Praktische Erfahrungen aus der ISO 27001-Zertifizierung
der EU-Zahlstelle Mecklenburg-Vorpommern
Schwerin, 20.09.2016Version: 1.0
Stand: 19.09.2016
Agenda
2
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
II. Anforderungen an die Informationssicherheit
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Agenda
3
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
II. Anforderungen an die Informationssicherheit
III. Erfahrungswerte aus dem Zertifizierungsverfahren
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
1) Rechtliche Grundlage und Definition
Artikel 7 der VO (EU) Nr. 1306/2013
„Zahlstellen sind Dienststellen oder Einrichtungen der Mitgliedstaaten, die für die Verwaltung
und Kontrolle der Ausgaben des EGFL und des ELER zuständig sind.“
2) Europäische Agrarfonds
Artikel 3 der VO (EU) Nr. 1306/2013
EGFL (Europäischer Garantiefonds für die Landwirtschaft)
ELER (Europäischer Landwirtschaftsfonds für die Entwicklung des ländlichen Raumes)
Deutschlandweit: ca. 6,35 Mrd. EURO jährlich für Agrarförderung von 2014 – 2020
ELER-Mittel für Mecklenburg-Vorpommern 2014 bis 2020: 936,7 Millionen EURO
Kofinanzierung aus Bundes-, Landes- und kommunalen Mitteln: 262,6 Millionen EURO
4
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
3) Aufgaben der EU-Zahlstelle M-V
Verwaltung und Kontrolle der Ausgaben des EGFL und des ELER
Hauptfunktionen:
• Bewilligung und Kontrolle der Zahlungen
• Auszahlung
• Verbuchung und Erklärung der Zahlungen
5
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
4) Organisatorischer Aufbau
6
Ministerium für Landwirtschaft, Umwelt und Verbraucherschutz M-V
Referat Zahlstellen-
koordinierungKoordinierung der
Zahlstellenaufgaben im
Rahmen ELER und EGFL
Interner
RevisionsdienstPrüfung des Verwaltungs-
und Kontrollsystem
Zuständige BehördeZulassung der Zahlstelle
ELER-
Fondsverwaltung
Programmplanung
und -koordinierung,
Monitoring,
Evaluierung,
Berichtswesen als
Verwaltungsbehörde
Leiter der Zahlstelle
Staatssekretär Ministerium für Wirtschaft,
Arbeit und Tourismus
Ministerium für Inneres und
Sport
Ministerium für Energie,
Infrastruktur und
Landesentwicklung
Finanzministerium
Fachreferate - Fachaufsichtim LU 260, 300, 330, 340, 350, 360, 370, 400; im WM 530; im IM 460; im EM 310; im FM 420
Bewilligungsbehörden – Bewilligung und Kontrolle der ZahlungenStÄLU, AfBR, LUNG, LALLF, LFoA, Landkreise, FM, LFI
Haushalts-
referatAusführung der
Zahlungen,
Verbuchung der
Zahlungen
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
Artikel 7 der VO (EU) Nr. 1306/2013
„Zahlstellen sind Dienststellen oder Einrichtungen der Mitgliedstaaten, die für die Verwaltung
und Kontrolle der Ausgaben des EGFL und des ELER zuständig sind.“
7
Agenda
8
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
II. Anforderungen an die Informationssicherheit
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Agenda
9
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
II. Anforderungen an die Informationssicherheit
III. Erfahrungswerte aus dem Zertifizierungsverfahren
II. Anforderungen an die Informationssicherheit
1) Allgemeine Anforderungen an die Informationssicherheit in M-V
Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von
Mecklenburg-Vorpommern (IS-Leitlinie M-V) vom 12.05.2014:
„Behörden, die an das CN LAVINE angeschlossen sind, müssen über ein
Sicherheitskonzept, das auf den IT-Grundschutzkatalogen des BSI beruht, verfügen.“
§ 22 Abs. 5 Datenschutzgesetz Mecklenburg-Vorpommern (DSG M-V):
„In einem Sicherheitskonzept ist für jedes automatisierte Verfahren festzulegen, in welcher
Form die Anforderungen des § 21 und der Absätze 1 bis 4 umzusetzen sind.“
VV zu §§ 70-80 Landeshaushaltsordnung Mecklenburg-Vorpommern (LHO M-V):
„Es ist eine auf Zahlungen, Buchführung und Rechnungslegung bezogene
Verfahrensdokumentation einschließlich einer Gefährdungsanalyse und eines
Ordnungsmäßigkeitskonzeptes […] zu erstellen. […] Die Regelungen im IT-Grundschutz
[…] gelten unmittelbar.“
10
II. Anforderungen an die Informationssicherheit
2) Zahlstellenspezifische Anforderungen
Anhang I der delegierten Verordnung (EU) Nr. 907/2014 vom 11.03.2014:
„B. Sicherheit der Informationssysteme
i) Unbeschadet der Ziffer ii stützt sich die Sicherheit der Informationssysteme auf die Kriterien in einer in
dem betreffenden Haushaltsjahr gültigen Fassung eines der folgenden internationalen Standards:
- International Standards Organisation 27002: Code of practice for Information Security controls (ISO),
- Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch/IT Baseline Protection Manual (BSI),
- Information Systems Audit and Control Foundation: Control objectives for Information and related Technology (COBIT).
ii) Ab 16. Oktober 2016 erfolgt die Zertifizierung der Sicherheit der Informationssysteme nach der ISO-Norm
27001: Informationssicherheits-Managementsysteme - Anforderungen.
Die Kommission kann die Mitgliedstaaten ermächtigen, die Sicherheit ihrer Informationssysteme nach
anderen anerkannten Normen zu zertifizieren, sofern diese Normen ein Schutzniveau gewährleisten, das
zumindest dem der ISO-Norm 27001 gleichwertig ist.“
11
II. Anforderungen an die Informationssicherheit
2) Zahlstellenspezifische Anforderungen
Anhang I der delegierten Verordnung (EU) Nr. 907/2014 vom 11.03.2014:
„B. Sicherheit der Informationssysteme
i) Unbeschadet der Ziffer ii stützt sich die Sicherheit der Informationssysteme auf die Kriterien in einer in
dem betreffenden Haushaltsjahr gültigen Fassung eines der folgenden internationalen Standards:
- International Standards Organisation 27002: Code of practice for Information Security controls (ISO),
- Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch/IT Baseline Protection Manual (BSI),
- Information Systems Audit and Control Foundation: Control objectives for Information and related Technology (COBIT).
ii) Ab 16. Oktober 2016 erfolgt die Zertifizierung der Sicherheit der Informationssysteme nach der ISO-Norm
27001: Informationssicherheits-Managementsysteme - Anforderungen.
Die Kommission kann die Mitgliedstaaten ermächtigen, die Sicherheit ihrer Informationssysteme nach
anderen anerkannten Normen zu zertifizieren, sofern diese Normen ein Schutzniveau gewährleisten, das
zumindest dem der ISO-Norm 27001 gleichwertig ist.“
Zertifizierung nach ISO-27001 auf der Basis von IT-Grundschutz
12
Agenda
13
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
II. Anforderungen an die Informationssicherheit
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Agenda
14
I. Die EU-Zahlstelle Mecklenburg-Vorpommern
II. Anforderungen an die Informationssicherheit
III. Erfahrungswerte aus dem Zertifizierungsverfahren
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Nr. 1
„An der Seite eines fordernden Partners lernst Du Dich kennen.“
- Heinz Körber
15
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Nr. 2
„Nur der Mensch ist der Dokumentation fähig.“
- Friedrich Löchner
16
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Nr. 3
„Offene Türen lassen mehr zu.“
- Siegfried Santura
17
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Nr. 4
„Erfolg ist kein Zustand, den wir einmal erreichen und der uns
dann erhalten bleibt, sondern ein Prozess, an dem wir
fortgesetzt arbeiten müssen, damit er anhält.“
- Prof. Querulix
18
III. Erfahrungswerte aus dem Zertifizierungsverfahren
19
III. Erfahrungswerte aus dem Zertifizierungsverfahren
20
Veröffentlicht unter:
https://www.bsi.bund.de
III. Erfahrungswerte aus dem Zertifizierungsverfahren
21
Veröffentlicht unter:
https://www.bsi.bund.de
III. Erfahrungswerte aus dem Zertifizierungsverfahren
Nr. 4
„Erfolg ist kein Zustand, den wir einmal erreichen und der uns
dann erhalten bleibt, sondern ein Prozess, an dem wir
fortgesetzt arbeiten müssen, damit er anhält.“
- Prof. Querulix
22
23
Ministerium für Landwirtschaft,
Umwelt und Verbraucherschutz
Mecklenburg-Vorpommern
Robert Krelle
IT-Sicherheitsbeauftragter
Telefon: 0385/588-6161
E-Mail: [email protected]