicherheitsbeauftragten bzw. einem Mitglied des Informationssicherheitsteams.

6.5 Verantwortung des IT-Nutzers

Jeder Mitarbeiter und IT-Nutzer trägt dafür Sorge, dass die Informationssicherheit in dem von ihm beeinflussbaren Bereich durch verantwortungsvolles Handeln gewährleistet wird. Er hält die für die Informationssicherheit und den Datenschutz relevanten Gesetze, Vorschriften, Richtlinien, Anweisungen und vertraglichen Verpflichtungen ein und geht korrekt und verantwortungsbewusst mit den genutzten Informationen und IT-Systemen um. Wahrgenommene Unregelmäßigkeiten werden dem Informationssicherheitsbeauftragten oder einem Mitglied des Informationssicherheitsteams mitgeteilt.

Unterstützt werden die Mitarbeiter und IT-Nutzer dabei durch regelmäßige Schulungs- und Sensibilisierungsangebote sowie durch anwendungsbezogene Verfahrenshinweise und Verhaltensrichtlinien. Die Mitglieder des Informationssicherheitsteams stehen ihnen zudem in allen Fragen der Informationssicherheit jederzeit beratend und helfend zur Seite.

7 Inkrafttreten

Die Leitlinie zur Gewährleistung der Informationssicherheit für den Hessischen Landtag tritt am Tag nach ihrer Verabschiedung durch das Präsidium in Kraft.