Inhalt

ISMSR
Text gilt ab: 15.12.2022
Gesamtvorschrift gilt bis: 31.12.2023

2. Fördergegenstand

1Der Fördergegenstand umfasst:
a)
die Einführung eines ISMS, das den vom IT-Planungsrat beschlossenen Zielsetzungen entspricht,
b)
die Umsetzung der nachfolgend bestimmten Vor- und Zwischenstufen eines solchen ISMS sowie
c)
deren Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor.
2Im Einzelnen sind dies:
a)
Arbeitshilfe der Innovationsstiftung Bayerische Kommune – ISK V 4.0 oder höher (Vorstufe): Umsetzung der Arbeitshilfe zur Erstellung von Informationssicherheitskonzepten der Innovationsstiftung Bayerische Kommune durch Kommunen oder kommunale Zusammenschlüsse mit weniger als 150 rechnergestützten Arbeitsplätzen, soweit sie das Siegel „kommunale IT-Sicherheit“ noch nicht erworben haben,
b)
VdS 10000 (Vorstufe): Umsetzung der Richtlinie VdS 10000 der VdS Schadenverhütung GmbH durch kommunale Unternehmen sowie deren Zertifizierung oder abschließende Prüfung durch einen zugelassenen Auditor,
c)
CISIS12 sowie Schulung von ISB: Einführung von CISIS12, deren Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor sowie die Schulung von Mitarbeitern zum Informationssicherheitsbeauftragten (ISB) und deren Zertifizierung (Vorstufe),
d)
Basisabsicherung (Zwischenstufe): Implementierung der im IT-Grundschutz-Profil für Kommunen1 von den kommunalen Spitzenverbänden in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) definierten Mindestsicherheitsmaßnahmen sowie deren Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor,
e)
Kernabsicherung (Zwischenstufe): Absicherung von Fachprozessen und Fachverfahren der Kommunen oder von den Kommunen obliegenden Aufgaben nach IT-Grundschutz sowie deren Zertifizierung oder abschließende Prüfung der Implementierung durch einen zugelassenen Auditor,
f)
Standardabsicherung: Einführung von IT-Grundschutz des BSI oder ISO/IEC 2700X sowie deren Zertifizierung oder abschließende Prüfung der vollständigen Implementierung durch einen zugelassenen Auditor.
1 [Amtl. Anm.:] IT-Grundschutz-Profile sind Muster-Sicherheitskonzepte für Institutionen mit vergleichbaren Rahmenbedingungen. Das erstellte IT-Grundschutz-Profil basiert auf der Vorgehensweise der Basis-Absicherung nach dem BSI-Standard 200-2 und definiert die Mindestsicherheitsmaßnahmen, die in einer Kommunalverwaltung umzusetzen sind. Das ITGrundschutz-Profil erleichtert den Einstieg in die Informationssicherheit und hilft dabei, das Sicherheitsniveau anzuheben.