Informatikverordnung
Informatikverordnung (ITV) Vom 13. November 2018 (Stand 19. Dezember 2020) Der Regierungsrat des Kantons Zug, gestützt auf § 47 Abs. 1 Bst. c und d der Kantonsverfassung 1 ) und § 2 Abs. 1 und 3 des Gesetzes über die Organisation der Staatsverwaltung (Organisati - onsgesetz, OG) vom 29. Oktober 1998 2 ) , beschliesst: 1. Allgemeine Bestimmungen
§ 1 Gegenstand
1 Diese Verordnung regelt die Organisation, die Steuerung, den Betrieb und die Kontrolle der Informatik.
§ 2 Begriffe
1
a) Informatik (IT) ist der Oberbegriff für Informations- und Kommunika - tionstechnologie.
b) IT-Vorhaben sind zur Initialisierung beantragte IT-Projekte. Mit der Freigabe der Projektinitialisierungsaufträge durch die Auftraggeberin bzw. den Auftraggeber werden sie zu IT-Projekten.
c) IT-Programme umfassen mehrere IT-Projekte, die ein gemeinsames Ziel verfolgen. Das IT-Programm sichert die projektübergreifende Steuerung und Führung der IT-Projekte.
d) IT-Mittel umfassen die IT-Infrastruktur sowie die Fach- und Quer - schnittsanwendungen. Die Basisanwendungen gehören zur IT-Infra - struktur. 1) BGS 111.1 2) BGS 153.1
e) IT-Infrastruktur umfasst sämtliche IT-Mittel, ausser Fach- und Quer - schnittsanwendungen.
f) Basisanwendungen sind für den Betrieb der IT-Infrastruktur unerläss - lich.
g) Fachanwendungen unterstützen oder ermöglichen Geschäftsprozesse. Sie werden in der Regel nur von einer Behörde eingesetzt.
h) Querschnittsanwendungen unterstützen Geschäftsprozesse sowie die Büroautomation. Sie werden von allen oder mehreren Behörden ein - gesetzt und wie folgt unterteilt: 1. Standardanwendungen sind handelsübliche IT-Anwendungen, die keine oder nur geringfügige Konfigurationen oder ergänzen - de Komponenten benötigen. 2. Kantonsanwendungen sind alle übrigen Querschnittsanwendun - gen.
i) IT-Sicherheit umfasst Massnahmen zum Schutz der Integrität und Ver - fügbarkeit der IT-Mittel sowie zum Schutz der Vertraulichkeit, Integri - tät, Verfügbarkeit und Nachvollziehbarkeit der Daten, die mit diesen Mitteln bearbeitet werden.
j) Justiz wird als Sammelbegriff für das Obergericht (inklusive Kantons - gericht, Strafgericht, Staatsanwaltschaft) und das Verwaltungsgericht (inklusive Schätzungskommission) verwendet.
k) Als Behörden im Sinne dieser Verordnung gelten: 1. die Direktionen und die ihnen unterstellten Ämter, Abteilungen und Stellen; 2. die Staatskanzlei und die ihr unterstellten Ämter und Abteilun - gen; 3. das Obergericht und das Verwaltungsgericht und die ihnen unter - stellten Stellen; 4. die Datenschutzstelle und 5. die Ombudsstelle.
l) Die kantonalen Schulen umfassen folgende Einrichtungen: Gewerb - lich-industrielles Bildungszentrum Zug (GIBZ), Kaufmännisches Bil - dungszentrum Zug (KBZ), Landwirtschaftliches Bildungs- und Bera - tungszentrum (LBBZ) sowie deren weiterführende Schulen, ferner Schulisches Brückenangebot (S-B-A), Kombiniertes Brückenangebot (K-B-A), Integrations-Brücken-Angebot (I-B-A), Kantonsschule Zug (KSZ), Kantonsschule Menzingen (KSM), Wirtschaftsmittelschule (WMS) und Fachmittelschule (FMS).
§ 3 Geltungsbereich
1 Diese Verordnung gilt für die kantonale Verwaltung einschliesslich des Verwaltungsbereichs der kantonalen Schulen, die Justiz sowie die Daten - schutzstelle und die Ombudsstelle. Die Unabhängigkeit der Justiz, der Da - tenschutzstelle und der Ombudsstelle ist in geeigneter Weise zu berücksich - tigen.
2 Für die selbständigen öffentlich-rechtlichen Anstalten gilt sie insoweit, als diese die IT-Mittel des Kantons nutzen. Den öffentlich-rechtlichen Anstal - ten kommen diesfalls die gleichen Rechte und Pflichten wie einer Direktion zu.
3 Sie gilt nicht für die von der Lehrer- und Schülerschaft der kantonalen Schulen genutzten schulischen IT-Mittel sowie für Anlagen der Gebäude - technik und Anlagen, die ausschliesslich zur Steuerung technischer Prozesse eingesetzt werden. 2. Grundsätze der IT
§ 4 Leistungsfähigkeit und Wirtschaftlichkeit
1 Die IT unterstützt die Behörden bei der Erfüllung ihrer gesetzlichen Auf - gaben. Sie wird auf deren Bedürfnisse ausgerichtet und so konzipiert und eingesetzt, dass sie die Geschäftsprozesse bestmöglich unterstützt.
2 Die Kosten werden unter Berücksichtigung von Sicherheit, Wirksamkeit, Qualität, Leistungsfähigkeit und Nachhaltigkeit optimiert.
§ 5 Standardisierung
1 IT-Anwendungen müssen die Vorgaben betreffend IT-Architektur, -Stan - dards (§ 12) und -Sicherheit (§ 18) erfüllen. Abgesehen von der Anpassung oder Erweiterung von Standardlösungen werden grundsätzlich keine Indivi - duallösungen entwickelt.
2 Vor der Entwicklung von Individuallösungen hat eine Marktanalyse zu er - folgen. Sollten keine Standardlösungen verfügbar sein, ist die Entwicklung auf eindeutige fachspezifische Anforderungen zu beschränken. Die Ent - wicklung bedarf einer entsprechenden Ausnahmebewilligung.
§ 6 Zentrale Leistungserbringung
1 Die Leistungserbringung erfolgt so zentral wie möglich. Eine dezentrale Leistungserbringung erfolgt nur dort, wo dies notwendig ist.
2 Behörden, die aufgrund übergeordneten Rechts, interkantonaler Vereinba - rungen oder ihres Leistungsauftrags auf eine spezialisierte IT-Infrastruktur angewiesen sind, können die für den Betrieb ihrer Fachanwendungen not - wendige IT-Infrastruktur in Ausnahmefällen selber bestimmen und betrei - ben, wenn sie die Vorgaben betreffend IT-Architektur, -Standards und -Sicherheit einhalten und die Planung und Beschaffung sowie die Regelung des Betriebs in Vereinbarung mit der zentralen IT erfolgt. 3. Organisation
§ 7 Zentrale IT
1 Das Amt für Informatik und Organisation (AIO; § 25) ist die zentrale Leis - tungserbringerin von IT-Dienstleistungen für die kantonale Verwaltung, die Justiz, die Datenschutzstelle und die Ombudsstelle.
§ 8 Dezentrale IT
1 Die Direktionen, die Staatskanzlei, das Obergericht, das Verwaltungsge - richt sowie die Datenschutzstelle und die Ombudsstelle (§ 26) sind verant - wortlich für die Unterstützung ihrer Geschäftsprozesse durch IT-Anwendun - gen sowie die Ausgestaltung und den Einsatz ihrer Fachanwendungen.
§ 9 IT-Steuerung
1 Der Regierungsrat, das Obergericht, das Verwaltungsgericht, die Finanzdi - rektion und das Informatikboard (§§ 23ff.) sind verantwortlich für die Pla - nung, Steuerung und Kontrolle der übergreifenden Aspekte der IT. 4. Instrumente zur Planung, Steuerung und Kontrolle der IT
§ 10 IT-Strategie
1 Die IT-Strategie legt die strategischen IT-Ziele und die zur Erreichung die - ser Ziele erforderlichen Massnahmen jeweils für mindestens vier Jahre fest.
2 Sie ist mit der Strategie und den Legislaturzielen des Regierungsrats und den Zielen der Justiz abgestimmt und berücksichtigt Änderungen der ge - setzlichen Aufgaben, die technologische Entwicklung sowie die Anforde - rungen der Behörden.
§ 11 IT-Gesamtplanung
1 Mit der IT-Gesamtplanung werden in regelmässigen Abständen der aktuel - le Einsatz der IT im Hinblick auf die Geschäftsanforderungen überprüft, der künftige Einsatz geplant und die benötigten finanziellen und personellen Ressourcen ermittelt.
2 Die IT-Gesamtplanung leitet sich dem Massnahmenkatalog gemäss IT- Strategie, dem IT-Projektportfolio (§ 14), dem Budget und Finanzplan und weiteren Planungsinstrumenten ab.
§ 12 IT-Architektur und IT-Standards
*
1 Die IT-Architektur bestimmt die Komponenten der IT und deren Zusam - menwirken zur Unterstützung der Geschäftsprozesse. Zur Visualisierung der IT-Architektur besteht ein Architekturmodell.
2 Die IT-Standards orientieren sich an anerkannten nationalen und interna - tionalen Standards. Sie legen fest, welche IT-Funktionen, -Schnittstellen und -Produkte in gleicher Art und Weise auszugestalten bzw. zu verwenden sind.
§ 13 IT-Vorhaben und -Projekte
1 IT-Vorhaben und -Projekte werden gemäss der von der zentralen IT vorge - gebenen Projektführungsmethodik und den Vorgaben des Kompetenzzen - trums Projektmanagement geführt.
2 Die zentrale IT ist in der Phase der Projektinitialisierung einzubeziehen. Über IT-Vorhaben, bei welchen Personendaten bearbeitet werden, ist gleich - zeitig die Datenschutzstelle zu informieren.
3 Die Projektleitung hat bei allen IT-Vorhaben und -Projekten, die im IT- Projektportfolio (§ 14) aufgeführt sind, durch eine zertifizierte Projektlei - tung zu erfolgen. Ausnahmen bedürfen einer Ausnahmebewilligung.
§ 14 IT-Projektportfolio
1 Das IT-Projektportfolio enthält alle IT-Vorhaben und -Projekte, deren Ge - samtkosten mindestens 50 000 Franken betragen, und dient als Grundlage für die Budgetierung.
2 Vor der Aufnahme ins IT-Projektportfolio werden die einzelnen IT-Vorha - ben anhand eines vorgegebenen Rasters bewertet. Anlässlich des Entscheids über die Aufnahme ins IT-Projektportfolio wird die Bewertung überprüft und wo nötig angepasst. Im Budgetprozess werden die im IT-Projektportfo - lio aufgeführten IT-Vorhaben und -Projekte entsprechend ihrer Bewertung und nach Massgabe der zur Verfügung stehenden Mittel priorisiert.
3 Bei IT-Vorhaben und -Projekten des Obergerichts, des Verwaltungsge - richts, der Datenschutzstelle und der Ombudsstelle erfolgen die Änderung der Bewertung und die Priorisierung in Absprache mit der betroffenen Be - hörde.
§ 15 Projektreporting und Projektcontrolling
1 Das Projektreporting wird monatlich von der Projektleitung mittels Projektstatusbericht zu Handen der Auftraggeberin bzw. des Auftraggebers und der zentralen IT sichergestellt.
2 Das Projektcontrolling erfolgt auf Basis der Projektreportings. Bei rele - vanten Abweichungen in den Bereichen Termine, Kosten, Ressourcen, Risi - ken oder Ergebnisse kann der Projektcontrollingbericht mit Empfehlungen zu Handen der Auftraggeberin bzw. des Auftraggebers verbunden werden.
3 Spätestens zwei Jahre nach Projektabschluss erstellt die Projektleitung eine Projektschlussbeurteilung inklusive Projektabrechnung zu Handen der zentralen und der für das IT-Projekt verantwortlichen dezentralen IT. Bei Projekten der kantonalen Verwaltung mit einem Investitionsvolumen von mehr als 500 000 Franken ist die Projektschlussbeurteilung zusammen mit dem Revisionsbericht der kantonalen Finanzkontrolle zusätzlich dem Regie - rungsrat zur Kenntnisnahme zuzustellen.
§ 16 IT-Projektportfoliocontrolling
1 Das IT-Projektportfoliocontrolling wird unterjährig auf Basis der Projektreportings durchgeführt.
2 Der Controllingbericht zum IT-Projektportfolio gibt Auskunft über den Status der im IT-Projektportfolio aufgeführten Projekte. Er enthält eine Kostenprognose für die laufende Budgetperiode und eine Kostenprognose per Fertigstellung der Projekte.
§ 17 Anwendungsportfolio und -controlling
1 Über sämtliche IT-Anwendungen wird ein Anwendungsportfolio geführt. Es enthält die relevanten technischen und betrieblichen Angaben zu den IT- Anwendungen inklusive Verantwortlichkeiten und weist die Kosten für die Pflege und den Support aus.
2 Es dient dem Life Cycle- und Release-Management, der Kostenkontrolle, dem Erkennen von Synergien und der Reduktion der Anzahl IT-Anwendun - gen im Anwendungsportfolio.
3 Das Anwendungsportfolio wird periodisch einem Controlling unterzogen. Der Controllingbericht kann mit Empfehlungen zu Handen der für die IT- Anwendung verantwortlichen zentralen bzw. dezentralen IT verbunden wer - den.
§ 18 IT-Sicherheit
1 Der Schutz der IT-Mittel richtet sich nach anerkannten Standards, der Schutz der damit bearbeiteten Personendaten nach dem Datenschutzge - setz 1 ) und der Verordnung über die Informationssicherheit von Personenda - ten 2 ) . *
2 Die IT-Mittel sind einer regelmässigen Überprüfung zu unterziehen.
3 Audit- und Controllingberichte zur IT-Sicherheit können mit verbindlichen Auflagen zu Handen der verantwortlichen zentralen bzw. dezentralen IT verbunden werden.
§ 19 IT-Risikomanagement
1 Basis des IT-Risikomanagements bilden die Risikolisten der zentralen und dezentralen IT. Diese führen die ermittelten IT-Risiken, deren Bewertung und die zugehörigen Massnahmen zur Risikobewältigung auf.
2 Der Risikocontrollingbericht beurteilt die relevanten Risiken der zentralen und dezentralen IT, schlägt Massnahmen zu deren Bewältigung vor und zeigt die Veränderungen gegenüber der Vorperiode auf.
§ 20 Business Continuity Management
1 Das Business Continuity Management umfasst Richtlinien (Policy), Busi - ness Continuity Planning und Krisenmanagement. Das Business Continuity Management erfolgt nach anerkannten Standards. 1) BGS [157.1]] 2) BGS [157.12]]
§ 21 IT-Servicemanagement
1 Das IT-Servicemanagement mit Kundenbetreuung, Betrieb der IT-Infra - struktur, Betrieb der IT-Anwendungen und Service Desk erfolgt nach aner - kannten Standards.
2 Der IT-Servicekatalog richtet sich nach den Anforderungen der dezentralen IT und enthält Informationen zu den verfügbaren IT-Services.
3 IT-Services werden intern in der Kosten- und Leistungsrechnung weiter - verrechnet, sofern sie mit einem vertretbaren Aufwand verursachergerecht zugeordnet werden können.
§ 22 Inventar, Vertrags- und Lizenzmanagement
1 Verträge sind entsprechend den Vorlagen und unter Berücksichtigung der allgemeinen Geschäftsbedingungen der Schweizerischen Informatikkonfe - renz auszugestalten.
2 Die IT-Verträge, die IT-Mittel und die Lizenzen werden inventarisiert und bewirtschaftet. 5. Zuständigkeiten
§ 23 Regierungsrat
1 Der Regierungsrat hat folgende Aufgaben und Kompetenzen:
a) Erlass der IT-Strategie;
b) Genehmigung der IT-Governance;
c) Beschlussfassung über das IT-Projektportfolio.
§ 24 Finanzdirektion
1 Die Finanzdirektion ist verantwortlich für sämtliche Belange der kantona - len IT, soweit die Aufgaben nicht durch Gesetz oder Verordnung einer ande - ren Stelle übertragen sind.
2 Sie hat folgende Aufgaben und Kompetenzen:
a) Führung der IT und Genehmigung der IT-Gesamtplanung;
b) Verabschiedung der IT-Strategie, des IT-Projektportfolios sowie des Budgets und Finanzplans der kantonalen Verwaltung zu Handen des Regierungsrats;
c) Erlass von Weisungen zur IT. Soweit Weisungen zur IT die Justiz, die Datenschutzstelle oder die Ombudsstelle betreffen, erfolgt deren Erar - beitung und Erlass in Absprache mit dem Obergericht, dem Verwal - tungsgericht, der Datenschutzstelle und der Ombudsstelle.
d) Genehmigung von IT-Programmaufträgen und Steuerung übergreifen - der IT-Programme;
e) Genehmigung der IT-Architektur, des IT-Architekturmodells und der IT-Standards;
f) Kommunikationshoheit im gesamten IT-Bereich der kantonalen Ver - waltung;
§ 25 AIO
1 Das AIO ist verantwortlich für die zentrale IT. Diese Verantwortung um - fasst:
a) die Ausgestaltung und den Einsatz der IT-Infrastruktur unter Berück - sichtigung zeitgemässer Arbeitsformen;
b) die Prozess- und Anwendungsverantwortung für die Basis-, Standard- und AIO-eigenen Fachanwendungen sowie die zugewiesenen Kantonsanwendungen;
c) die technische Verantwortung für alle IT-Anwendungen;
d) die Planung und Umsetzung der Datenlogistik;
e) die Ausgestaltung des Kompetenzzentrums Projektmanagement und des Kompetenzzentrums IT-Beschaffungen.
2 Das AIO hat folgende Aufgaben und Kompetenzen:
a) Erarbeitung, Umsetzung und Überprüfung der IT-Strategie;
b) Erstellung der IT-Gesamtplanung;
c) Erstellung des Budgets und Finanzplans für IT-Vorhaben und IT- Projekte;
d) Erstellung des Budgets und Finanzplans für den Betrieb und die War - tung der IT-Infrastruktur sowie den Betrieb und die Pflege der Basis-, Querschnitts- und eigenen Fachanwendungen;
e) Erarbeitung einer Liste der geschäftskritischen IT-Anwendungen zu Handen des Informatikboards;
f) Sicherstellung des Business Continuity Managements für die IT-Infra - struktur, die Basis-, Standard- und eigenen Fachanwendungen sowie die Datenlogistik;
g) Ausgestaltung der Rollen für die Bereiche IT-Controlling, -Architek - tur und -Sicherheit;
h) Regelmässige Überprüfung und Sicherstellung der IT-Sicherheit für die IT-Infrastruktur, Basis- und Querschnittsanwendungen, eigene Fachanwendungen und zugewiesene Kantonsanwendungen;
i) Überprüfung der IT-Sicherheit inklusive Beantragung von Audits;
j) Umsetzung der IT-Architektur, der IT-Standards und der IT-Sicherheit sowie Prüfung deren Einhaltung in IT-Projekten und IT-Anwendun - gen;
k) Erfassung und Bewertung von IT-Risiken sowie Definition und Um - setzung von Massnahmen zur Risikobewältigung;
l) Führung und Bewirtschaftung des IT-Projektportfolios und des An - wendungsportfolios;
m) Überprüfung der Bewertung von IT-Vorhaben, welche ins IT-Projekt - portfolio aufgenommen werden sollen;
n) Priorisierung von IT-Vorhaben und IT-Projekten im IT-Projektportfo - lio;
o) Planung und Durchführung von IT-Vorhaben und IT-Projekten im Be - reich IT-Infrastruktur, Basisanwendungen, eigene Fachanwendungen, Standardanwendungen und zugewiesene Kantonsanwendungen inklu - sive Submissions- und Vertragswesen;
p) Stellung mindestens einer IT-Teilprojektleitung bei allen IT-Projekten, die im IT-Projektportfolio aufgeführt sind;
q) Erarbeitung von Controllingberichten zum Anwendungsportfolio zu - sammen mit den Informatikbeauftragten sowie von Controllingberich - ten zum IT-Projektportfolio;
r) Erarbeitung des Controllingberichts zu den IT-Risiken;
s) Unterstützen der dezentralen IT bei der Beschaffung von Fachanwen - dungen und zugewiesenen Kantonsanwendungen;
t) Führung einer Kontrolle über die erfolgten Projektschlussbeurteilun - gen und Projektabrechnungen;
u) Erlass von Vorgaben zum Projektreporting und Erarbeitung von Projektcontrollingberichten;
v) Erarbeitung des IT-Servicekatalogs und Verrechnung erbrachter IT- Leistungen;
w) Betrieb des IT-Servicemanagements mit Kundenbetreuung, IT-Infra - struktur, IT-Anwendungen und zentralem Service Desk;
x) Inventarisierung der IT-Verträge, IT-Mittel und Lizenzen;
y) Erstellung und Pflege einer zentralen Datenbank für das Vertrags- und Lieferantenmanagement und Unterstützung der dezentralen IT bei der Bewirtschaftung der Verträge;
z) Entscheid über Ausnahmebewilligungen gemäss den §§ 5 Abs. 2 und 13 Abs. 3.
§ 26 Direktionen, Staatskanzlei, Obergericht, Verwaltungsgericht,
Datenschutzstelle und Ombudsstelle
1 Die Direktionen, die Staatskanzlei, das Obergericht, das Verwaltungsge - richt, die Datenschutzstelle und die Ombudsstelle sind verantwortlich für die dezentrale IT. Diese Verantwortung umfasst:
a) die Erstellung von Budget und Finanzplan für die Wartung der eigenen IT-Infrastruktur sowie den Betrieb und die Pflege der eigenen Fachan - wendungen;
b) die Planung und Durchführung von IT-Vorhaben und -Projekten für eigene Fachanwendungen, zugewiesene Kantonsanwendungen inklu - sive Submissions- und Vertragswesen;
c) die Prozess- und Anwendungsverantwortung für eigene Fachanwen - dungen und zugewiesene Kantonsanwendungen;
d) das IT-Risikomanagement in ihrem Zuständigkeitsbereich;
e) die regelmässige Überprüfung und Sicherstellung der IT-Sicherheit für eigene Fachanwendungen und zugewiesene Kantonsanwendungen.
§ 27 Informatikboard
1 Das Informatikboard setzt sich zusammen aus:
a) der Amtsleitung des AIO (Vorsitz) und
b) den Informatikbeauftragten der Direktionen, der Staatskanzlei sowie des Obergerichts und des Verwaltungsgerichts.
2 Es hat folgende Aufgaben und Kompetenzen:
a) Verabschiedung der IT-Strategie, des Budgets und Finanzplans sowie des IT-Projektportfolios zu Handen der Finanzdirektion;
b) Festlegung des Rasters zur Bewertung von IT-Vorhaben;
c) Entscheid über die Aufnahme von IT-Vorhaben ins IT-Projektportfolio und deren Bewertung;
d) Entscheid über die Priorisierung der im IT-Projektportfolio aufgeführ - ten IT-Vorhaben und -Projekte;
e) Initialisierung übergreifender IT-Projekte;
f) Delegation einer Vertretung in den Projektausschuss übergreifender IT-Projekte;
g) Verabschiedung der Liste der geschäftskritischen IT-Anwendungen;
h) Verabschiedung der IT-Architektur, des IT-Architekturmodells und der IT-Standards zu Handen der Finanzdirektion;
i) Genehmigung von Controllingberichten zum IT-Projekt- und Anwen - dungsportfolio, zur IT-Sicherheit und zu den IT-Risiken;
j) Genehmigung von IT-Sicherheitsstandards;
k) Aufnahme einer IT-Anwendung in den Katalog der Kantonsanwen - dungen und Zuweisung der Prozess- und Anwendungsverantwortung.
3 Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.
§ 28 Architekturboard
1 Das Architekturboard setzt sich zusammen aus:
a) der IT-Architektin bzw. dem IT-Architekten des AIO (Vorsitz),
b) den Abteilungsleitungen Projekte, Operation sowie Services des AIO,
c) einer Vertretung der GIS-Kommission,
d) der beauftragten Person für E-Government,
e) einer Vertretung des Staatsarchivs,
f) einer Vertretung des Dienstes Informatik, Communication und Tech - nik der Zuger Polizei,
g) einer IT-Vertretung der kantonalen Schulen,
h) einer IT-Vertretung der Einwohnergemeinden und
i) einer externen Spezialistin bzw. einem externen Spezialisten (beraten - de Stimme).
2 Es hat folgende Aufgaben und Kompetenzen:
a) Erarbeitung der IT-Architektur, des IT-Architekturmodells und der IT- Standards;
b) Initialisierung von Architekturprojekten.
3 Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.
§ 29 Security Board
1 Das Security Board setzt sich zusammen aus:
a) der bzw. dem Sicherheitsbeauftragten des AIO (Vorsitz),
b) der Leitung Operation des AIO,
c) einer Vertretung des Dienstes Informatik, Communication und Tech - nik der Zuger Polizei,
d) der bzw. dem Datenschutzbeauftragten,
e) einer Vertretung der kantonalen Schulen und
f) einer Vertretung der Einwohnergemeinden.
2 Es hat folgende Aufgaben und Kompetenzen:
a) * Erarbeitung von Weisungen zur Gewährleistung der Informationssi - cherheit sowie von Standards zur IT-Sicherheit;
b) Initialisierung von Audits, Erarbeitung von Controllingberichten und Erteilung verbindlicher Auflagen zur IT-Sicherheit;
c) Initialisierung von Sicherheitsprojekten;
d) Festlegung von Massnahmen zur Abwehr von Cyber Angriffen;
e) Durchführung von Schulungen zur IT-Sicherheit.
3 Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.
§ 30 Project Board
1 Das Project Board setzt sich zusammen aus:
a) der Leitung Projektmanagement des AIO (Vorsitz),
b) der Leitung Operation des AIO,
c) Projektleitenden von im IT-Projektportfolio aufgeführten IT-Projekten und
d) der IT-Projektcontrollerin bzw. dem IT-Projektcontroller des AIO (be - ratende Stimme).
2 Es hat folgende Aufgaben und Kompetenzen:
a) Sammlung und Bewertung von Ideen für IT-Vorhaben und -Projekte im IT-Projektportfolio;
b) Einforderung von Unterlagen zur Erkennung und Überwachung von Abhängigkeiten und/oder Synergien zwischen Projekten;
c) Vornahme einer Gesamtrisikobeurteilung der laufenden Projekte und Abgabe von Empfehlungen zu Handen der Projektleitenden;
d) Weiterentwicklung der Methoden und Hilfsmittel im Projektmanage - ment und Verabschiedung entsprechender Standards zu Handen des Kompetenzzentrums Projektmanagement.
3 Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.
§ 31 Change Advisory Board
1 Das Change Advisory Board setzt sich zusammen aus:
a) der Change Managerin bzw. dem Change Manager des AIO (Vorsitz),
b) mindestens einer Abteilungsleitung des AIO,
c) der bzw. dem Sicherheitsbeauftragten des AIO und
d) den jeweiligen Change Ownern.
2 Es hat folgende Aufgaben und Kompetenzen:
a) Planung und Koordination von Anpassungen an IT-Mitteln;
b) Genehmigung, Rückweisung und Verschiebung von Changes.
3 Es fasst seine Beschlüsse mit einfachem Mehr der anwesenden Mitglieder. Bei Stimmengleichheit entscheidet die bzw. der Vorsitzende.
§ 32 Informatikbeauftragte
1 Die Informatikbeauftragten der Direktionen, der Staatskanzlei, des Ober - gerichts und des Verwaltungsgerichts haben folgende Aufgaben und Kom - petenzen:
a) Umsetzung der IT-Strategie, der IT-Architektur und der IT-Standards;
b) Koordination von Budget und Finanzplan für IT-Vorhaben und -Projekte zu Handen der zentralen IT;
c) Koordination von Budget und Finanzplan für die Wartung der dezen - tralen IT-Infrastruktur sowie den Betrieb und die Pflege der dezentra - len Fachanwendungen zu Handen der dezentralen IT;
d) Koordination und Unterstützung der Planung und Durchführung von IT-Vorhaben und -Projekten für Fachanwendungen und zugewiesene Kantonsanwendungen;
e) Meldung von IT-Vorhaben, welche ins IT-Projektportfolio aufgenom - men werden sollen inklusive Bewertungsvorschlag;
f) Erarbeitung von Controllingberichten zum Anwendungsportfolio zu - sammen mit der zentralen IT;
g) Erfassung und Bewertung von IT-Risiken sowie Definition und Um - setzung von Massnahmen zur Risikobewältigung;
h) Mitwirkung im Informatikboard.
§ 33 Prozessverantwortliche
1 Die Prozessverantwortlichen haben folgende Aufgaben und Kompetenzen:
a) Sicherstellung der optimalen Unterstützung der Geschäftsprozesse durch Fach- und Kantonsanwendungen;
b) Sicherstellung der Business Continuity Planung für Fach- und Kantonsanwendungen;
c) Initiierung von und Mitarbeit bei Anpassungen an Fach- und Kantons - anwendungen;
d) Festlegung von Verfügbarkeitsanforderungen und von notwendigen technischen und organisatorischen Massnahmen zur Gewährleistung der IT-Sicherheit.
§ 34 Anwendungsverantwortliche
1 Die Anwendungsverantwortlichen haben folgende Aufgaben und Kompe - tenzen:
a) Sicherstellung der Betreuung und Pflege für Fach- und Kantonsan - wendungen;
b) Überwachung des Betriebs und der Pflege von Fach- und Kantonsan - wendungen;
c) Sicherstellung der optimalen Unterstützung der Geschäftsprozesse durch IT-Anwendungen;
d) Sicherstellung der Weiterentwicklung von IT-Anwendungen;
e) Mitwirkung bei der Planung und Durchführung von IT-Vorhaben und -Projekten in leitender Funktion;
f) Mitwirkung beim Business Continuity Planning und der Erstellung der Betriebshandbücher;
g) Durchführung von Schulungen für IT-Anwendungen;
h) Umsetzung von IT-Sicherheitsmassnahmen;
i) Zustellung einer Kopie aller abgeschlossenen IT-Verträge an die zentrale IT.
§ 35 Technisch Verantwortliche
1 Die technisch Verantwortlichen haben folgende Aufgaben und Kompeten - zen:
a) Sicherstellung des zuverlässigen und sicheren Betriebs der für die IT- Anwendungen erforderlichen IT-Infrastruktur;
b) Überwachung des Betriebs inklusive Backup;
c) Ergreifung von Massnahmen gemäss Vorgaben des IT-Servicemanage - ments;
d) Integration der IT-Anwendungen in die IT-Infrastruktur inklusive Si - cherstellung der Schnittstellen. 6. Übergangs- und Schlussbestimmungen
§ 36 Zentralisierung
1 Die von der dezentralen IT erbrachten IT-Leistungen, welche künftig zentralisiert werden, sind bis 31. Dezember 2022 an die zentrale IT zu über - tragen. Der Regierungsrat regelt die Einzelheiten.
§ 37 Dezentrale Leistungserbringung
1 Die vor Inkrafttreten dieser Verordnung von der Zuger Polizei beschafften polizeispezifischen IT-Mittel können ohne Ausnahmebewilligung der Fi - nanzdirektion weiterbetrieben werden.
Änderungstabelle - Nach Beschluss Beschluss Inkrafttreten Element Änderung GS Fundstelle 13.11.2018 01.01.2019 Erlass Erstfassung GS 2018/039 15.12.2020 19.12.2020 § 12 Titel geändert GS 2020/089 15.12.2020 19.12.2020 § 18 Abs. 1 geändert GS 2020/089 15.12.2020 19.12.2020 § 29 Abs. 2, a) geändert GS 2020/089
Änderungstabelle - Nach Artikel Element Beschluss Inkrafttreten Änderung GS Fundstelle Erlass 13.11.2018 01.01.2019 Erstfassung GS 2018/039
§ 12 15.12.2020
19.12.2020 Titel geändert GS 2020/089
§ 18 Abs. 1 15.12.2020
19.12.2020 geändert GS 2020/089
§ 29 Abs. 2, a) 15.12.2020
19.12.2020 geändert GS 2020/089
Feedback