Leitlinie für Informationssicherheit
Einführung
Der Betrieb einer Hochschule hängt in hohem Maße von IT-Dienstleistungen ab. Das Vertrauen der Benutzer in die Informationstechnik bildet die Grundlage für ihren erfolgreichen Einsatz. Um dieses Vertrauen zu rechtfertigen, muss die Sicherheit von Informationen und Informationstechnik hochschulweit gewährleistet sein.
Die Leitlinie für Informationssicherheit („Leitlinie“) definiert grundsätzliche Regelungen zur Informationssicherheit für die Technische Hochschule Würzburg-Schweinfurt (im Folgenden „THWS“ oder „Hochschule“). Die Leitlinie bildet die Grundlage des Informationssicherheitskonzepts der Hochschule. Als Rahmendokument legt sie den Stellenwert und die Ziele der Informationssicherheit fest. Die Leitlinie ergänzt bestehende Richtlinien der Hochschule und steht im Einklang mit geltenden gesetzlichen Regelungen und anderen relevanten Vorschriften.
Die Hochschulleitung hat die Gesamtverantwortung für die Informationssicherheit an der THWS. Damit die Hochschulleitung dieser Verantwortung angesichts einer wachsenden Bedrohung der sich rasch weiterentwickelnden Technik nachkommen kann, müssen sämtliche Einrichtungen der Hochschule Informationssicherheit als gemeinsame Herausforderung begreifen und die Verantwortlichen in der Bewältigung der Aufgaben unterstützen. Diese Aufgaben sollen auf der Basis dieser Leitlinie in einem kontinuierlichen Informationssicherheitsmanagement bewältigt werden.
Stellenwert der Informationssicherheit
Die THWS ist eine der größten Hochschulen für angewandte Wissenschaften in Bayern. Der reibungslose Ablauf der Prozesse in der Lehre, Forschung und Verwaltung der THWS hängt in hohem Maße von der Qualität von IT-Dienstleistungen ab. Die Digitalisierungsstrategie der Hochschule unterstreicht diese wichtige Rolle der IT. Ziel der Strategie ist neben der Vermittlung digitaler Kompetenzen an die Studierenden u. a. die stärkere Digitalisierung der hochschulinternen Prozesse.
Mit der Digitalisierung steigen die Anforderungen an die Informationssicherheit in der Hochschule. Die drei wesentlichen Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit. Ein System gilt als informationssicher, wenn es keine Zustände annimmt, die zu unautorisierter Informationsveränderung oder -gewinnung führen. Die Initiierung, Umsetzung und kontinuierliche Verbesserung des Informationssicherheitskonzepts gewährleistet, dass die Hochschule ihre Aufgaben erfüllen kann, indem IT-gestützte Prozesse sicher und fehlerfrei ablaufen.
Geltungsbereich
Die Leitlinie ist verpflichtend für alle Mitglieder der Hochschule gemäß BayHSchG Art. 17 Abs. 1 (z. B. Studierende, Dozenten, Lehrbeauftragte, wissenschaftliches und technisches Personal, Verwaltungsangestellte, Hochschulleitung und ehemalige Angehörige der THWS) sowie für Gäste sofern Sie Zugang zu hochschulinternen Informationen erlangen oder die Informationstechnik der Hochschule verwenden. Die Richtlinie betrifft alle organisatorischen Einheiten (z. B. Fakultäten, Institute, Stabsstellen, Hochschulservices, zentrale Einrichtungen) sowie alle Projektorganisationen an allen Standorten der THWS.
Ziele der Informationssicherheit
Mit der Stärkung der Informationssicherheit will die THWS insbesondere folgende Ziele erreichen:
(1) Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und der Informationstechnik unter Berücksichtigung ihrer spezifischen Anforderungen.
(2) Schutz der IT-Infrastruktur und der damit verarbeiteten Informationen gegen Missbrauch von innen und außen.
(3) Sicherstellung einer zuverlässigen IT-Unterstützung des Lehr-, Forschungs- und Verwaltungsbetriebes.
(4) Einhaltung gesetzlicher Vorgaben im Umgang mit Informationen und Informationstechnik.
(5) Aufrechterhaltung der positiven Außendarstellung der Hochschule in der Öffentlichkeit.
Absolute Informationssicherheit gibt es nicht. Daher ist das Ziel der Hochschule, die Risiken, die mit dem Betrieb der IT-Infrastruktur und der Verarbeitung von Informationen einhergehen, auf ein akzeptables Maß zu reduzieren. Die umzusetzenden Sicherheitsmaßnahmen müssen in einem wirtschaftlich vertretbaren Verhältnis zum Schaden stehen, der durch das Eintreten eines Sicherheitsvorfalls erwartet wird. Zudem sind die Sicherheitsmaßnahmen mit den Anforderungen der akademischen Freiheit abzuwägen. Die Priorisierung der Maßnahmen erfolgt anhand des jeweiligen Risikoprofils von Informationen und Informationstechnik.
Informationssicherheitsmaßnahmen
Die Hochschule ergreift die technischen und organisatorischen Maßnahmen, die notwendig sind, um die oben genannten Ziele zu erreichen. Dazu etabliert die THWS ein Informationssicherheitsmanagementsystem (ISMS), welches sich an der Vorgehensweise eines zertifizierbaren Standards orientiert. Die einzelnen Maßnahmen orientieren sich am Grundschutzkompendium des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das ISMS und die Einhaltung der technischen und organisatorischen Maßnahmen werden regelmäßig auf Aktualität und Wirksamkeit geprüft, um das angestrebte Sicherheitsniveau herzustellen. Abweichungen werden mit dem Ziel analysiert, die Sicherheitssituation an der Hochschule zu verbessern.
Das geforderte Maß an Informationssicherheit kann an der Hochschule nur erreicht werden, wenn alle Angehörigen der Hochschule die eigenen Kompetenzen und Pflichten kennen und sich verantwortungsbewusst verhalten. Um die notwendigen Kompetenzen zur Informationssicherheit aufzubauen bzw. zu vertiefen, werden alle Hochschulangehörigen im erforderlichen Umfang sensibilisiert und qualifiziert. Alle Hochschulangehörigen werden über informationssicherheitsrelevante Themen und Regelungen durch geeignete Kanäle informiert.
Organisationsstruktur und Verantwortlichkeiten für das Informationssicherheitsmanagement
Die Hochschulleitung hat die Gesamtverantwortung für die Informationssicherheit in der Hochschule. Sie steht in vollem Umfang hinter den in dieser Leitlinie formulierten Zielen und den daraus abgeleiteten und abzuleitenden Maßnahmen.
Alle Hochschulangehörigen tragen die Verantwortung, bestimmungsgemäß und sachgerecht mit den von ihnen genutzten Informationen und der Informationstechnik der Hochschule umzugehen. Sie sind angehalten, die Regeln zur Informationssicherheit auf ihren Tätigkeitsbereich anzuwenden.
Die komplette Organisationsstruktur für das Informationssicherheitsmanagement ist im Dokument „Informationssicherheits- und Datenschutzmanagement – Organisationskonzept“ beschrieben.
Umsetzung der Leitlinie
Die Hochschulleitung setzt die Leitlinie in Kraft. Alle Hochschulangehörigen erlangen Kenntnis von der Leitlinie und erkennen sie an. Die Hochschulleitung motiviert die Hochschulangehörigen zur Einhaltung dieser Leitlinie und unterstützt die ständige Verbesserung des Sicherheitsniveaus. Alle Angehörigen der Hochschule sind angehalten, Verbesserungsvorschläge das ISMS betreffend an die Verantwortlichen zu melden.
Würzburg, den 02.11.2020
Der Präsident – Prof. Dr. Robert Grebner
letzte Änderung am 03.01.2023: Umstellung auf THWS