Geltungsbereich

Art. 1.

¹ Diese Verordnung gilt für die Staatsverwaltung nach Art. 1 des Staatsverwaltungsgesetzes vom 16. Juni 1994³, ausgenommen die selbständigen öffentlich-rechtlichen Anstalten.

² Sie wird auf Gerichte und andere Justizbehörden sachgemäss angewendet, soweit diese nicht richterlich handeln.

Grundsatz

Art. 2.

¹ Informatiksysteme werden durch angemessene organisatorische und technische Massnahmen vor äusseren Einwirkungen und unbefugten Zugriffen geschützt.

Begriffe

Art. 3.

¹ Folgende Begriffe bedeuten:

a) Informatiksysteme: Geräte und Einrichtungen sowie die dazugehörende Infrastruktur, Betriebssoftware und die Informatikanwendungen, die zur elektronischen Bearbeitung von Daten eingesetzt werden, einschliesslich der bearbeiteten Daten.

b) Informatikanwendungen: Programme, welche die Nutzung von Informatiksystemen für die Erfüllung oder die Unterstützung bestimmter Aufgaben ermöglichen.

c) Daten: Alle digitalen Informationen, die mit Informatiksystemen bearbeitet werden.

d) Ereignis: Verletzung der Informatiksicherheit, die zu einem finanziellen Schaden oder einem Imageverlust führt oder eine massive Verminderung der Verfügbarkeit von betroffenen Informatiksystemen zur Folge hat.

e) Normalbetrieb: Betrieb der Informatiksysteme im Normalfall.

f) Notbetrieb: Betrieb der betroffenen Informatiksysteme nach dem Eintritt eines Ereignisses.

Verantwortlichkeiten

Art. 4.

¹ Die Konferenz der Departementsinformatikverantwortlichen legt die Sicherheitsmassnahmen, abgestuft nach den Risiken, in einem Massnahmenkatalog fest. Die Sicherheitsmassnahmen dienen der Reduktion der Risiken.

² Die Ämter beurteilen die Risiken, legen die Sicherheitsstufen fest, ermitteln die zu treffenden Sicherheitsmassnahmen und sorgen für deren Umsetzung.

³ Departemente und Dienst für Informatikplanung kontrollieren die Einstufung der Informatiksysteme und -anwendungen.

Unterstützung

Art. 5.

¹ Departementsinformatikverantwortliche und Dienst für Informatikplanung beraten die Ämter bei der Risikobeurteilung, bei der Festlegung der Sicherheitsstufen, bei der Ermittlung der Sicherheitsmassnahmen sowie bei deren Umsetzung und Überprüfung.

Risikobeurteilung

Art. 6.

¹ Die Ämter legen für ihre Informatiksysteme und -anwendungen je einzeln die Gefährdung fest, indem sie die damit verwalteten Daten klassifizieren.

² Sie berücksichtigen die Risiken aufgrund unvorsichtigen oder böswilligen Verhaltens von Mitarbeitenden und Aussenstehenden, aufgrund technischer Mängel an Geräten und Gebäuden sowie aufgrund von Feuer und Elementarereignissen.

Klassifizierung

a) Vertraulichkeit

Art. 7.

¹ Als «geheim» gelten Daten, wenn es sich um besonders schützenswerte Personendaten, um Persönlichkeitsprofile, um Daten, deren Missbrauch eine betroffene Person in gesellschaftlicher und wirtschaftlicher Hinsicht erheblich benachteiligen, oder um vertraglich geschützte Daten handelt.

² Als «vertraulich» gelten Daten, wenn es sich um Personendaten, um Daten, deren Missbrauch eine betroffene Person in gesellschaftlicher und wirtschaftlicher Hinsicht benachteiligen, um Daten von finanzieller Relevanz oder um Daten handelt, für die eine Archivierungspflicht besteht.

³ Alle anderen Daten werden bezüglich Vertraulichkeit als nicht klassifiziert eingestuft.

b) Verfügbarkeit

Art. 8.

¹ Die Anforderung «hohe Verfügbarkeit» wird an die Daten gestellt, deren Nichtverfügbarkeit Leben gefährdet oder deren Bedeutung für die Aufgabenerfüllung so gross ist, dass die Verfügbarkeit auf einem entsprechenden Informatiksystem innert eines Tages wiederhergestellt werden muss. An Daten, deren Wiederbeschaffung nicht möglich ist und deren Verlust einen grossen finanziellen Schaden oder einen Imageschaden in der Öffentlichkeit verursacht, wird dieselbe Anforderung an die Verfügbarkeit gestellt.

² Die Anforderung «mittlere Verfügbarkeit» wird an die Daten gestellt, deren Bedeutung für die Aufgabenerfüllung so gross ist, dass die Verfügbarkeit innert drei Tagen auf einem entsprechenden Informatiksystem wiederhergestellt werden muss. An Daten, deren Wiederbeschaffung möglich ist, deren Verlust aber einen mittleren finanziellen Schaden oder einen Imageschaden in der Verwaltung verursacht, wird dieselbe Anforderung an die Verfügbarkeit gestellt.

³ Alle anderen Daten werden bezüglich Verfügbarkeit als nicht klassifiziert eingestuft.

Sicherheitsstufen

Art. 9.

¹ Bei der Einstufung «geheim» bzw. «hohe Verfügbarkeit» wird ein hoher Schutz für die Informatiksysteme und -anwendungen gewährleistet.

² Bei der Einstufung «vertraulich» bzw. «mittlere Verfügbarkeit» wird ein mittlerer Schutz für die Informatiksysteme und -anwendungen gewährleistet.

³ Werden die Daten als nicht klassifiziert eingestuft, wird ein Grundschutz für die Informatiksysteme und -anwendungen gewährleistet.

Massnahmenkatalog

Art. 10.

¹ Ein Massnahmenkatalog legt nach der Klassifizierung der Daten die Informatik-Sicherheitsmassnahmen für die Informatiksysteme und -anwendungen fest bezüglich:

a) Verhinderung einer unbefugten Kenntnisnahme von Daten (Vertraulichkeit);

b) Verhinderung einer unbefugten Veränderung von Daten oder Zugriffsrechten (Integrität und Authentizität);

c) höchstzulässiger Dauer eines Ausfalls (Verfügbarkeit).

² Die Konferenz der Departementsinformatikverantwortlichen ist für Erstellung und Nachführung des Massnahmenkatalogs zuständig.

Informatik-Sicherheitsorganisation der Ämter

Art. 11.

¹ Die Ämter bestimmen eine Informatik-Sicherheitsorganisation.

² Die nach der Informatik-Sicherheitsorganisation zuständige Person:

a) trifft die erforderlichen Vorsorgemassnahmen;

b) stellt nach dem Eintritt eines Ereignisses die Geschäftsfortführung mit Hilfe der Informatiksysteme und deren Rückführung in den Normalbetrieb sicher.

Amtsübergreifende Koordination

Art. 12.

¹ Der Departementsinformatikverantwortliche sorgt für die amtsübergreifende Koordination innerhalb des Departementes bzw. der Staatskanzlei.

Kantonaler Informatik-Sicherheitsbeauftragter

Art. 13.

¹ Der Dienst für Informatikplanung sorgt für die departementsübergreifende Koordination. Er bestimmt hiefür einen kantonalen Informatik-Sicherheitsbeauftragten.

² Der kantonale Informatik-Sicherheits-Beauftragte ist sowohl im Normalbetrieb als auch im Notbetrieb im Einsatz.

Teilstab Informatik

Art. 14.

¹ Der kantonale Führungsstab bestimmt einen Teilstab Informatik.

² Der Teilstab Informatik wird bei Grossereignissen, Notlagen und Katastrophen eingesetzt, wenn die Informatiksicherheit gefährdet ist.

Bestehende Informatiksysteme

Art. 15.

¹ Die Ämter stufen bestehende Informatiksysteme und -anwendungen gemäss der Klassifizierung der Daten ein und sorgen für die Umsetzung der erforderlichen Sicherheitsmassnahmen.

Einführung neuer Informatiksysteme

Art. 16.

¹ Bei Neu- oder Ersatzbeschaffungen von Informatiksystemen und -anwendungen legen die Ämter die erforderlichen Informatik-Sicherheitsmassnahmen im Rahmen der Einführungsprojekte fest und setzen sie um.

Instruktion des Personals

Art. 17.

¹ Die Ämter informieren die Mitarbeitenden über die Sicherheitsmassnahmen, die sie zu beachten haben.

² Sie sorgen für die Ausbildung.

Zusammenarbeit mehrerer Ämter

Art. 18.

¹ Wenn ein Amt Daten durch andere Ämter bearbeiten lässt oder sie mit diesen austauscht, werden die Sicherheitsstufen und -massnahmen sowie die Verantwortlichkeiten bei der Umsetzung gemeinsam festgelegt.

Zusammenarbeit mit Dritten

Art. 19.

¹ Wenn ein Amt Daten durch Stellen, welche dieser Verordnung nicht unterstehen, bearbeiten lässt, wird im Zusammenarbeitsvertrag vereinbart, welche Massnahmen der Beauftragte zu treffen hat und wie ihre Einhaltung kontrolliert wird.

Datenaustausch über öffentliche Netze

Art. 20.

¹ Der Datenaustausch über öffentliche Netze ist nur über gesicherte Zugangspunkte zulässig. Als öffentlich gelten alle Netze ausserhalb des Kommunikationsnetzes KOMSG des Kantons.

² Der Zugriff von öffentlichen Netzen auf das kantonsinterne Netz erfolgt über die vom Netzbetreiber bereitgestellten gesicherten Netzübergänge.

³ Der Netzbetreiber kann Ausnahmen bewilligen.

Verwaltungsexterne Informatikarbeitsplätze

Art. 21.

¹ Unter welchen Voraussetzungen die Bearbeitung von Daten ausserhalb der Räumlichkeiten des Amtes und die Verwendung von Daten auf privaten Geräten zulässig ist, wird in einer Dienstanweisung geregelt.

Amtsinterne Überprüfung

Art. 22.

¹ Die Ämter überprüfen periodisch Einhaltung und Angemessenheit der Informatik-Sicherheitsmassnahmen.

² Ändern Aufgaben, Organisation oder eingesetzte Informatiksysteme oder -anwendungen eines Amtes, überprüfen sie die Sicherheitsstufen und Schutzziele sowie die Angemessenheit der Informatik-Sicherheitsmassnahmen.

Kontrolle und Test

Art. 23.

¹ Bei Informatiksystemen und -anwendungen mit der Einstufung «hohe Verfügbarkeit» bzw. «geheim» lassen die Ämter die Informatik-Sicherheitsmassnahmen periodisch durch unabhängige interne oder externe Stellen überprüfen.

² Der kantonale Informatik-Sicherheitsbeauftragte kann Prüfungen stichprobenweise veranlassen.

³ Bei Informatiksystemen und -anwendungen mit der Einstufung «hohe Verfügbarkeit» wird ein Notfallkonzept erstellt und periodisch getestet.

Aufhebung bisherigen Rechts

Art. 24.

¹ Die Verordnung über die Abteilung für Datenverarbeitung und Organisation vom 22. April 1975⁴ wird aufgehoben.

Übergangsbestimmung

Art. 25.

¹ Für die bestehenden Informatiksysteme und -anwendungen beurteilen die Ämter innerhalb von zwei Jahren nach Vollzugsbeginn dieser Verordnung die Risiken und legen die Sicherheitsstufen, die Informatik-Sicherheitsmassnahmen sowie den Zeitplan ihrer Umsetzung fest.

Vollzugsbeginn

Art. 26.

¹ Dieser Erlass wird ab 1. März 2004 angewendet.