Ergänzende Anhänge zu den Weisungen an die Informationssicherheit und den Daten- schutz der Informationssysteme der Durchführungsstellen der
1. Säule/FamZ (W-ISDS)
Stand: 20. April 2026
Hinweis Zur einfacheren Lesbarkeit wurde im gesamten Dokument die männliche Form verwendet. Selbstverständlich sind dabei Personen aller Geschlechter mitgemeint.
1
Änderungsverzeichnis
VERSION DATUM VERFASSER BEMERKUNGEN
1.0 14.01.2026 Markus Moog (BSV) Anhänge aus W-ISDS 2.3 übernommen
2
Zweck und Abgenzung
Dieses Dokument enthält Unterlagen und Anhänge zur W-ISDS, die nicht Bestandteil der Weisungen sind und keinen Weisungscharakter haben. Die Inhalte dienen der Information, Erläuterung und fachlichen Unterstüt- zung und entfalten keine rechtliche Verbindlichkeit. Sie begründen insbesondere keine Rechte oder Pflichten.
Für den Vollzug massgebend sind ausschliesslich die Weisungen W-ISDS sowie die darin ausdrücklich als weisungsrelevant bezeichneten Anhänge.
3
Inhaltsverzeichnis
Anhang E1: Rechtsbezüge zum Thema Informationssicherheit ........................................................... 5
Anhang E2: ISDS-Basisdokumentation .................................................................................................. 7 Flussdiagramm Schutzbedarfsanalyse ................................................................................................... 7 A. Leitfaden zur Abklärung der rechtlichen Rahmenbedingungen ...................................................... 8 B. Muster zur Klassifizierung der Verfügbarkeitsanforderungen ....................................................... 13 C. Leitfaden zur Vertraulichkeitsanforderungen ................................................................................. 14 D. Leitfaden zur Klassifizierung Integritäts- und Nachvollziehbarkeitsanforderungen ....................... 15 E. Datenhaltung.................................................................................................................................. 16 F. Beschreibung des Schutzobjekts / Projekts .................................................................................. 16 G. Verzeichnispflicht/Meldepflicht....................................................................................................... 16 H. Notwendigkeit einer Datenschutz-Folgenabschätzung ................................................................. 16 I. Zuweisung zu einer Schutzgruppe ................................................................................................ 17
Anhang E3: Erweiterte ISDS-Dokumentation ....................................................................................... 18
Anhang E4: Responsible-Rollen für die Umsetzung der W-ISDS-Anforderungen ............................. 21
Anhang E5: Hilfsmittel und Vorlagen .................................................................................................... 22
4
Anhang E1: Rechtsbezüge zum Thema Informationssicherheit
1. Nationale Rechtsquellen
Die rechtlichen Grundlagen für die Informationssicherheit (und die dazugehörigen Themen Datenschutz und Datensicher- heit) finden sich in unterschiedlichen Rechtsquellen.
A. Auf Bundesebene 1. Die Bundesverfassung garantiert mit Artikel 13 Abs. 2 den Schutz vor Missbrauch der persönlichen Daten und ver- pflichtet in Artikel 35 letztlich die Durchführungsstellen dazu, dass sie ihren Anteil an die Verwirklichung dieses Grundrechts beitragen. 2. Das formelle Datenschutzgesetz (DSG, SR 235.1) mit der Verordnung DSV (SR 235.11) o reguliert formelle Aspekte (Begriffe wie Personendaten, besonders schützenswerte Personendaten, Profiling etc.) o gibt Einschränkungen für die Bearbeitung und Bekanntgabe von Personendaten vor (Rechtmässigkeit, Verhält- nismässigkeit, Zweckbindung, Datenrichtigkeit etc.), o garantiert dem Individuum gewisse Rechte in Bezug auf Daten (Auskunftsrecht), o verlangt nach „organisatorisch-technischen“ Mitteln in Bezug auf die Datensicherheit (Vertraulichkeit, Integrität, Verfügbarkeit).
3. Die sozialversicherungsrechtliche Spezialgesetzgebung
o ermöglicht mit ihren Erlaubnisnormen (im Verhältnis zum DSG) erst die Bearbeitung von besonders schützens- werten Personendaten (und ein Profiling) in den Sozialversicherungen und den für den Einsatz von Informations- systemen nötigen Datenfluss o stellt auch die vorliegenden Anforderungen für die Informationssysteme in technischer und organisatorischer Hin- sicht auf o gewährt (auch in Verbindung mit dem VwVG [172.021]) gewisse verfahrensbezogene und individuelle Informati- onsrechte (z.B. Akteneinsicht) 4. Soweit es sich um Informationssysteme von Bundesbehörden (z.B. der ZAS) handelt, gelten zahlreiche weitere Vor- schriften (RVOG SR 172.10, VDTI SR 172.010.58, Verordnung über die Informationssicherheit in der Bundesverwal- tung und der Armee (Informationssicherheitsverordnung, ISV) und weitere Vorgaben des nationalen Zentrums für Cybersicherheit NCSC2). Mit Inkrafttreten des Informationssicherheitsgesetzes vom 18. Dezember 2020 (ISG) 1 kam eine zusätzliche Regulierung dazu.
B. Auf kantonaler Ebene Sowohl für die Informationssicherheit wie für den Datenschutz können auch kantonale Regeln massgebend sein.
C. Geltung des DSG für die Durchführungsstellen In Bezug auf den Geltungsbereich ist festzuhalten, dass die Durchführungsstellen • alle Normen aus der Sozialversicherungsgesetzgebung anwenden müssen. Das DSG erfasst neben den Durch- führungsorganen, die der Bundesverwaltung angehören, auch verbandlich organisierten Durchführungsstellen) und sie sind den Bundesorganen gleichgestellt; • als Durchführungsstellen der Kantone der kantonalen Datenschutzgesetzgebung unterstehen.
1 BBl 2020 9975
5
2. ISO-Normen und ihr Stellenwert
Die Internationale Organisation für Normung (ISO) ist die internationale Vereinigung von Normungsorganisationen und erarbeitet internationale Normen. ISO 27001 und 27002 betreffen die Informationstechnik, bzw. die IT-Sicherheitsverfah- ren. Sie stellen das Informationssicherheits-Management ins Zentrum. Definiert werden insbesondere die Anforderungen, die ein solches Management-System erfüllen muss. Dabei geht es immer um Ziele und Massnahmen. Diese sind fortlau- fend nummeriert. In der Folge steht sozusagen ein Referenz-Nummern-System zur Verfügung. Da es sich bei Informati- onstechnik und –sicherheit nicht um ein national beschränktes Thema handelt, stützen sich weltweit Handelsunternehmen, staatliche Organisationen und Non-Profitorganisationen auf diese Normen ab. In der Schweiz hat dies zur Folge, dass Inhalte der ISO-Normen in die Gesetzgebung und deren Umsetzung einfliessen.
Als Beispiele seien erwähnt
5. dass die Vorgaben IKT-Grundschutz in der Bundesverwaltung auf die ISO-Standards verweisen
6. dass die Zertifizierung nach Artikel 13 DSG (welche z.B. für die Datenannahmestellen Krankenversicherer gemäss Art. 59a Abs. 6 KVV2 obligatorisch ist) insbesondere davon abhängt, ob die ISO-Normen 27001 erfüllt sind (vgl. Zif- fer 4 der Richtlinien über die Anforderungen an ein Datenschutzmanagementsystem vom 19. März 2014). Die Richt- linien über die Anforderungen an ein Datenschutzmanagementsystem und deren Anhang stellen zwischen den nati- onalen Datenschutzvorschriften (DSG und DSV), welche thematisch mit den ISO-Normen übereinstimmen, und der Nummerierung der ISO-Normen einen Konnex her, indem sie auf das ISO-Nummern-System abstellen (vgl. insbes. Ziffer 4 der Richtlinie und Bst. g des Anhangs zum Thema Datensicherheit nach Artikel 8 DSG). Zusätzliche auf rein nationaler Gesetzgebung beruhende Massnahmen werden explizit analog zu ISO 27002 strukturiert.
2 Verordnung über die Krankenversicherung vom 27. Juni 1995, SR 832.102 6
Anhang E2: ISDS-Basisdokumentation
Für jedes Schutzobjekt sind mindestens die Schutzbedarfsanalyse sowie der IT-Grundschutz auszufüllen. Falls erforder- lich, sind darüber hinaus eine Risikovorprüfung sowie gegebenenfalls eine Datenschutz-Folgenabschätzung zu erstellen. Links zu den Mustervorlagen der zu erstellenden Dokumentationen siehe Anhang . Kantonale oder eigene Vorlagen können ebenfalls verwendet werden. • Risikovorprüfung • Datenschutz-Folgenabschätzung • Schutzbedarfsanalyse
Das Resultat der Schutzdebarfsanalyse ist eine Einstufungsbeurteilung des Informatikschutzobjektes oder des Projektes. Falls ein erhöhter Schutzbedarf festgestellt wird, muss zusätzlich zur Schutzbedarfsanalyse sowie dem IT-Grundschutz auch ein ISDS Konzept erstellt werden. Das folgende Diagramm erläutert diese Regelung:
Flussdiagramm Schutzbedarfsanalyse
Start
Erstellung Schutzbedarfsanalyse
Ja Nein Werden Personendaten bearbeitet (relevant betr. DSG oder kantonalen Datenschutzgesetzen) ? Risiko-Vorprüfung ausfüllen
Ja Nein Ist eine DSFA notwendig ?
DSFA ausfüllen
Erstellung von IKT Grundschutz
Ja Nein Besteht nach Schuban ein erhöhter Schutzbedarf ?
Erstellung ISDS Konzept
Ende
7
A. Leitfaden zur Abklärung der rechtlichen Rahmenbedingungen (nach W-ISDS Rz 2.8.2, Bst. a)
Allgemeine Vorbemerkungen / Erläuterung Jede Durchführungsstelle ist Organ einer bundesrechtlich geregelten Sozialversicherung, und insofern ist sie zur Ausübung der gesetzlich vorgesehenen Aufgabe berechtigt und verpflichtet (Legalitätsprinzip). Als Grundlage ihres Handelns dient das jeweilige Spezialgesetz (AHVG, IVG etc.). Setzt sie zur Aufgabenerfüllung Informationssysteme ein, kommen aus an- deren Bereichen als aus dem Spezialgesetz Rechtseinflüsse hinzu. Einesteils gilt das ATSG – beispielsweise für die Amts- und Verwaltungshilfe (Art 32 ATSG), die Schweigepflicht (Art. 33 ATSG) und den elektronischen Datenaustausch (Art. 76a ATSG). Andererseits sind Vorschriften zur Informationssicherheit bzw. zum Datenschutz und zur Datensicherheit aus dem DSG, der DSV oder aus der kantonalen Gesetzgebung zu beachten. Diese wirken sich regelmässig auf den Umgang mit Daten und deren Sicherheit aus: • In der 1. Säule tätige Bundesorgane (also z.B. die Eidg. Ausgleichskasse oder die Schweizerische Ausgleichs- kasse der AHV) sowie Durchführungsstellen, die vom DSG als «Bundesorgane» betrachtet werden (also alle Durchführungsstellen, die nicht kantonal sind) müssen beispielsweise die Vorschriften zum Verzeichnis ihrer Be- arbeitungstätigkeiten (Art. 12 DSG), zur Erstellung einer Datenschutz-Folgenabschätzung (Art. 22 DSG), zur Mel- dung von Verletzungen der Datensicherheit (Art. 24 DSG), zur Ernennung eines Datenschutzberaters (Art. 25 DSV) sowie zu der Protokollierung der Personendaten (Art. 4 DSV) einhalten. • Soweit die kantonalen Datenschutzgesetzgebungen vergleichbare Regelungen kennen, haben die kantonalen Durchführungsstellen zu prüfen welche Verpflichtungen sich daraus für sie ergeben.
Leitfaden zu den rechtlichen Rahmenbedingungen und zur Abklärung der Rechtskonformität der Datenbearbei- tung
# Fragestellung/Thema Rechtliche Grundlage Konsequenz, Beispiel
1 Einhaltung der Grunds- Artikel 49b AHVG bzw. neu Art. 49f - In der ISDS-Basis-Dokumentation ist ätze des Datenschutzes: AHVG erlaubt den Durchführungsorganen zu prüfen: ob das Informationssys- die Bearbeitung von Personendaten, ein- tem tatsächlich für die Erfüllung einer • Rechtmässigkeit der schliesslich besonders schützenswerter gesetzlich übertragenen Aufgabe Bearbeitung nach Art. Daten und Profiling, soweit dies für die verwendet wird und geeignet und an-
6 Abs. 1 DSG,
gesetzlich übertragenen Aufgaben nötig gemessen ist, um die Aufgabe zu er- • Verhältnismässigkeit ist. Für alle andern Durchführungsorgane füllen. und Zweckmässigkeit gilt diese Erlaubnis ebenfalls (Art. 66a der Datenbeschaffung IVG bzw. neu 66 E-IVG, Art. 25 FamZG, Rechtmässigkeit: und Datenbearbeitung, Art. 25 Abs. 2 FLG, Art. 29 EOG, Art. 26 Angaben zu den gesetzlichen Grund- unter Einhaltung des ELG). Im Tätigkeitsbereich der Durchfüh- lagen zur Datenbearbeitung (z. B. Grundsatzes von Treu rungsstellen genügt die ausreichende Art. 49b AHVG) und Glauben Art. 6 rechtliche Grundlage regelmässig (DSG Abs. 2 und 3 DSG 34ff.) Zweckmässigkeit: Welcher gesetzlichen Aufgabe wird gedient (Gesetz oder VO)?
Verhältnismässigkeit: Könnte das gleiche Ziel mit einer we- niger intensiven Bearbeitung von Da- ten erreicht werden in derselben Qualität? Treu und Glauben: Wenn eine betroffene Person keines- falls damit rechnen muss, dass ihre
8
# Fragestellung/Thema Rechtliche Grundlage Konsequenz, Beispiel
Daten im vorliegenden Fall bearbeitet werden, ist der Grundsatz verletzt.
Beispiel Einordnung E-Mail Appli- kation einer Verbandsausgleich- kasse in der ISDS-Basis-Dokumen- tation: E-Mails werden regelmässig von Ver- sicherten zur Einholung von Auskünf- ten bzw. zur Beratung im Sinne von Art. 27 ATSG benutzt. Die verwende- ten Daten können besonders schüt- zenswert sein. Diesem Umstand ist bei der Klassifizierung (vgl. Schema Bst. C und D) in technischer Hinsicht Rechnung zu tragen. Aufgrund von Art. 49a (künftig 49f AHVG) ist die Bearbeitung der Daten grundsätz- lich rechtmässig.
Soweit in E-Mails nur die im Einzelfall relevanten Daten verwendet werden, ist die Zweckmässigkeit und Ver- hältnismässigkeit und der Grund- satz von Treu und Glauben ge- währleistet.
2 Datenzufluss (Datenbe- Sowohl die Beschaffung von Daten wie In der ISDS-Basis-Dokumentation ist schaffung) und Datenab- deren Bekanntgabe fallen unter beson- zu prüfen: ob der Datenzufluss und fluss (Datenbekanntgabe) dere rechtliche Einschränkungen, und Datenabfluss rechtlich zulässig ist. sowie Verschwiegenheits- jede Beschaffung beruht ihrerseits auf ei- Bei Informationssystemen, welche ei- pflicht ner Bekanntgabe. Formal ist die Datenbe- nen automatischen Zu- oder/und Ab- kanntgabe auch eine Bearbeitung (Art. 5 fluss von Daten vorsehen ist die Bst. d DSG). rechtliche Grundlage zu ermitteln und zu dokumentieren. Die Datenbeschaffung wird durch das DSG zwar eingeschränkt (in Art. 6 Abs. 3, Beispiel Einordnung E-Mail Appli- Art. 19), indessen sind diese Einschrän- kation einer Verbandsausgleichs- kungen bei einer entsprechenden gesetz- kasse in der ISDS-Basis-Dokumen- lichen Grundlage obsolet (inbes. Art. 20 tation: DSG). Im Rahmen der Mitwirkungs- und Die E-Mails werden ausschliesslich Meldepflichten wird in den Sozialversiche- für die Übermittlung von Daten in rungsgesetzen jedoch oft ein Teil des Da- Einzelfällen genutzt. Die Frage der tenzuflusses reglementiert. Darüber hin- rechtlichen Zulässigkeit des Datenzu- aus bestehen aufgrund von Regelungen und abflusses muss vom entspre- zu einzelnen Informationssystemen auto- chend ausgebildeten Nutzer geprüft matisierte Meldungen (z. B. Zivilstands- werden. Es ist sicherzustellen, dass meldungen an die AHV). Schliesslich ga- die Nutzer diese Ausbildung erhalten rantiert das ATSG die Amts- und Verwal- und allenfalls mit technischen und or- tungshilfe in Einzelfällen. ganisatorischen Massnahmen die die 9
# Fragestellung/Thema Rechtliche Grundlage Konsequenz, Beispiel
Identität des Empfängers von Daten Für die Datenbekanntgabe sieht das DSG klären können. in Artikel 36 Absatz 1 vor, dass wiederum eine gesetzliche Grundlage (wie für die Bearbeitung der Daten) vorgesehen sein muss. Die einzelnen Sozialversicherungs- gesetze regeln die Datenbekanntgabe in eigenen Katalogen zur Datenbekanntgabe jeweils einlässlich, und unterscheiden da- bei auch, ob es sich um Datenabflüsse im Einzelfall oder um Massenverfahren han- delt. Dies regelmässig als Abweichung von der in Art. 33 ATSG vorgesehenen generellen Schweigepflicht.
3 Datenrichtigkeit und Da- Das DSG verlangt bei der Datenbearbei- In der ISDS-Basis-Dokumentation ist tenberichtigung (Art. 6 tung zu analysieren, wie viel Gewähr für Abs. 5 und 41 Abs. 2 die Richtigkeit der Daten besteht und • eine Vergewisserung über die Rich- DSG) welche Plausibilisierungsmöglichkei- tigkeit der Daten ten und Prüfmethoden vorhanden • angemessene Massnahmen für die sind und wie notwendige Korrekturen Richtigkeit der Daten erfolgen. Dafür sind Prozesse zu de- • die Berichtigung unrichtiger Daten finieren.
Beispiel Einordnung E-Mail Appli- kation einer Verbandsausgleichs- kasse in der ISDS-Basis-Dokumen- tation: Die in E-Mails verwendeten Daten sind einzelfallbezogen und sind sys- temisch nicht überprüfbar. Es liegt in der Verantwortung des Nutzers, so- weit notwendig, eine Plausibilisierung durch Abklärung im Einzelfall vorzu- nehmen. Es ist sicherzustellen, dass die Nutzer diese Ausbildung erhalten und allenfalls mit technischen und or- ganisatorischen Massnahmen die richtigen Daten verwenden.
4 Auskunftsrecht (Art. 25 Art. 25 DSG postuliert ein Auskunftsrecht In der ISDS-Basis-Dokumentation ist DSG und Art. 16 DSV) jeder Person. Dieses verpflichtet den Ver- zu analysieren, wie sämtliche einer antwortlichen, Auskunft zu geben. Einge- Person zuzuordnenden Daten im In- schränkt wird dieses Auskunftsrecht durch formationssystem eruierbar sind. Der Art. 26 und 27 DSG. Zudem kann die Per- Prozess für die Behandlung von Aus- son verlangen, dass die Daten herausge- kunftsbegehren ist zu dokumentie- geben werden, wiederum unter gewissen ren. In der ISDS-Basis-Dokumenta- Einschränkungen (Art. 28 und 29 DSG) tion ist zu klären, ob im Informations- system Daten über die Gesundheit enthalten sein können, welche – mit 10
# Fragestellung/Thema Rechtliche Grundlage Konsequenz, Beispiel
Bearbeiten mehrere Verantwortliche Per- Einwilligung der betroffenen Person - sonendaten gemeinsam, so kann die be- über die von ihr bezeichnete - Ge- troffene Person ihr Auskunftsrecht bei je- sundheitsfachperson mitgeteilt wer- dem Verantwortlichen geltend machen. den (Art. 25 Abs. 3 DSG).
Beispiel Einordnung E-Mail Appli- kation einer Verbandsausgleichs- kasse in der ISDS-Basis-Dokumen- tation: Im Rahmen der ISDS-Basis-Doku- mentation ist sicherzustellen, dass auf die E-Mails einer bestimmten Person zugegriffen werden kann. Dies kann auch über die Definition ei- nes Prozesses bei einem andern In- formationssystem wie einer Ge- schäftsverwaltung sichergestellt wer- den. In der SSDS-Basis-Dokumenta- tion zur E-Mail-Applikation ist darauf zu verweisen.
5 Klärung der Aufnahme in In der 1. Säule tätige Bundesorgane (also
das Verzeichnis bzw. Mel- z. B. die Eidg. Ausgleichskasse oder die dung bei einer Behörde Schweizerische Ausgleichskasse der des Datenschutzes AHV) sowie Durchführungsstellen, die vom DSG als «Bundesorgane» betrachtet werden (alle nicht kantonalen Durchfüh- rungsstellen) müssen die Vorschriften zum Verzeichnis ihrer Bearbeitungstätig- keiten einhalten und die Verzeichnisse dem EDÖB melden (Art. 12 DSG). Die kantonalen Organe unterliegen den Registrierungs-/Meldepflichten ihrer jewei- ligen Kantone.
6 Datenschutzberater Die Durchführungsstellen ernennen einen
Datenschutzberater, welcher den Verant- wortlichen bei der Erstellung der Daten- schutz-Folgenabschätzung berät und de- ren Ausführung überprüft (Art. 25 sowie Art. 26 Abs. 2 Bst. a Ziffer 2 DSV).
Der Datenschutzberater kann Kritikpunkte im Rahmen der Datenschutz-Folgenab- schätzung formulieren. Diese Kritikpunkte sind integraler Bestandteil der Daten- schutzfolgeabschätzung.
11
# Fragestellung/Thema Rechtliche Grundlage Konsequenz, Beispiel
Der Verantwortliche stellt dem Daten- schutzberater die notwendigen Ressour- cen zu Verfügung und gewährt ihm Zu- gang zu allen Auskünften, Unterlagen, Verzeichnissen der Bearbeitungstätigkei- ten und Personendaten, die dieser zur Er- füllung seiner Aufgaben benötigt (Art. 23 Bst. a und b DSV). Mehrere Bundesorgane können gemein- sam einen Datenschutzberater bezeich- nen. Kleinere Bundesorganen oder De- partemente mit zentralisierter Organisati- onsstruktur nutzen so ressourceneinspa- rende Synergien.
7 Protokollierung Das verantwortliche Bundesorgan und Aus Sicht der Datensicherheit hilft die sein Auftragsbearbeiter protokollieren bei Auswertung der Protokolldaten die der automatisierten Bearbeitung von Per- Schutzziele der Vertraulichkeit, Integ- sonendaten zumindest das Speichern, rität und Verfügbarkeit sicherzustel- Verändern, Lesen, Bekanntgeben, Lö- len. Es können Abweichungen vom schen und Vernichten der Daten. normalen Nutzungsverhalten, poten- zielle Sicherheitsvorfälle – beispiels- Die Protokollierung muss Aufschluss dar- weise der Missbrauch eines Systems über geben über die Identität der Person, – sowie gezielte Angriffe festgestellt die die Bearbeitung vorgenommen hat, werden. die Art, das Datum und die Uhrzeit der Bearbeitung sowie gegebenenfalls die Identität des Empfängers der Daten (Art. 4 Abs. 2 und 4 DSV).
Gemäss Art. 4 DSV muss zur Sicherstel- lung der Nachvollziehbarkeit der Bearbei- tung von Personendaten auch der Vor- gang des «Lesens» innerhalb der Daten- bearbeitungssysteme protokolliert wer- den.
Die gesetzliche Pflicht zum Protokollieren von Lesezugriffen besteht unabhängig vom (wahrgenommen) Nutzen und unab- hängig von der allfälligen Performance- Einbusse, die durch die Protokollierung verursacht wird.
In diesem Zusammenhang gelten Über- gangsbestimmungen. Solange das Daten- bearbeitungssystem ohne Erweiterung des Funktionsumfangs und weiterhin wie beim Inkrafttreten der DSV (1.9.2023) be- trieben wird, gilt Art. 4 Abs. 2 DSV noch
12
# Fragestellung/Thema Rechtliche Grundlage Konsequenz, Beispiel
nicht. Reine Sicherheitsupdates ändern auch nichts daran. Sobald funktionale Er- weiterungen, welche Auswirkungen auf die Bearbeitung von Personendaten ha- ben (wie z. B. die Ablösung von Modulen) fällt es nicht unter die Übergangsbestim- mung und eine Protokollierung gemäss Art. 4 Abs. 2 DSV hat zu erfolgen.
Die Protokolle müssen während mindes- tens einem Jahr getrennt vom System, in welchem die Personendaten bearbeitet werden, aufbewahrt werden. Sie dürfen ausschliesslich den Organen und Perso- nen zugänglich sein, denen die Überprü- fung der Anwendung der Datenschutzvor- schriften oder die Wahrung oder Wieder- herstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Daten obliegt, und dürfen nur für diesen Zweck verwendet werden (Art. 4 Abs. 5 DSV).
B. Muster zur Klassifizierung der Verfügbarkeitsanforderungen (nach W-ISDS Rz 2.8.2, Bst. b)
# Fragestellung bzw. Anforderung Kriterien Schutzbedarf erhöht? > erweiterte ISDS-Doku- mentation nach W-ISDS
Rz 2.8.3 nötig?
(statt Dokumentation, ins- besondere Risikoanalysen und Sicherheitsanforde- rungen)
1 Max. zulässige Ausfalldauer pro Ausfall Ausfalldauer max. 2 Stunden ja
Ausfalldauer grösser 2 Stunden nein
2 Maximaler Datenverlust pro Ausfall Datenverlust kleiner 1 Stunde ja
Datenverlust grösser 1 Stunde nein
3 Geschäftsrelevanz/geschäftskritischer Pro- Katastrophen-Vorsorge erfor- ja
zess? (Aufgrund von W-ISDS Rz 2.8.2 Ziff. 2 derlich Bst. b): müssen für das Schutzobjekt Katastrophen- keine K-Vorsorge erforderlich nein Vorsorge-Massnahmen (K-Vorsorge) getrof- fen werden?
13
C. Leitfaden zur Vertraulichkeitsanforderungen (nach W-ISDS Rz 2.8.2, Bst. c)
In der ISDS-Basis-Dokumentation sind die Daten zu klassifizieren, um einen allenfalls erhöhten Schutzbedarf und die Notwendigkeit einer erweiterten Dokumentation (W-ISDS Rz 2.8.3) zu eruieren.
Fragestellung bzw. An- Kriterien Schutzbedarf erhöht? > er- Schutzmassnahmen forderung weiterte ISDS-Dokumenta- tion nach W-ISDS Rz 2.8.3 nötig? (statt Dokumentation , insbe- sondere Risikoanalysen und Sicherheitsanforderungen) Werden Daten gemäss Umschreibung der vor- Datenschutzgesetzgebung keine Personendaten nein handenen Basis- bearbeitet? Wenn ja, wel- Schutzmassnahmen che Art von Personenda- Umschreibung der vor- ten sind betroffen? Personendaten nein handenen Schutzmass- nahmen besonders schützens- Umschreibung der be- werte Personendaten sonderen Schutzmass- (Art. 5 Bst. c DSG? Ja nahmen und /oder Profiling (auto- matisierte Bewertung; vgl. Art. 5 Bst. f DSG)?3 Ja Wenn ja Profiling: mit hohem Risiko (vgl. Art. 5 Bst. g DSG?) Ja
In welcher Klassifizie- Öffentlich Nein Die Klassifizierung sollte rungsstufe befinden sich Intern Nein in einer Folgeversion die Daten des Schutzob- definiert werden. Vertraulich Ja jektes? Streng vertraulich Ja
3 Profiling: Gemäss Botschaft des Bundesrates zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse vom 15. September 2017 wird unter Profiling folgendes verstanden: «Das (terminologisch nicht mehr gesetzlich definierte) Persönlich- keitsprofil ist das Ergebnis eines Bearbeitungsprozesses und erfasst damit etwas Statisches. Hingegen umschreibt das Profiling eine bestimmte Form der Datenbearbeitung, mithin einen dynamischen Prozess. Darüber hinaus ist der Vorgang des Profilings auf einen bestimmten Zweck ausgerichtet…. Der Begriff des Profilings wird aufgrund der Stellungnahmen in der Vernehmlassung inhaltlich an die europäische Terminologie angepasst und erfasst nun insbesondere nur noch die automatisierte Bearbeitung von Personendaten. So ist Profiling definiert als die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten, insbesondere um die Arbeitsleistung, die wirtschaftlichen Verhältnisse, die Gesundheit, das Verhalten, die Interessen, den Aufenthaltsort oder die Mobilität zu analysieren oder vorherzusagen. Diese Analyse kann beispielsweise erfolgen, um herauszufinden, ob eine Person für eine bestimmte Tätigkeit geeignet ist. Ein Profiling ist mit anderen Worten dadurch gekennzeichnet, dass Personendaten automatisiert ausgewertet werden, um auf der Grundlage dieser Auswertung, ebenfalls in automatisierter Weise, die Merkmale einer Person zu bewerten. Ein Profiling liegt somit nur vor, wenn der Bewertungsprozess vollständig automatisiert ist. Als automatisierte Auswertung ist jede Auswertung mit Hilfe von computergestützten Analysetechniken zu betrachten. Dazu können auch Algorithmen verwendet werden, aber deren Verwendung ist nicht konstitutiv für das Vorliegen eines Profilings. Vielmehr ist lediglich verlangt, dass ein automatisierter Auswertungsvorgang stattfin- det; liegt hingegen lediglich eine Ansammlung von Daten vor, ohne dass diese ausgewertet werden, erfolgt noch kein Profiling. Die automatisierte Be- wertung erfolgt insbesondere, um bestimmte Verhaltensweisen dieser Person zu analysieren oder vorherzusagen. Das Gesetz nennt beispielhaft einige Merkmale einer Person wie die Arbeitsleistung, die wirtschaftliche Lage oder die Gesundheit,» 14
D. Leitfaden zur Klassifizierung Integritäts- und Nachvollziehbarkeitsanforderungen (nach W-ISDS Rz 2.8.2, Bst. d) Klassifizie- Beschreibung Massnahmen Erweiterte Kriterien für die rungen ISDS-Doku- Klassifizierung mentation nach W-ISDS
Rz 2.8.3
nötig? Normale Für Bereiche der ICT-Umge- Die allgemeinen Massnahmen Nein Keine geschäftskritischen Pro- Integrität bung, die in der Stufe «Nor- für Geräte und Betriebsmittel zesse, keine sicherheitsrelevanten male Integrität» eingeordnet (W-ISDS Rz 2.11.2 und 2.12.2) Auswirkungen bei unbemerkten Än- werden, sind keine besonde- müssen die «normale Integrität» derungen, keine Anforderungen an ren Massnahmen zur Wahrung gewährleisten. Protokollierung oder Revisionssi- der Integrität vorzusehen. cherheit. Gesicherte Für Bereiche der ICT-Umge- Prüfung der Auswirkungen feh- Ja Änderungen an den Daten könnten Integrität bung, die in der Stufe «Gesi- lerhafter Änderungen (Release- negative Auswirkungen auf Aufga- cherte Integrität» eingeordnet Wechsel, Konfigurationsfehler benerfüllung, Aussenwirkung oder sind, müssen Vorkehrungen etc.); bei kritischen Auswirkun- Finanzen haben. Anforderungen an zum Schutz gegen Verände- gen sind Tests, Dokumentation Freigaben, Qualitätssicherung und rungen durch Unbefugte im- und Umsetzung nach Qualitäts- Change Control bestehen. Keine plementiert sein. management erforderlich systematische Nachverfolgbarkeit (vgl. W-ISDS Rz 2.5, 2.14). erforderlich.
Prüfbare Für Bereiche der ICT-Umge- Geeignete Protokollierungs- und Ja Bearbeitung betrifft personenbezo- Integrität bung, die in der Stufe «Prüf- Überwachungsmechanismen gene oder geschäftsrelevante Da- bare Integrität» eingeordnet (z. B. Audit Logs, Hash-Werte, ten, bei denen eine Nachvollzieh- werden, müssen zusätzlich Change-Tracking) müssen einge- barkeit gesetzlich oder organisato- Funktionalitäten implementiert setzt werden, um Integritätsver- risch gefordert ist. Protokollierung sein, welche Verletzungen der letzungen erkennen und doku- von Datenzugriffen und -änderun- Integrität feststellen und fest- mentieren zu können. gen ist zwingend. halten. Diese Massnahmen sollen si- cherstellen, dass nicht nur unbe- fugte Änderungen verhindert, sondern auch retrospektiv nach- vollzogen und analysiert werden können. Signierte Für Bereiche der ICT-Umge- Digitale Signaturen (z. B. qualifi- Ja Es besteht ein hoher Beweiswert Integrität bung, die in der Stufe «Sig- ziert gem. VZertES), gleichwer- für Daten oder Dokumente (z. B. nierte Integrität» eingeordnet tige kryptografische Prüfmecha- Leistungsentscheide, Bescheide). sind, müssen zusätzlich digi- nismen (bspw. HMAC) oder In- Rechtsverbindlichkeit, Authentizität tale Signaturen eingesetzt tegritätsverifikationen müssen und Integrität müssen zweifelsfrei werden. verwendet werden, um nach- nachgewiesen werden können. weislich eine Authentizität und Unveränderbarkeit der Daten si- cherzustellen. Die Integritätsprü- fung muss durch automatisierte oder manuelle Verifikationsver- fahren regelmässig erfolgen. Diese Anforderung gilt nur, wenn die digitale Version eines Doku- ments Beweiskraft hat oder als Referenzversion verwendet wird.
15
E. Datenhaltung
In Bezug auf die Datenhaltung sind wenigstens folgende Tatsachen zu beschreiben: • Geografische Angaben (Ort in der Schweiz, mit Adresse) • Verantwortliche Organisation • Nennung des ISB
F. Beschreibung des Schutzobjekts / Projekts
• Ziel und Zweck • Unterstütze Geschäftsprozesse • Art und Umfang der Daten • Benutzer • Mengengerüst der Benutzer
G. Verzeichnispflicht/Meldepflicht
Grundsätzlich besteht nach W-ISDS Rz 2.8.1 für alle Informationssysteme eine Inventarpflicht. Darüber hinaus gilt nach Artikel 12 DSG eine Verzeichnungspflicht. Letztere betrifft die Bundesorgane/Durchführungsstellen (also alle, ausser die kantonalen Durchführungsstellen), ebenso wie die Meldepflicht an den EDÖB. Für die kantonalen Durch- führungsstellen gilt eine allfällige kantonale Verzeichnis- und Meldepflicht. Im Rahmen der ISDS-Basisdokumenta- tion ist festzustellen, ob und welche Verzeichnis- und Meldepflichten bestehen und es ist zu dokumentieren, wie diese Pflichten erfüllt werden.
H. Notwendigkeit einer Datenschutz-Folgenabschätzung
Gemäss Art. 22 DSG ist eine Datenschutz-Folgenabschätzung ein Instrument, um Risiken zu erkennen und zu be- werten, welche für die betroffene Person durch den Einsatz bestimmter Datenbearbeitungen entstehen können. Auf der Basis dieser Abschätzung sollen gegebenenfalls angemessene Massnahmen definiert werden, um diese Risiken für die betroffene Person zu bewältigen. In der ISDS-Basisdokumentation geht es in erster Linie darum, festzustellen, ob eine Notwendigkeit dafür besteht. Die Regulierung des DSG (Art. 22) gilt auch hier für die Durchführungsstellen (ausser die kantonalen Durchfüh- rungsstellen). Für die kantonalen Durchführungsstellen gilt eine allfällige kantonale Pflicht für die Datenschutz-Fol- genabschätzung. In einem ersten Schritt ist daher in der Basisdokumentation festzuhalten, ob die Normen zur Datenschutz-Folgenab- schätzung zum Tragen kommen. Durchführungsstellen der Kantone halten anhand der kantonalen Datenschutz- gesetzgebung in der Basisdokumentation ihre Abklärungen zur Notwendigkeit einer Datenschutz-Folgenabschät- zung fest. In der ISDS-Basisdokumentation ist – gestützt auf die übrigen Abklärungen gemäss W-ISDS Rz 2.8.2 Ziffer 2 Bst. a-g ausdrücklich festzuhalten, ob eine Notwendigkeit für die Vornahme einer Datenschutz-Folgenab- schätzung besteht. Entscheidend dabei ist, • ob eine besonders umfangreiche Bearbeitung besonders schützenswerter Daten erfolgt • ob neue Technologien verwendet werden • die beschriebene Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffe- nen Personen darstellt (vgl. Art. 22 Abs. 1 bis 3 DSG) • welche bereits bekannten oder noch zu entwickelnden Massnahmen zum Schutz der Persönlichkeit und der Grundrechte vorgesehen sind.
16
I. Zuweisung zu einer Schutzgruppe
Die Durchführungsstellen verfügen über eine Definition von Schutzgruppen (in der Regel 3 bis 4), welche dem unter- schiedlichen Schutzbedarf Rechnung tragen. Aufgrund der Ergebnisse gemäss W-ISDS Rz. 2.8.2, Ziffer 2 ist ab- schliessend eine Zuweisung vorzunehmen.
Beispiele für Schutzgruppen und Zuweisungen (nicht abschliessend). Wichtig: Die untenstehenden Beispiele sind nicht zu verwechseln mit den Klassifizierungsstufen gemäss Art 18-20 ISV. Die Benennung von Schutzgruppen kann nach eigenem Ermessen erfolgen.
Beispiele von Beschreibung / Beispiel Informationsbeispiele Schutzgruppen
S1 öffentlich Öffentliche Daten und Informationen ▪ Internetauftritt ▪ Social Media ▪ News- und Presseinformationen
S2 intern4 Personendaten der Mitarbeitenden und Kunden ▪ Adressverzeichnis sowie interne Geschäfts- und Projektdaten ▪ «nicht-sensible» Personendaten ohne besondere Schutzwürdigkeit
S3 vertraulich5 Daten im Zusammenhang mit der Unterneh- ▪ Strategiedokumente mensstrategie, Finanz- und Personaldaten, Kun- ▪ Finanzbuchhaltung den- bzw. Versichertendaten (Stammdaten) ▪ Personaldossiers/-dokumente: Bewerbungen, Beurteilungen, Arbeitsverträge, etc. ▪ Netzwerkpläne der Informatik
S4 streng Alle hochsensible Personendaten, die nach dem▪ Besonders schützenswerte Personendaten wie: vertraulich anwendbaren Datenschutzgesetz als besonders ▪ Daten über religiöse, weltanschauliche, politi- schützenswert gelten sche oder gewerkschaftliche Ansichten oder Tätigkeiten ▪ Gesundheitsdaten ▪ Intimsphäre ▪ Ethnische Zugehörigkeit oder Herkunft ▪ Genetische und biometrische Daten ▪ Daten über Massnahmen der Sozialhilfe ▪ Straf- und Disziplinarverfahren ▪ Lohnpfändung
Die Bundesverwaltung hat in der Informationssicherheitsverordnung 6 ISV die folgenden Klassierungen definiert: • Intern • Vertraulich • Geheim
Speziell im Bereich Cloud-Computing (wozu auch die Verwendung vom M365 gehört) existieren Einschränkungen für die Speicherung und Bearbeitung von Daten der Stufe «Vertraulich» und «Geheim».
4 Nicht im Sinne von Art. 18 ISV
5 Nicht im Sinne von Art. 19 ISV
6 Verordnung über die Informationssicherheit in der Bundesverwaltung und der Armee (ISV)
17
Anhang E3: Erweiterte ISDS-Dokumentation (nach W-ISDS Rz 2.8.3)
Falls die Schutzbedarfsanalyse einen erhöhten Schutzbedarf des Schutzobjektes ergibt (siehe Flussdiagramm im Anhang 2), ist die Erstellung eines ISDS Konzepts sowie einer Risikoanalyse notwendig.
Links zu den Mustervorlagen der zu erstellenden Dokumentationen siehe Anhang 5. Kantonale oder eigene Vorlagen kön- nen ebenfalls verwendet werden.
a. Die Zusammenfassung der relevanten Ergebnisse der ISDS-Basis-Dokumentation Die Zusammenfassung dient als Ausgangslage für das ISDS-Konzept mit Risikoanalyse und erstreckt sich auf die Einstufung des Schutzobjekts hinsichtlich Vertraulichkeit, Verfügbarkeit, Integrität/Nachvollziehbarkeit, Datenhaltung, Beschreibung des Schutzobjekts, Ergebnisse betr. Verzeichnis der Bearbeitungstätigkeiten (gegebenenfalls mit Mel- dung beim EDÖB bzw. Datenschutzberatung) und betr. Datenschutz-Folgenabschätzung.
b. Sicherheitsrelevante Systembeschreibung Verdichtete Beschreibung der sicherheitsrelevanten Elemente aus dem System, den Anwendungen, den vorhandenen und bearbeiteten Daten und den dazugehörenden Prozessen.
b.1 Ansprechpartner / Verantwortlichkeiten
Wer Name Anwendungsverantwortlicher Inhaber der Daten Leistungserbringer LE (Systembetreiber) Projektleiter Durchführungsstelle Ansprechpartner beim LE ISB Benutzerkreis weitere involvierte Stellen
b.2 Beschreibung des Gesamtsystems Beschreibung der sicherheitsrelevanten Funktionalitäten wie Zugangssteuerung (vgl. W-ISDS Rz 2.9), Betriebssicher- heit (vgl. W-ISDS Rz 2.12) und Leistungen der Dritten (vgl. W-ISDS Rz 2.15). Es können auch Verweise auf entspre- chende Dokumentationen gemacht werden (z.B. Netzwerksicherheit- und Dokumentation vgl. W-ISDS Rz 2.13.3). Die Beschreibung sollte einer unbeteiligten Person einen Überblick verschaffen, gleichzeitig verständlich und nach- vollziehbar formuliert sein.
b.3 Beschreibung der zu bearbeitenden Daten Beschreibung der Daten und Strukturen (z. B. verwendete Datenbank) und Feststellung der Rechtmässigkeit der vor- gesehenen Datenbearbeitung gemäss Anhang 2, Bst. A insbesondere: - Erfüllung einer allfälligen Anmeldepflicht beim Datenschutzbeauftragten des Kantons oder des EDÖB - Erstellung eines Bearbeitungsreglements
Hilfe dazu finden Sie im Template «Bearbeitungsreglement» sowei im Leitfaden zu den technischen und organisa- torischen Massnahmen des Datenschutzes im Anhang . Das Bearbeitungsreglement muss die Archivierungsvor- schriften des BSV beachten (vgl. WAF).
18
b.4 Architekturskizze / Kommunikationsmatrix Das Konzept enthält eine Architekturskizze und eine Kommunikationsmatrix, oder es ist hier auf das entsprechende aktuell gehaltene Dokument zu verweisen.
b.5 Beschreibung der zugrundeliegenden Technik Beschreibung der verwendeten Techniken wie Serverplattform, Betriebssystem(e), Systemumfeld, verwendete Netz- werke, Kryptographische Funktionen etc. Sie sollen so beschrieben sein, dass es vollständig ist und auch für Unbe- teiligte verständlich und nachvollziehbar. Oder es ist hier auf das entsprechende aktuell gehaltene Dokument zu ver- weisen.
c. Risikoanalyse, Schutzmassnahmen, und Restrisiken Steht aufgrund der bereits erfolgten Analysen (Risikovorprüfung und/oder Schutzbedarfsanalyse) fest, dass eine Be- arbeitung besonders schützenswerter Personendaten erfolgt, muss eine detaillierte Risikoanalyse erstellt werden wer- den. Das ISDS Konzept gibt Auskunft über die Restrisiken, die nach einer Risikoanalyse anhand der Excel-Datei vom BACS (zum Download auf der Webseite des BACS) und den berücksichtigten Schutzmassnahmen verbleiben. Die Risikoanalyse berücksichtigt unter anderem das (hohe) Risiko für die Persönlichkeit oder die Grundrechte der betroffe- nen Person, das sich ergibt aus: • der Verwendung neuer Technologie • dem Umfang der Bearbeitung besonders schützenswerter Personendaten • der Art, den Umständen und dem Zweck der Bearbeitung der Daten
In der Risikoanalyse werden die relevanten Risikofaktoren mit Blick auf die Konsequenzen bei Verfügbarkeit, Vertrau- lichkeit, Integrität und Nachvollziehbarkeit beurteilt. Als Ergebnis werden die Risiken aufgelistet und bewertet sowie eine Risikomatrix erstellt.
Datenschutz-Folgenabschätzung (DSFA) Diese enthält gemäss Gesetz (Art. 22 Abs. 3 DSG): • eine Beschreibung der geplanten Bearbeitung • eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Personen • die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte
Im Rahmen der DSFA sind folgende Schritte vorzunehmen: - Beschreibung der geplanten Datenbearbeitung - Bewertung der Risiken für die Grundrechte der betroffenen Person - Identifizierung der Massnahmen zum Schutz der Grundrechte - Bewertung der Auswirkungen der vorgesehenene Massnahmen, um zu beurteilen, ob ein hohes Risiko besteht
Persönlichkeitsschutz (privatrechtlich; Art. 28 ZGB) Die Persönlichkeit umfasst alle physischen, psychischen, moralischen und sozialen Werte einer Person, die ihr kraft ihrer Existenz zukommen.7 Damit ergibt sich ein weites Feld für mögliche Verletzungen, und es muss bewertet werden, wie hoch das Risiko ist, dass die betroffenen Personen eine Beeinträchtigung erleiden, und mit welchen Massnahmen letztere allenfalls vermieden werden können.
Beispiel: Risiko, dass Unberechtigte Kenntnis vom Gesundheitsschaden erfahren, was per se bereits eine moralische Beeinträchtigung ist, aber zusätzlich die Chancen auf dem Arbeitsmarkt beeinträchtigt, sollte die Information zu einem möglichen Arbeitgeber gelangen (und zu finanziellem Schaden führt). Mögliche Massnahmen: vor Weiterleitung der Daten an Arbeitgeber wird routinemässig die Einwilligung der betroffenen Person eingeholt.
7 Fey Marco, in: Baeriswyl Bruno/Pärli Kurt (Hrsg.), Datenschutzgesetz (DSG), Bern 2015, Art. 1 N 16) 19
Grundrechtsschutz (öffentlichrechtlich) Die Grundrechte sind in den Artikeln 7-35 der Bundesverfassung umschrieben. Im Zusammenhang mit Informations- systemen ist zu bewerten, wie hoch das Risiko ist, dass Grundrechte als Folge einer Datenbearbeitung beeinträchtigt werden könnten, und mit welchen Massnahmen solche Beeinträchtigungen begegnet werden könnte. Beispiel Rechtsgleichheit mit dem Diskriminierungsverbot gemäss Artikel 8 BV: Risiko, dass Unberechtigte Kenntnis von der Lebensform (z.B. gleichgeschlechtliche Partnerschaft) erhalten, und deshalb Betroffene womöglich Diskrimi- nierung bei der Arbeit zu gewärtigen haben. Mögliche Massnahmen: vor Weiterleitung der Daten an Arbeitgeber wird routinemässig die Einwilligung der betroffe- nen Person eingeholt. Weitere Hilfen/Hinweise: Merkblatt Datenschutz-Folgenabschätzung (DSFA) BSV und Vorlage.
Die Risikomatrix Die detaillierte Risikoanalyse kann anhand der eingebetteten Excel-Datei «DSFA Risikoanalyse» in der DSFA- Vor- lage vom BSV, in der Excel-Datei des BACS (zum Download auf der Webseite des BACS) oder gemäss eigenen oder kantonalen Vorlagen vorgenommen werden. Als Ergebnis der Risikoanalyse sind Schutzmassnahmen zu definieren und die Restrisiken zu beschreiben (siehe DSFA Vorlage BSV). Risiken die nicht oder ungenügend reduziert werden (aus der Restrisikomatrix rot oder gelb markiert), müssen im ISDS-Konzept ausgewiesen werden. Verbleiben im Rah- men der Datenschutz-Folgenabschätzung für die betroffenen Personen hohe Risiken für die Persönlichkeit oder die Grundrechte, ist der EDÖB nach Artikel 23 DSG zu konsultieren.
Der Entscheid darüber, ob bekannte Restrisiken in Kauf genommen werden, obliegt der Durchführungsstelle. Die Restrisiken sollen in das Risikomanagementsystem (RM) einfliessen (vgl. W-ISDS Rz 2.3 Ziff 1.c).
d. Wiederherstellung des Geschäftsbetriebes/Notfall Konzept (Quelle: BACS) Bei einem Schutzobjekt, das kritische Geschäftsprozesse unterstützt, ist ein Notfallkonzept zu erstellen. Das Template auf der Webseite des BACS bietet dazu eine Referenz. Dies beschreibt die Notfallplanung und Katastrophenvorsorge des Schutzobjekts, um die Aufrechterhaltung und Wie- derherstellung der Geschäftsfähigkeit in ausserordentlichen Situationen zu gewährleisten. Das Notfallkonzept hat auch zum Ziel die Überprüfung der schon mit dem Leistungserbringer bestehenden SLAs und allenfalls die Nachfüh- rung notwendiger Ergänzungen. In jedem Fall ist hier ein Verweis zu den BCM Dokumenten (vgl. W-ISDS Rz 2.17) auf Stufe Durchführungsstelle zu machen.
e. Einhaltung / Überprüfung / Abnahme der Schutzmassnahmen Zu beschreiben ist, wie die Einhaltung der Schutzmassnahmen geprüft wird. Dies gilt in Bezug auf angemeldete oder unangemeldete Revisionen und in Bezug auf Überprüfungen der Informationssicherheitsaktivitäten im Projekt und anschliessend im Betrieb. Beschrieben wird auch die Systemabnahmeprüfung: Neue und aktualisierte Systeme müssen während der Entwick- lungsprozesse eine gründliche Überprüfung und Verifizierung erfahren, einschliesslich der Vorbereitung einer detail- lierten Planung der Aktivitäten, Testeingaben und erwarteten Ausgaben unter verschiedenen Bedingungen. Wie bei internen Entwicklungsvorhaben sollten derartige Prüfungen zunächst vom Entwicklungsteam durchgeführt werden. Danach sollten unabhängige Abnahmeprüfungen unternommen werden (sowohl bei internen als auch bei ausgelager- ten Entwicklungsvorhaben), um sicherzustellen, dass das System wie erwartet (und nur wie erwartet) funktioniert (siehe ISO/IEC 27002:2022, A.5.8 und A.8.26). Der Umfang der Prüfungen sollte der Bedeutung und der Beschaffen- heit des Systems entsprechen. Zusammenfassung des durchgeführten Audits (wer, wann, was, Resultat).
f. Ausserbetriebnahme Beschreibt die zu beachtenden Punkte bei der Ausserbetriebnahme unter Berücksichtigung der Archivierungsvor- schriften (vgl. WAF Weisungen). Die Ausserbetriebnahme wird in der erweiterten ISDS Dokumentation beschrieben.
20
Anhang E4: Responsible-Rollen für die Umsetzung der W-ISDS-Anforderungen
Exemplarische Rollenzuordnung (Responsible) für die Umsetzung der Anforderungen der W-ISDS Dieses Beispiel dient als Hilfestellung; die konkrete Umsetzung kann bei den Durchführungsstellen abweichen.
Randziffer Anforderungen GL ISB AV DSB PL NSA
2.2 Grundaufbau des ISMS der Durchführungsstelle X
2.3 Informationssicherheitsleitlinien (X) X
2.4 Anforderungen an die Informationssicherheitsorganisation X
2.5 Anforderungen an Projekte im Bereich Informationssysteme X
2.6 Informationssicherheit bei Mobilgeräten und Mobile Working X
2.7.1 Personalsicherheit X
2.7.2 Information und Schulung X
2.7.3 Änderung der Verhältnisse X
2.8.1 Inventar aller Informationssysteme X
2.8.2 ISDS-Basisdokumentation X
2.8.3 Erweiterte ISDS-Dokumentation X
2.8.4 Aktualität der ISDS-Dokumentation X
2.8.5 Anwendungsverantwortlicher X
2.9 Zugriffssteuerung zu den Informationssystemen X
2.10.1 Kryptographie X
2.11.1 Sicherheitsdispositiv für Räumlichkeiten X
2.11.2 Massnahmen für Geräte und Betriebsmittel X
2.12 Massnahmen für die Betriebssicherheit X
2.13 Netzwerk- und Kommunikationssicherheit X
(W-ISDS Rz 2.13.1 - 2.13.4)
2.14 Änderungen an Informationssystemen X
2.15.1 Verträge mit Dritten X
2.15.2 Verwendung von M365 X (X)
2.16 Management von Informationssicherheitsvorfällen X
2.17 Aufrechterhaltung der Informationssicherheit (BCM) X
2.18 Richtlinienkonformität X
Rollenkombinationen sind zulässig, sofern Funktionstrennungen gewahrt bleiben, keine sicherheitsrelevanten Interessenskonflikte entstehen und die Unabhängigkeit risikorelevanter Kontrollfunktionen sichergestellt ist. Die Durchführungsstelle dokumentiert ge- troffene Rollenkombinationen nachvollziehbar und stellt sicher, dass fachliche Kompetenz sowie Ressourcen für jede Rolle gewährleis- tet sind.
21
Anhang E5: Hilfsmittel und Vorlagen
# Hilfsmittel / Vorlage Quelle Download
https://www.bj.admin.ch/bj/de/home/staat/daten-
1 Instrument für die Risikovorprüfung BJ
schutz/info-bundesbehoerden.html
Merkblatt und Vorlage
2 BSV https://sozialversicherungen.admin.ch/de/f/20762
Datenschutz-Folgenabschätzung (DSFA)
https://sozialversicherungen.admin.ch/de/d/20903/down-
3 Schutzbedarfsanalyse (Schuban) BSV
load
https://sozialversicherungen.admin.ch/de/d/20905/down-
4 IKT-Grundschutz BSV
load
https://sozialversicherungen.admin.ch/de/d/20907/down-
5 ISDS-Konzept BSV
load
https://www.ncsc.admin.ch/ncsc/de/home/dokumenta-
6 Risikoanalyse BACS tion/sicherheitsvorgaben-bund/sicherheitsverfahren/er-
hoehter-schutz.html Bearbeitungsreglement und Leitfaden zu den techni- 7 schen und organisatorischen Massnahmen des EDÖB https://www.edoeb.admin.ch/de/informatiksicherheit Datenschutzes (TOM) https://backend.edoeb.admin.ch/fileservice/sdweb-docs- Technische Empfehlung für die Protokollierung
8 EDÖB prod-edoebch-files/files/2024/11/05/7e0c13da-b62a-
gemäss Art. 4 DSV 41c1-a299-bff403be5f04.pdf
Leitfaden Implementierung eines ISMS nach https://www.isaca.de/publikationen/publikationen/leitfa- 9 ISACA ISO/IEC 27001:2022 eden.html
22