• Bereichsbezogener IT-Einsatz
     
    • Bereichsleitung
      Die Leitung eines Bereichs trägt die Verantwortung für den laufenden IT-Einsatz in ihrem Aufgabenbereich sowie für alle bereichsinternen IT-Planungen. Sie benennt einen IT-Beauftragten, der den IT-Einsatz koordiniert und plant und darüber hinaus die in der IT-Sicherheitsrichtlinie formulierten Maßnahmen umsetzt.
       
    • IT-Sicherheitsbeauftragter
      Der IT-Sicherheitsbeauftragte koordiniert und organisiert die Informationssicherheit. Er ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Bereichs.
       
    • IT-Beauftragter
      Der IT-Beauftragte bildet die Schnittstelle zwischen der von ihm vertretenden Einrichtung und anderen FU-Bereichen sowie der Universitätsleitung. Zum einen bündelt er die Anforderungen und den Bedarf an IT-Unterstützung seiner Einrichtung und kommuniziert diese an die universitären IT-Servicebereiche bzw. an die Universitätsleitung. Zum anderen informiert er die Beschäftigten der Einrichtung über zentrale Vorgaben und sorgt für deren Umsetzung in seiner Einrichtung. Die Rolle des IT-Beauftragten ist ausführlich in dem Handlungsleitfaden "Einbindung des IT-Beauftragten in wichtige Prozesse eines Fachbereichs" beschrieben.
  • Bereichsbezogener IT-Einsatz
     
  • Höchste Entscheidungsinstanz (Präsident)
    Die höchste Entscheidungsinstanz und Träger der Gesamtverantwortung an der Freien Universität in allen IT-Fragen ist der Präsident der Freien Universität Berlin.
     
  • Strategische und operative Führung des IT-Einsatzes (CIO)
    Im Auftrag des Präsidiums ist der CIO (Chief Information Officer) für alle Aufgaben der strategischen Führung der Informationstechnologie und der bereichsübergreifenden operativen Vorgaben verantwortlich.
     
  • Bereitstellung von zentralen IT-Diensten (Zentrale IT-Servicebereiche)
    Die zentralen IT-Servicebereiche (Zentraleinrichtung für Datenverarbeitung – ZEDAT, Universitätsbibliothek – UB, elektronische Administration und Services – eAS) planen, realisieren, betreiben und gestalten IT-Infrastrukturen und -Services für die Einrichtungen der Freien Universität Berlin.
     
  • Koordination und Organisation der Informationssicherheit (IT-Sicherheitsbeauftragter)
    Die Aufgabe der Koordination und Organisation der Informationssicherheit obliegt dem IT-Sicherheits-beauftragten der Freien Universität Berlin. Er ist zuständig für die Wahrnehmung aller Belange der Informationssicherheit innerhalb der Freien Universität Berlin.
     
  • Datenschutz (Der/die behördliche/r Datenschutzbeauftragte/r)
    Dem behördlichen Datenschutzbeauftragten obliegt die Unterstützung des Präsidiums in allen Fragen der Verarbeitung personenbezogener Daten und die Überwachung der ordnungsgemäßen Anwendung datenverarbeitender Programme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen. Er fungiert als Ansprechpartner für die Angehörigen der Freien Universität Berlin und macht die bei der Verarbeitung personenbezogener Daten tätigen Personen mit den Erfordernissen des Datenschutzes vertraut. 
  • Verantwortung für den Betrieb eines IT-Verfahrens (Verfahrensverantwortlicher)
    Der Verfahrensverantwortliche organisiert die Einführung und den laufenden Betrieb eines IT-Verfahrens einschließlich aller Komponenten und Schnittstellen. Darüber hin-aus dokumentiert er das IT-Verfahren. Er ist in der Regel "Besitzer" der verarbeiteten Daten. Insbesondere trägt er auch die Verantwortung für die Einhaltung des Datenschutzes und der Informationssicherheit.
  • AG IT-Sicherheit
    Die Arbeitsgruppe IT-Sicherheit berät zu allen Fragen der IT-Sicherheit und erstellt Empfehlungen für die Leitung der Freien Universität Berlin. Insbesondere entwickelt die Arbeitsgruppe Leitlinien zur IT-Sicherheit, schreibt die zentrale IT-Sicherheitsrichtlinie fort und konzipiert Schulungsprogramme für die IT-Sicherheit. Außerdem unterstützt sie den Informationsaustausch der IT-Beauftragten untereinander und mit den universitären IT-Dienstleistern.
    Die Zusammensetzung der Arbeitsgruppe IT-Sicherheit berücksichtigt die Vielfalt der unterschiedlichen Anforderungen der Bereiche (Forschung und Lehre, Dienstleister, Verwaltung) an den IT-Einsatz.

Zusätzlich zu den oben beschriebenen Rollen gibt es im Kontext von IT-Verfahren weitere Rollen
(siehe Abschnitt 5.4):

  • Systemadministrator
  • Applikationsbetreuer
  • Key-User
  • Anwender

1Geltungsbereich

Die in dieser IT-Sicherheitsrichtlinie beschriebenen organisatorischen, personellen, technischen und infrastrukturellen Maßnahmen und Methoden sind für alle Mitglieder und Einrichtungen der Freien Universität Berlin verbindlich. Die IT-Sicherheitsrichtlinie gilt darüber hinaus auch für alle externen Nutzer/innen der IT-Infrastruktur der Freien Universität Berlin.

Die hier festgelegten Regelungen gelten sowohl für den Betrieb als auch bereits für die Planung des Einsatzes von Informationstechnik.

Alle Nutzer/innen von IT-Ressourcen der Freien Universität Berlin werden über die für sie relevanten Teile der IT-Sicherheitsrichtlinie informiert. Neue Mitglieder der Freien Universität Berlin werden auf die geltende IT-Sicherheitsrichtlinie beim Eintritt in die Freie Universität hingewiesen. Nicht-Mitglieder, die IT-Ressourcen der Freien Universität Berlin nutzen, werden von der beauftragenden oder einladenden Stelle auf die für sie relevanten Teile der IT-Sicherheitsrichtlinie hingewiesen. Insbesondere ist zu gewährleisten, dass

  • für das leitende Personal die allgemeinen Grundsätze und die Organisation der IT-Sicherheit,
  • für alle Verfahrensverantwortlichen die verfahrensspezifischen Regelungen
  • für alle übrigen Anwender/innen die Regelungen des IT-Grundschutzes,

als bekannt vorausgesetzt werden können.

2Leitlinienfunktion für andere Dokumente

Die in dieser Richtlinie enthaltenen Regelungen müssen bei der Ausarbeitung von speziellen IT-Regelwerken, wie Anleitungen, Benutzungsordnungen u. ä. berücksichtigt werden. Insbesondere dürfen Regelungen in anderen Dokumenten den Regeln der IT-Sicherheitsrichtlinie nicht zuwiderlaufen. Bei widersprüchlichen Aussagen zu IT-Sicherheitsthemen gelten stets die in dieser Richtlinie festgelegten Regelungen.

3Verantwortlichkeiten und Organisation der IT-Sicherheit

Die Vielzahl von IT-gestützten Arbeitsprozessen hat die Verfügbarkeit einer sicheren und zuverlässigen IT-Infrastruktur zu einem entscheidenden Faktor werden lassen. Der hohe Grad der Vernetzung der Bereiche durch ein übergreifendes Campusnetz kann zur Folge haben, dass sich Sicherheitsmängel in einem Bereich auf die Sicherheit von IT-Systemen in einem anderen Bereich der Freien Universität auswirken. Über die Einhaltung der in dieser IT-Sicherheitsrichtlinie aufgestellten Regeln hinaus erfordert die Gewährleistung der IT-Sicherheit die aktive Mitarbeit aller beteiligten Personen, sowohl hierarchie- als auch bereichsübergreifend.

Die an der Freien Universität für den IT-Einsatz festgelegten Rollen und Zuständigkeiten sind in der IT-Organisationsrichtlinie der Freien Universität Berlin beschrieben. Die für die IT-Sicherheit aus organisatori­scher und strategischer Sicht bedeutendsten Rollen werden an dieser Stelle kurz dargestellt:

AG IT-Sicherheit

IT-Sicherheitsrichtlinie - Geltungsbereich und Verantwortlichkeiten

  1. Verzeichnis der Grundschutzmassnahmen
  2. Präambel
  3. Kurzbeschreibung
  4. Teil IAllgemeines
  5. 1Geltungsbereich
  6. 2Leitlinienfunktion für andere Dokumente
  7. 3Verantwortlichkeiten und Organisation der IT-Sicherheit
  8. 4Grundbegriffe
  9. Teil IIIT-Verfahren
  10. 5Dokumentation von IT-Verfahren
    1. 5.1IT-Verfahrensdatenbank
    2. 5.2Struktur der IT-Verfahrensdokumentation
    3. 5.3Beziehungen zwischen Komponenten der IT-Verfahrensdokumentation
    4. 5.4Rollen innerhalb eines IT-Verfahrens
    5. 5.5IT-Verfahren mit kurzer Betriebsdauer
  11. 6Schutzbedarfsanalyse
    1. 6.1Vorgehensweise
    2. 6.2Bewertungstabellen
      1. 6.2.1Verlust von Vertraulichkeit
      2. 6.2.2Verletzung von Integrität
      3. 6.2.3Beeinträchtigung von Verfügbarkeit
      4. 6.2.4Verstoß gegen Gesetze, Vorschriften und Verträge
  12. 7Risikoanalyse
    1. 7.1Begriffsdefinitionen
    2. 7.2Vorgehensweise
    3. 7.3Beispiel
  13. Teil IIIRegeln
  14. 8Maßnahmen des IT-Grundschutzes
    1. 8.1Allgemeines
    2. 8.2Organisation von IT
    3. 8.3IT-Personal
    4. 8.4Sicherung der Infrastruktur
    5. 8.5Hard- und Softwareeinsatz
    6. 8.6Einsatz von mobilen Geräten
    7. 8.7Zugriffsschutz
    8. 8.8Protokollierung
    9. 8.9System- und Netzwerkmanagement
    10. 8.10Datensicherung
    11. 8.11Datenträgerkontrolle
    12. 8.12Verschiedenes
  15. Teil IVAusführungsbestimmungen
  16. 9Inkraftsetzen und Aktualisierung der IT-Sicherheitsrichtlinie
  17. 10Konfliktlösung bei der Umsetzung der IT-Sicherheitsrichtlinie
  18. Anhang
  19. 11Abbildungsverzeichnis
  20. 12Tabellenverzeichnis
  21. 13Glossar
  22. 14Literaturverzeichnis

Seite zuletzt geändert: 16.05.2022 16:46

Betreff:

Seite: 6

 

Geltungsbereich und Verantwortlichkeiten

Seite: 6a

Betreff:

 

Seite: 6b

Geltungsbereich und Verantwortlichkeiten

Betreff:
6/24