Leitlinie Informationssicherheit
Die Leitlinie zur Informationssicherheit ist das Grundsatzdokument der FH Aachen zur Informationssicherheit, das von der Hochschulleitung per Rektoratsbeschluss mit Gültigkeit für die gesamte Hochschule festgelegt wurde. Die Leitlinie unterstreicht die Bedeutung der Informationssicherheit bezüglich der im alltäglichen Hochschulgeschäft zu verarbeitenden Informationen und gibt den Rahmen vor, in dem ein angemessener Schutz der Informationen umzusetzen ist.
Aufbauend auf ihrer Leitlinie zur Informationssicherheit trifft die FH Aachen detaillierte Regelungen zu individuellen Themen der Informationsverarbeitung in weiteren Dokumenten (Ordnungen, Richtlinien, Konzepte und Dienstvereinbarungen), die ebenfalls durch die Hochschulleitung in Kraft gesetzt werden.
Wesentliche Inhalte
Zur Umsetzung eines hochschulweiten, einheitlich strukturierten Informationssicherheits-Management hat das Rektorat der FH Aachen die Umsetzung des IT-Grundschutz beschlossen. Der IT-Grundschutz ist eine
vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte und frei verfügbare Vorgehensweise für den Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Ein zentraler strategischer Baustein ist die Erstellung, Aktualisierung sowie Inkraftsetzung einer übergeordneten Leitlinie zur Informationssicherheit an der FH Aachen.
Die vorliegende Leitlinie beschreibt den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die grundlegende Organisationsstruktur für Informa-tionssicherheit (Rollenkonzept Informationssicherheit) an der FH Aachen. Der Geltungsbereich der Leitlinie zur Informationssicherheit erstreckt sich über alle Angehörigen der Hochschule und umfasst die gesamte Hochschule mit allen Standorten.
Präambel
Die Leitlinie zur Informationssicherheit beschreibt die grundlegenden Ziele und Rahmenvorgaben für die Informationssicherheit der Fachhochschule Aachen (FH Aachen).
Die FH Aachen verpflichtet sich, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen, Anwendungen und IT-Systeme zu gewährleisten. Im Rahmen ihrer Aufgaben und Verantwortlichkeiten ist es unerlässlich, den Schutz der digitalen und physischen Ressourcen kontinuierlich sicherzustellen.
Die Leitlinie basiert auf den Vorgaben des BSI-Grundschutzes und dient dazu, ein einheitliches und systematisches Sicherheitsniveau zu etablieren, um Risiken zu minimieren und die nachhaltige Erfüllung der wissenschaftlichen, administrativen und rechtlichen Anforderungen zu gewährleisten. Informationen sind unverzichtbar für das Kerngeschäft der FH Aachen. Forschung, Lehre, Weiterbildung und Verwaltung generieren Informationen und sie spielen in allen Organisationseinheiten der FH Aachen eine zentrale Rolle. Sie werden von den Professorinnen bzw. Professoren, Lehrbeauftragten, weiteren Beschäftigten sowie den Studierenden erstellt und bearbeitet.
Informationen sind zum Beispiel Forschungsergebnisse, Prüfungsdaten, Finanz- oder Personaldaten. Sehr oft handelt es sich dabei auch um vertrauliche bzw. personenbezogene Informationen. Datenschutz und Informationssicherheit sind Teil der Managementaufgabe, differenziert nach den jeweiligen Organisationsbereichen (Lehre und Forschung, Verwaltung, zentrale und sonstige Einrichtungen) der FH Aachen. Die Mitglieder und Angehörigen der FH Aachen sind damit gleichzeitig Betroffene personenbezogener Daten und
Akteure der Informationsverarbeitung.
Informationssicherheit ist Voraussetzung für den Erfolg und Gesetzeskonformität in Lehre, Forschung, Weiterbildung und Verwaltung. Alle Mitarbeitenden und Studierenden sind aufgefordert, aktiv zum Schutz der Informationswerte beizutragen und die festgelegten Sicherheitsmaßnahmen einzuhalten. Die Missachtung von sicherheitsrelevanten Vorgaben kann wirksame Konsequenzen zur Folge haben.
Das Risiko, dass ein Cyberangriff den Lehr- und Forschungsbetrieb der FH Aachen zum Erliegen bringt, steigt stetig. Informationssicherheit stellt sicher, dass mit fortschreitender Digitalisierung kritische und personenbezogene Daten angemessen geschützt werden und dass die angemessene Verfügbarkeit von
Informationen und Informationstechnik zur Erfüllung der Kernaufgaben sichergestellt wird.
Die Leitlinie berücksichtigt ebenfalls das neu geplante Hochschulstärkungsgesetz des Ministeriums für Kultur und Wissenschaft NRW und damit einhergehend die zwei wichtigen geplanten Rollen des Chief Information Officer (CIO) und des Chief Information Security Officer (CISO) im Bereich der Informationssicherheit.