Lexipedia

Name des Vertragspartners INTERN

Schutzbedarfsanalyse <Name des Vertragspartners>

Vertragspartner Name des Vertragspartners

Informatiksicherheitsbeauftragter (ISBO) des Vertragspartners

Dokument ausgefüllt durch

Ergebnis der Einstufung

Vertraulichkeit: Personendaten werden bearbeitet - Risikovorprüfung ergibt kein hohes Risiko

Klassifizierung: INTERN

Keine erhöhten Anforderungen an die Vertraulichkeit

Verfügbarkeit: Ausfalldauer grösser 12 Std.

24 Std

ITSCM / BCM nicht notwendig

Integrität: Keine speziellen Anforderungen

Nachvollziehbarkeit: Keine speziellen Anforderungen

Änderungskontrolle

Version Datum Name / Bemerkungen

Die Gültigkeit dieses Dokuments beträgt maximal 5 Jahre.

Unterschriften Datum / Name / Unterschrift

ISBO Vertragspartner

Bevollmächtigte Stelle Vertragspartner

ISBO IV Stelle

Bevollmächtigte Stelle IV Stelle

Name des Vertragspartners

INTERN

Kriterien Fragen Antworten (Drop Down Felder)

Komment Begründu für alle Ze ausfüllen

Vertraulichkeit Sollen [mit diesem Schutzobjekt] Personendaten nach der Datenschutzgesetzgebung DSG bearbeitet werden? Wenn ja, ergibt sich daraus ein hohes Risiko für die Grundrechte der betroffenen Personen? Wenn ja: DSFA ausgefüllt ?

Personendaten werden bearbeitet - Risikovorprüfung ergibt kein hohes Risiko

Sollen [mit diesem Schutzobjekt] klassifizierte Informationen nach dem Informationssicherheitsgesetz (ISG) bearbeitet werden? Wenn ja, Informationen aus welchen Klassifizierungsstufen (vgl. Art. 18 bis 20 ISG) sind betroffen?

Klassifizierung: INTERN

Sollen [mit diesem Schutzobjekt] Informationen oder Daten bearbeitet werden, die aus einem sonstigen Grund (spezielle Gesetzgebungen) besonders geschützt werden müssen? Wenn ja, wie hoch sind die Schutzanforderungen?

Keine erhöhten Anforderungen an die Vertraulichkeit

Verfügbarkeit Max. zulässige Ausfalldauer? Ausfalldauer grösser 12 Std.

Max. Zulässiger Datenverlust ?

24 Std

Ist IT Service Continuity Management (ITSCM) relevant [für dieses Schutzobjekt] als Teil des Business Continuity Management (BCM) für geschäftskritische Prozesse?

ITSCM / BCM nicht notwendig

Integrität Muss die Echtheit, Korrektheit und/oder Unversehrtheit der Daten nachgewiesen werden können?

Keine speziellen Anforderungen

Nachvollziehbarkeit Müssen bestimmte Arbeitsvorgänge nachgewiesen werden können?

Keine speziellen Anforderungen

Name des Vertragspartners

INTERN

Beschreibung des Projektes bzw. Schutzobjektes

Kommunikationspartner und Datenhaltung

Kommunikationspartner (netzwerktechnisch)

Zugriffe intern ?

Ja Wenn Antwort «Nein» ist zu prüfen inwieweit das System überhaupt innerhalb der Organisation betrieben werden muss.

Zugriffe extern (Internet)?

Nein Wenn Antwort «Ja», ist die Art und Weise des Zugriffs zu prüfen.

Datenhaltung intern ? Ja Keine über den IKT- Grundschutz hinausgehende Anforderungen.

extern (Internet)?

Nein Wenn Antwort «Ja», ist zu prüfen ob eine Datenhaltung ausserhalb der Organisation überhaupt erlaubt ist. Sollte es sich um eine Cloud-Lösung handeln, sind die Sicherheitsempfehlungen zum Cloud Computing des NCSC zu prüfen.

Architekturskizze

Folgende Arbeitsblätter sind Teil der Schutzbedarfsanalyse:

Deckblatt: - Daten eintragen. - Ergebnis der Einstufung wird aus den Arbeitsblätter "Einstufung" übernommen. - Ziel der Farben bei den Feldern der Einstufung ist, deutlich hervorzuheben wo normaler oder erhöhter Schutzbedarf besteht, denn daraus sind die entsprechenden Schutzanforderungen abzuleiten. --> Siehe dazu Erklärungen weiter unten Einstufung: - Jedes Dropdown-Feld in der Spalte 'Antwort' auswählen. - Spalte 'Kommentar, Begründung', so ausführlich wie möglich, so gering wie nötig. Beschreibung: - Ausführliche Beschreibung des Projektes. bzw. des Schutzobjektes. - Kommunikationspartner und Datenhaltung ausfüllen. - Hier eine erste Architekturskizze (anstelle des Beispiels) einfügen. Sie kann allenfalls als eigenständiges Dokument geführt werden. Dann ist in diesem Arbeitsblatt zu vermerken wie das Dokument heisst, welche Version sich auf diese Schutzbedarfsanalyse bezieht und wo es gespeichert ist.

Erhöhter Schutzbedarf: Erhöhter Schutzbedarf liegt vor, sobald eines der Felder aus der Einstufung im Bereich der Vertraulichkeit als rot gekennzeichnet wird oder wenn mehr als zwei Kriterien in den Bereichen Verfügbarkeit, Integrität oder Nachvollziehbarkeit als rot gekennzeichnet werden. Bei ausgewiesenem, erhöhtem Schutzbedarf ist ein Informationssicherheits- und Datenschutzkonzept (ISDS- Konzept) zu erarbeiten. Darin sind, neben der Umsetzung der Sicherheitsvorgaben für den Grundschutz und basierend auf einer Risikoanalyse, weitere Sicherheitsmassnahmen spezifisch für das Projekt oder das Informatikschutzobjekt zu definieren, dokumentieren und umsetzen. Bei erhöhten Anforderungen nur in den Bereichen Verfügbarkeit, Integrität oder Nachvollziehbarkeit (max. zwei Kriterien) müssen zusätzliche Sicherheitsmassnahmen als Erweiterung des IKT-Grundschutzes dokumentiert werden. Dies erfolgt vorzugsweise im Dokument «Massnahmenumsetzung des IKT- Grundschutzes», zum Beispiel in Form eines zusätzlichen Kapitels. Umsetzung IKT-Grundschutz: Die Umsetzung der minimalen Sicherheitsvorgaben (IKT-Grundschutz) ist zu dokumentieren. Dazu kient das Excel-Template «Template IT-Grundschutz» auf der Webseite des Vollzugs der Sozialversicherungen (https:// sozialversicherungen.admin.ch/) zur Verfügung. (Rubrik Vorlagen, Template IT Grundschutz) Die Gültigkeitsdauer der Schutzbedarfsanalyse beträgt maximal 5 Jahre.