Anfrage Informationsfreiheitsgesetz zur Informationssicherheit

Anfrage an: Kommunale Datenverarbeitungszentrale (KDVZ) IT-Kooperation Rheinland

Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG

Guten Tag,

nach einer Anfrage bei von Ihnen angeschlossenen Kommunen, wurde für die nachfolgend aufgeführte Fragestellung an Ihre Zuständigkeit verwiesen, weshalb ich meine Anfrage gerne auch an Ihr Haus weiterreiche und um Übersendung der folgenden Unterlagen bitte:

1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeitenten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein.
1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen.

Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen:
2.a.) Wird die IT-Umgebung komplett eigenständig betrieben?
b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut?
c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese?
3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt?
b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)?
c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert?
d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben.
4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt?
b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?)
c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen?
d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts.
5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten?
6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen?
7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden?

Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen:
- I. Verwaltung
- II. Gefahrenabwehr
- III. Energie- und Wasserversorgung, sowie Abwasserentsorgung
- IV. Schule
- V. Gesundheitssystem

Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind).

Ausschlussgründe liegen meines Erachtens nicht vor.

Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW.

Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt.

Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen.

Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte.

Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail).
Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!

Mit freundlichen Grüßen

Anfrage teilweise erfolgreich

  • Datum
    4. Januar 2024
  • Frist
    6. Februar 2024
  • 0 Follower:innen
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 4. Jan.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, nach einer Anfrage bei von Ihnen anges…
An Kommunale Datenverarbeitungszentrale (KDVZ) IT-Kooperation Rheinland Details
Von
<< Anfragesteller:in >>
Betreff
Anfrage Informationsfreiheitsgesetz zur Informationssicherheit [#296287]
Datum
4. Januar 2024 19:25
An
Kommunale Datenverarbeitungszentrale (KDVZ) IT-Kooperation Rheinland
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Guten Tag, nach einer Anfrage bei von Ihnen angeschlossenen Kommunen, wurde für die nachfolgend aufgeführte Fragestellung an Ihre Zuständigkeit verwiesen, weshalb ich meine Anfrage gerne auch an Ihr Haus weiterreiche und um Übersendung der folgenden Unterlagen bitte: 1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeitenten Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein. 1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen. Ferner bitte ich um die Beantwortung folgender Fragen bzw. Bereitstellung ergänzender Unterlagen: 2.a.) Wird die IT-Umgebung komplett eigenständig betrieben? b.) Falls nein: Welche Teile werden durch einen Dienstleister betreut und welche werden selbst betreut? c.) Bei der Beauftragung von Dienstleistern: Welche Dienstleister werden eingesetzt und über welche Zertifizierung hinsichtlich der Informationssicherheit verfügen diese? 3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt? b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)? c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert? d.) Sollte diese Funktion ausgelagert sein, bitte ich um Angabe des Dienstleisters und Übersendung der vertraglichen Vereinbarung zum Umfang der übertragenen Aufgaben. 4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt? b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?) c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen? d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Ich bitte um Übersendung des letzten Auditberichts. 5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten? 6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen? 7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden? Sofern kein zentrales, einheitliches IT-System eingesetzt wird und die nachfolgend aufgeführten Aufgaben in Ihrem Zuständigkeitsgebiet bearbeitet werden, bitte ich um differenzierte Angaben nach den Bereichen: - I. Verwaltung - II. Gefahrenabwehr - III. Energie- und Wasserversorgung, sowie Abwasserentsorgung - IV. Schule - V. Gesundheitssystem Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen
<< Antragsteller:in >> << Antragsteller:in >> Anfragenr: 296287 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/296287/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Kommunale Datenverarbeitungszentrale (KDVZ) IT-Kooperation Rheinland
am 24. Jan.
Sehr << Antragsteller:in >> auf Ihre über das Portal „fragdenstaat.de“ wird Bezug genommen. Ihrem An…
Details
Von
Kommunale Datenverarbeitungszentrale (KDVZ) IT-Kooperation Rheinland
Betreff
AW: Anfrage Informationsfreiheitsgesetz zur Informationssicherheit [#296287]
Datum
24. Januar 2024 12:56
Status
Anfrage abgeschlossen
Sehr << Antragsteller:in >> auf Ihre über das Portal „fragdenstaat.de“ wird Bezug genommen. Ihrem Antrag wird wie folgt stattgegeben: 2.a.) Wird die IT-Umgebung komplett eigenständig betrieben? Die ITK Rheinland betreibt auf zentralen Servern kommunale Fachanwendungen für ihre Zweckverbandsfamilie und stellt ihren kommunalen Mitgliedern zentrale, leistungsfähige und effiziente Speicher- und Datensicherungslösungen zur Verfügung. Diese Aufgabe wird eigen-ständig betrieben. 3.a.) Wie viele Mitarbeitenden werden in der IT eingesetzt? 295 b.) Gibt es einen oder mehrere Beauftragte(n) für Informationssicherheit oder Chief Information Security Officer (CISO)? Ja. c.) Falls ja, wird diese Funktion in eigener Zuständigkeit wahrgenommen oder ist sie an externe Dienstleister ausgelagert? Die Funktion wird in eigener Zuständigkeit wahrgenommen. 4.a.) Wird ein Informationsmanagement-System (ISMS) eingesetzt? Ja. b.) Falls ja, nach welchem Standard? (IT-Grundschutzprofil Basisabsicherung Kommunen, BSI IT-Grundschutz, ISO 27001, ISIS12/CISI12, oder andere?) DIN EN ISO/IEC 27001. c.) Unterliegt dieses ISMS einer Zertifizierung und durch welche Stelle wird diese vorgenommen? Ja, von der infaz GmbH. Das Zertifikat kann auf der Webseite der ITK Rheinland eingesehen werden. d.) In welchem Abstand werden Audits durchgeführt und wann fand das letzte Audit statt? Eine Zertifizierung erfolgt grundsätzlich nach einem vorgegebenen Schema. Nach erfolgreicher Erstzertifizierung erfolgen in den nächsten beiden Jahren jeweils nach einem Jahr Überwachungsaudits. Nach 3 Jahren erfolgt die Rezertifizierung und dann beginnt erneut der 3-Jahreszyklus. Das letzte Überwachungsaudit fand im Dezember 2023 statt. 5.) Gibt es Unterlagen oder eine Auswertung über IT-Sicherheitsvorfälle und erfolgreich abgewehrte Angriffe auf Ihre IT-Infrastruktur in den letzten 36 Monaten? Ja. 6.) Halten Sie ein eigenes Computer Emergency Response Team (CERT) vor, oder gibt es Beteiligungen an einem solchen? Ja. 7.) Welche Kosten sind in den Jahren 2021 und 2022 jeweils für die IT-Sicherheit aufgewendet worden? In 2022 wurden 4,4 Mio EURO für IT-Sicherheit ausgegeben, Im Übrigen wird der Antrag bezüglich folgender Fragen abgelehnt. 1.a.) Unterlagen, aus welchen Angaben zu den getroffenen Maßnahmen zum Schutz der in Ihrer Zuständigkeit verarbeitenden Informationen hervorgehen. Dies kann insbesondere die Informationssicherheitsrichtlinie, das IT-Sicherheitskonzept oder die IT-Sicherheitsrichtlinie sein. 1.b.) Sollte ein solches oder vergleichbares Dokument nicht vorliegen, bitte ich um Übersendung einer kurze Übersicht über die Maßnahmen, die getroffen werden, um die Ihnen anvertrauten Informationen zu schützen. 4.d.) Ich bitte um Übersendung des letzten Auditberichts Begründung: Gemäß § 4 Abs. 1 IFG NRW (Informationsfreiheitsgesetz NRW) hat jede natürliche Person nach Maßgabe dieses Gesetzes gegenüber den in § 2 genannten Stellen Anspruch auf Zugang zu den bei der Stelle vorhandenen amtlichen Informationen. I. Nach § 3 Abs. 3 Datenschutzgesetz NRW (DSG NRW) unterliegen behördliche Unterlagen über die technischen und organisatorischen Maßnahmen gemäß Artikel 32 Datenschutzgrund-verordnung (DSGVO) nicht dem allgemeinen Informationszugang nach dem IFG NRW. Artikel 32 DSGVO verpflichtet den datenschutzrechtlich Verantwortlichen dazu, die Sicherheit der Datenverarbeitung zu gewährleisten. Insbesondere muss gemäß Art. 32 Abs. 1 lit. b) DSG-VO die Vertraulichkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden. Bei den von Ihnen begehrten Informationen handelt es sich um technische und organisatorische Maßnahmen gemäß Artikel 32 Abs. 1 lit. b) DSGVO. Diese unterliegen, wie oben dargestellt, nicht dem Informationsanspruch nach § 4 Abs. 1 IFG NRW. II. Der Antrag auf Informationszugang ist nach § 6 lit. a IFG NRW auch dann abzulehnen, wenn das Bekanntwerden der Information die Landesverteidigung, die internationalen Beziehungen, die Beziehungen zum Bund oder zu einem Land oder die öffentliche Sicherheit oder Ordnung, insbesondere die Tätigkeit der Polizei, des Verfassungsschutzes, der Staatsanwaltschaften oder der Behörden des Straf- und Maßregelvollzugs einschließlich ihrer Aufsichtsbehörden beeinträchtigen würde. Nach der Rechtsprechung des OVG Münster (OVG Münster, Urteil vom 06.05.2015- 8 A 1943/13) umfasst der Begriff der öffentlichen Sicherheit hierbei auch den Schutz von grundlegenden Einrichtungen und Veranstaltungen des Staates und beschränkt sich nicht auf die im Gesetzestext exemplarisch genannte Stellen wie etwa die Polizei. Nach Auffassung des OVG Münster beinhaltet die die öffentliche Sicherheit auch den Schutz der Funktions-fähigkeit von staatlichen Einrichtungen. Durch den Zugang zu den gewünschten Informationen besteht die Gefahr, dass informationssicherheitskritische Punkte bekannt werden und es dadurch Cyber-Kriminellen gelingt eine nach-haltige Störung bzw. Beeinträchtigung der kommunalen Aufgabenerledigung herbeizuführen. Die IT-Kooperation Rheinland sind für die Daten der Verbandsmitglieder und damit der Bürgerinnen und Bürger verantwortlich und kann die Ablehnung unter diesem Aspekt als ein hohes Sicherheitsrisiko begründen. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.