Informationssicherheit

Für die Bundesanstalt Statistik Österreich (im Folgenden Statistik Austria) stellt die Sicherheit und der Schutz der von ihr gesammelten, verarbeiteten und verwalteten Daten sowie Informationen eine vordringliche Aufgabe dar.

Informationssicherheit (InSi) umfasst den Schutz von Daten und Informationen mit einem identifizierten Schutzbedarf vor Verlust, Manipulation und unerwünschter Offenlegung und damit auch den Schutz der entsprechenden Daten- und Informationsträger und Einrichtungen zur Daten- und Informationsverarbeitung. Auch Informationen auf Papier, digitale Datenträger und die verbale Informationsübertragung sind Gegenstand der Informationssicherheit.

Das Dokument „Informationssicherheit – Statistik Austria“ beinhaltet die Ziele und Führungsgrundsätze von Statistik Austria zum Thema Informationssicherheit sowie die Anforderungen an ein InSi-Managementsystem, durch das ein angemessenes InSi-Niveau sichergestellt werden soll. Dieses basiert auf der international anerkannten Norm ISO 27001, wurde von der Generaldirektion von Statistik Austria in Kraft gesetzt und wird in einem jährlichen Zyklus auf Aktualität überprüft und bei Änderung durch diese freigegeben.

Die IT-Abteilung wurde mit der Einrichtung und kontinuierlichen Weiterentwicklung eines InSi-Managementsystems beauftragt. Damit verbunden ist die Etablierung der Rolle einer bzw. eines InSi-Beauftragten, worüber die übergeordnete Koordination, die Steuerung und das Berichtswesen für dieses Managementsystem wahrgenommen werden.

Das InSi-Team stellt themenspezifische Richtlinien zur Verfügung und überprüft regelmäßig ihre Aktualität. Änderungen der Richtlinien sind von der Generaldirektion zu genehmigen. Alle für die Informationssicherheit relevanten Dokumente sind im Intranet von Statistik Austria verfügbar.

Eine Gruppe von Informationen mit besonders hohem Schutzbedarf bilden „personenbezogene Daten“, deren Informationssicherheit nach den Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) und des Datenschutzgesetzes (DSG) sicherzustellen ist. Die bzw. der für dieses Thema im Organisationsbereich Zentrale Dienste etablierte Datenschutzbeauftragte und die bzw. der InSi-Beauftragte arbeiten als Mitglieder des InSi-Teams eng zusammen.

Regelmäßige Überprüfungen sowie die laufende Überwachung der InSi-Prozesse, der Einhaltung der Richtlinien und der implementierten Sicherheitsmaßnahmen geben Aufschluss über deren Wirksamkeit und bilden die Grundlage für notwendige Änderungen und die kontinuierliche Verbesserung. Die Wirksamkeit des InSi-Managementsystems insgesamt wird regelmäßig von der Generaldirektion bewertet, um dessen fortdauernde Eignung und Angemessenheit sicherzustellen.

Bei der Umsetzung und kontinuierlichen Weiterentwicklung des InSi-Managementprozesses ist auf Effektivität und Effizienz vor allem aber auf die Balance zwischen der nötigen Informationssicherheit und der Aufrechterhaltung der ungestörten Abläufe des Betriebes zu achten.