Präambel
Die Informations- und Kommunikationstechnik (IuK) ist für die Universität Augsburg von elementarer Bedeutung. Viele Arbeitsprozesse an der Universität erfolgen IT-basiert, die zugrundeliegenden IT-Systeme sind im Rahmen des integrierten Informationsmanagements miteinander verknüpft und es besteht eine erhebliche Abhängigkeit von der Funktionstüchtigkeit der IuK. Eine hoch verfügbare und sichere IuK ist somit für Forschung, Lehre, Studium und Verwaltung erfolgskritisch.
Die Informationssicherheit ist für die Universität Augsburg von daher eine wesentliche Voraussetzung für ihre Aufgabenerfüllung, auch oder gerade im Hinblick auf die Beachtung gesetzlicher Auflagen beispielsweise im Bereich des Datenschutzes. Informationssicherheit hat demzufolge für die Universität Augsburg eine strategische Bedeutung und wird von der Universitätsleitung ausdrücklich gefördert.
Ziel ist hierbei die stetige Verbesserung und dauerhafte Aufrechterhaltung der Informationssicherheit. Dabei gilt es die akademische Freiheit zu berücksichtigen und den personellen und finanziellen Aufwand für die Sicherheitsmaßnahmen in Relation zum erzielten Sicherheitsgewinn und zum Wert der zu schützenden Güter zu setzen.
§1 Gegenstand
Diese Informationssicherheitsleitlinie ist die Grundlage für die Einführung und die dauerhafte Aufrechterhaltung eines Informationssicherheitsmanagementsystems (ISMS), welches den organisatorischen Rahmen für den Sicherheitsprozess an der Universität Augsburg liefert. Dieser besteht darin, eine risikogerechte Bewertung möglicher Gefährdungen der Systeme, Dienste und der darin verarbeiteten Daten entsprechend ihrer Bedeutung vorzunehmen. Daraus abgeleitete Sicherheitsmaßnahmen orientieren sich an den Grundwerten der Informationssicherheit:
- Vertraulichkeit; Zugriff auf schützenswerte Daten ist nur berechtigten Personen möglich.
- Integrität; Daten sind vollständig und unverändert.
- Verfügbarkeit; Systeme, Dienste und verarbeitete Daten stehen zeitgerecht zur Verfügung.
§2 Informationssicherheitsmanagementsystem
Alle Aufgaben und Aktivitäten innerhalb des ISMS sowie deren organisatorische und technische Instrumente und Methoden werden in Sicherheitsrichtlinien beschrieben. Diese bilden zusammen mit der Informationssicherheitsleitlinie das Sicherheitsregelwerk.
Das Sicherheitsregelwerk wird auf den internen Webseiten der Universität Augsburg veröffentlicht. Die Informationssicherheitsleitlinie und insbesondere die Sicherheitsrichtlinien werden regelmäßig auf ihre Aktualität geprüft und kontinuierlich gepflegt. Die Sicherheitsrichtlinien werden dabei von der Universitätsleitung verabschiedet und der erweiterten Universitätsleitung vor ihrem Inkrafttreten zur Kenntnis gebracht.
§3 Geltungsbereich
Das Sicherheitsregelwerk ist für die zentralen Organe der Universität Augsburg, die Fakultäten, die den Fakultäten zugeordneten und die zentralen Einrichtungen sowie für alle Mitglieder und Gäste der Universität Augsburg verbindlich. Es ist auch von Partnern und Partnerinnen und externen Dienstleistern und Dienstleisterinnen hinsichtlich der an der bzw. für die Universität Augsburg eingesetzten IuK verpflichtend einzuhalten.
§4 Organisation
Der ITS-Lenkungsrat ist das zentrale Organ des Informationssicherheitsmanagementsystems, er steuert den Sicherheitsprozess und berät die Universitätsleitung in Fragen der Informationssicherheit und der dafür erforderlichen personellen und finanziellen Ressourcen.
Sicherheitsmanagementteam
Das Sicherheitsmanagementteam wird vom ITS-Lenkungsrat eingesetzt und hat die Aufgabe, die Sicherheitsrichtlinien und die daraus abgeleiteten Sicherheitsmaßnahmen für die IuK der Universität Augsburg zu erarbeiten und kontinuierlich weiterzuentwickeln.
Informationssicherheitsbeauftragte / Informationssicherheitsbeauftragter
Die oder der Informationssicherheitsbeauftragte wird von der Universitätsleitung eingesetzt und von ihr mit den erforderlichen Ressourcen und Befugnissen ausgestattet.
Die oder der Informationssicherheitsbeauftragte ist dafür zuständig, dass die im Sicherheitsregelwerk beschriebenen Aufgaben und Aktivitäten umgesetzt werden. Er leitet das Sicherheitsmanagementteam und sorgt dafür, dass angemessene Sicherheitsmaßnahmen formuliert, kommuniziert, realisiert, weiterentwickelt und überwacht werden.
Die oder der Informationssicherheitsbeauftragte ist bei der Einführung oder Änderung aller IT-Verfahren mit einrichtungsübergreifender Auswirkung sowie auf Verlangen bei sonstigen IT-Verfahren zu beteiligen.
§5 Verantwortlichkeiten
Die Universitätsleitung trägt die Gesamtverantwortung für die Informationssicherheit an der Universität Augsburg.
Die Verantwortlichkeit für die Informationssicherheit einzelner IT-Dienste und die darin verarbeiteten Daten folgt grundsätzlich den Zuständigkeiten für Systeme und Dienste.
Alle Nutzenden der IuK tragen die Verantwortung, bestimmungsgemäß und sachgerecht mit den von ihnen genutzten Systemen, Diensten und den darin verarbeiteten Daten umzugehen. Sie sind verpflichtet, die im Sicherheitsregelwerk zusammengefassten Vorgaben und Verpflichtungen für ihren Arbeitsbereich einzuhalten und Ereignisse, welche die Informationssicherheit beeinträchtigen oder beeinträchtigen könnten, unverzüglich nach Kenntniserlangung der oder dem Informationssicherheitsbeauftragten zu melden.
§6 Gefahrenabwehr
Wird eine Gefährdung der Informationssicherheit festgestellt, so veranlasst die oder der Informationssicherheitsbeauftragte nach Risikoabwägung unverzüglich angemessene Maßnahmen zur Gefahrenabwehr.
Bei erheblichen Gefährdungen kann dies insbesondere die Sperrung von Zugängen oder die Isolierung der gefährdenden oder gefährdeten Systeme und Netze sein. Die Maßnahmen zur Gefahrenabwehr werden nach Anweisung der oder des Informationssicherheitsbeauftragten durch die für die Systeme verantwortlichen Stellen umgesetzt.
Der Umgang mit Sicherheitsvorfällen erfolgt entsprechend einem definierten, von der oder dem Informationssicherheitsbeauftragten betreuten, Prozess zur Behandlung von Informationssicherheitsvorfällen. Sowohl der Sicherheitsvorfall als auch die ergriffenen Maßnahmen zur Gefahrenabwehr werden von der oder dem Informationssicherheitsbeauftragten dokumentiert.
§7 Schulung der Nutzende
Besonderes Augenmerk wird auf die Sensibilisierung und Schulung der IuK-Nutzende gelegt.
Sicherheitsrelevante Themen und Regeln werden den Universitätsangehörigen durch geeignete Schulungs- oder Informationskanäle zur Kenntnis gebracht.
§8 Inkrafttreten
Diese Leitlinie tritt mit Wirkung vom 01.10.2021 in Kraft. Die letzte Änderung erfolgte am 10.02.22
