Demoverbund Behörde
Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
|
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Dieser Demoverbund zeigt, wie eine typische kommunale Verwaltungsbehörde mit mittlerer Größe und klassisch kleinstädtischer Aufgabenverteilung mit gezielten, effizienten Maßnahmen sowie klaren Prozessen und Zuständigkeiten die Vorgaben des BSI IT-Grundschutz pragmatisch und wirkungsvoll umsetzen kann. Spezifische Schwerpunkte liegen auf Datenschutz, Zugriffsmanagement, prozessintegrierter IT-Sicherheit sowie effizientem Notfallmanagement trotz begrenzter Ressourcen.
Strukturanalyse der „Verwaltungsbehörde“
Organisationsbeschreibung
Die Verwaltungsbehörde erfüllt alle klassischen kommunalen Aufgaben einer typischen Kleinstadt, darunter Einwohnermeldewesen, Standesamt, Ordnungsverwaltung, Sozial-/Jugendamt, Bauamt und Verwaltung von Steuern/Gebühren.
- Standorte: Zentralgebäude mit kleinen Außenstellen (z. B. Bauhof), Publikumsbereiche.
- Mitarbeitende: Rund 80 Beschäftigte, davon rd. 15 mit IT-Administrations- oder Koordinationsaufgaben (u. a. Datenschutz, Informationssicherheit).
- Leistungen: Bürgerberatung, Meldewesen, Ausweis- und Passamt, Sozialhilfe, Kfz-Zulassung, Bauanträge, Steuern/Gebühren.
- Digitalisierungsgrad: Hoher Anteil an Fachverfahren, teilweise Cloud-basierte SaaS-Lösungen (z. B. Ratsinformationssystem, E-Payment), landesspezifische Anbindungen an Register/Vorgaben.
- Besonderheiten: Strenge rechtliche Vorgaben (u. a. Datenschutz, Archivisation, Aktenführung, Geheimhaltungsstufen), komplexe Berechtigungsstrukturen, zahlreiche Schnittstellen zu anderen Behörden.
Struktur- und IT-Systemanalyse
Organisatorische Struktur und Informationsverbund
- Behördenleitung: Gesamtverantwortung, Haushaltsplanung, strategische Steuerung, IT- und Datenschutzkoordination
- Zentrale Verwaltung: Personal, Finanzen, Liegenschaften, Organisation
- Fachämter: Einwohnermeldeamt, Standesamt, Ordnungsamt, Sozial-/Jugendamt, Bauamt, Kasse/Steueramt
- IT/Serviceeinheit: IT-Leitung, Administration, First/Second-Level-Support, Dokumentenmanagement, Sicherheit/Notfallmanagement
- Externe Dienstleister: Hosting einzelner Fachverfahren, Betreiber von CRM-/DMS-/Kommunikationssystemen mit Schnittstellen zu Landes- und Bundesregistern.
Typische IT-Systeme und Zielobjekte im Informationsverbund
| Kategorie | Beschreibung |
|---|---|
| Fachverfahren | Melderegister, Standesamt, Gewerbewesen, Kfz-/Führerschein, Meldewesen, Sozialwesen |
| DMS/E-Akte | Elektronisches Dokumentenmanagement und E-Akte für Schriftgut/Ablage |
| Office-/Kommunikationssoftware | E-Mail, Kalender, Textverarbeitung, Tabellenkalkulation |
| Netzwerk | LAN/WAN, zentrale Firewall, VLAN-Segmentierung, VPN für Außenstellen |
| Server/Storage | Virtualisierte Infrastruktur (Active Directory, Fileserver, Printserver, Backup), externe Hostingdienste |
| Endgeräte | Arbeitsplatzrechner (Windows, Linux exklusiv in Einzelfällen), Multifunktionsgeräte, Thin Clients, Laptops für Außendienst |
| Bürgerservices/Portale | Webportal (Terminbuchung, Antragsmanagement, E-Payment), Online-Kontaktformulare |
| Sicherheitsinfrastruktur | Antiviren-/EDR-Lösungen, zentrale Updates, Rechteverwaltung, Protokollierung, Zutrittssysteme |
| Backup/Notfallmanagement | Lokale und externa Backups (z. B. per Bandlaufwerk, Cloud-Backup-Service), Notfallarbeitsplätze |
| Telefonie | VoIP-Telefonie, ggf. Leitstellensystem für Notrufe |
Typische Geschäftsprozesse im Informationsverbund
| Nr. | Geschäftsprozess | Prozessverantwortung | Typische IT-Systeme | Prozesstyp | Kurzbeschreibung |
|---|---|---|---|---|---|
| 1 | Bürgeranliegen & Melderegister | Einwohnermeldeamt | Fachverfahren, DMS, Office | Kernprozess | Anmeldung, Ummeldung, Passwesen, Auskünfte an andere Behörden |
| 2 | Standesamtswesen | Standesamt | Fachverfahren, DMS, Office | Kernprozess | Personenstandsfälle (Geburt, Heirat, Sterbefall), Urkundenserstellung |
| 3 | Ordnungsverwaltung | Ordnungsamt | Fachverfahren, Office, DMS | Kernprozess | Öffentliche Sicherheit, Genehmigungen, Bußgeldwesen, Gewerbeanmeldung |
| 4 | Sozial- und Jugendverwaltung | Sozial-/Jugendamt | Fachverfahren, Office, DMS | Kernprozess | Sozialhilfe, Leistungen, Betreuung, Vormundschaften |
| 5 | Baugenehmigung und Liegenschaftsmanagement | Bauamt | Fachverfahren, GIS, DMS | Kernprozess | Antragsbearbeitung, Genehmigungen, Verwaltung städtischer Immobilien |
| 6 | Haushaltsplanung, Steuern und Gebühren | Kämmerei/Steueramt | Finanzverfahren, DMS, Office | Steuerungsprozess | Haushaltsplanung, Gebührenbescheide, Steuerangelegenheiten, Rechnungswesen |
| 7 | Personalverwaltung | Personalabteilung | HR-System, Office, DMS | Hilfsprozess | Personalakten, Gehaltsabrechnung, Arbeitszeitmanagement |
| 8 | Allgemeine Verwaltung & Organisation | Zentrale Verwaltung | Office, DMS, Posteingang/-ausgang | Hilfsprozess | Ablage, Schriftgutverwaltung, Terminkoordination, Abläufe der Geschäftsstellen |
| 9 | IT- und Systembetrieb | IT-Service | Netzwerk, Server, Backup, Sicherheitssoftware | Hilfsprozess | Betrieb und Schutz der IT-Infrastruktur, Usermanagement, Wartung und Updates |
| 10 | Bürgerportale & Online-Services | IT-Service/Fachämter | Webportal, SaaS, E-Payment, DMS | Kernprozess | Bereitstellung digitaler Dienstleistungen für Bürgerinnen und Bürger |
| 11 | Datenschutzmanagement | Datenschutzkoordination | DMS, Office, Datenschutzdokumentation | Steuerungsprozess | Umsetzung DSGVO, Bearbeitung Betroffenenanfragen, Schulungen, Datenschutzfolgeabschätzungen |
| 12 | Informationssicherheitsmanagement | Informationssicherheitsbeauftragter | DMS, ISMS-Software, Protokollierung | Steuerungsprozess | Planung und Umsetzung Sicherheitsmaßnahmen, Sensibilisierung, Notfallmanagement |
Besonderheiten bei der Umsetzung des IT-Grundschutzes
- Hohe Compliance-Anforderungen: Pflicht zur Einhaltung von Registernormen, Aufbewahrungs-, Geheimhaltungs- und Datenschutzvorgaben.
- Viele Fachverfahren: Vielfältige, teils historisch gewachsene Fachapplikationen mit länderspezifischer Anbindung.
- Personalisierte und rollenspezifische Zugriffsberechtigungen: Notwendig aufgrund von unterschiedlichen Amtsaufgaben und Geheimhaltungsstufen.
- Begrenzte Stellen für Informationssicherheit: ISMS-Aufgaben liegen oft bei wenigen Beauftragten, die weitere Aufgaben wahrnehmen; Unterstützung durch IT-Dienstleister oder interkommunale Zusammenarbeit.
- Schnittstellenmanagement: Hohe Zahl technischer und organisatorischer Schnittstellen, z. B. zur Landes-/Bundesverwaltung, zu Zweckverbänden, Datenaustausch mit externen Partnern.
Aufbau des Informationsverbunds (Gliederung)
- Zentrale Verwaltung: Leitung, Personal, Kasse, strategische Steuerung, zentrale DMS-/Fachverfahren
- Fachämter: Bürgerdienste, Standesamt, Ordnungsamt, Sozial-/Jugendamt, Bauamt inkl. entsprechender Applikationen
- IT-Service: Serverinfrastruktur, Netzwerk, Security, Benutzerservice (First/Second-Level)
- Außenstellen: Bauhof, Außenbüros mit sicherem Zugangsmanagement (z. B. VPN, dedizierte Endgeräte)
- Externe Schnittstellen: Landes-/Bundesregister, Partnerbehörden, Webportal, SaaS-Anwendungen
- Backup und Notfall: DMS-/Fachverfahrenssicherung, Wiederanlaufkonzepte für prioritäre Ämter, Zugriff auf Notfallarbeitsplätze, Kommunikationswege mit Externen/Dienstleistenden
Schutzbedarfsfeststellung (Auszug, mit Kurzbegründung)
| Geschäftsprozess | Vertraulichkeit | Integrität | Verfügbarkeit | Begründung |
|---|---|---|---|---|
| Bürgeranliegen & Melderegister | sehr hoch | hoch | hoch | Enthält alle Einwohnerdaten, Datenmissbrauch rechtlich schwerwiegend |
| Standesamtswesen | sehr hoch | hoch | hoch | Sensible Personenstandsdaten, Urkunden mit Beweiswert |
| Ordnungsverwaltung | hoch | hoch | hoch | Personen- und Gewerbedaten, Fehler führen zu Rechtsfolgen |
| Sozial- und Jugendverwaltung | sehr hoch | hoch | normal | Vertrauliche Sozialdaten, Leistungs- und Betreuungsakten |
| Bauverwaltung/Liegenschaften | hoch | hoch | normal | Vertrags-/Immobiliendaten sensibel, Verfügbarkeit planbar |
| Haushaltsplanung/Steuern/Gebühren | hoch | hoch | hoch | Finanz- und Steuerdaten personenbezogen, Zahlungsfristen relevant |
| Personalverwaltung | hoch | hoch | normal | Schutz von Beschäftigtendaten, Fehler können arbeitsrechtliche Folgen haben |
| Allgemeine Verwaltung & Organisation | normal | normal | normal | Interne Kommunikation, meist wenig sensible Inhalte |
| IT- und Systembetrieb | hoch | hoch | sehr hoch | Basis für alle Arbeitsplätze, Ausfall führt zu Leistungsverlust und Datenschutzverletzungen |
| Bürgerportale & Online-Services | hoch | hoch | hoch | Personenbezogene Online-Anträge, hoher Erwartungsdruck der Öffentlichkeit |
| Datenschutzmanagement | sehr hoch | hoch | normal | Prüfung und Nachweisbarkeit aller Datenschutzpflichten, Fehler führen zu rechtlichen Konsequenzen |
| Informationssicherheitsmanagement | sehr hoch | sehr hoch | hoch | Fehler in ISMS-kritischen Prozessen betreffen Gesamtsicherheit der Behörde |
