Eidgenössisches Departement des Innern EDI Bundesamt für Sozialversicherungen BSV
Weisungen zu den Audits über die Informations- sicherheit und den Datenschutz (WAID)
Gültig ab 1. Januar 2024
Stand: 20. April 2026
Hinweis Zur einfacheren Lesbarkeit wurde im gesamten Dokument die männliche Form verwen- det. Selbstverständlich sind dabei Personen aller Geschlechter mitgemeint.
d WAID (318.108.09)
01.24
2 von 28
Vorwort
Die Informationssysteme der 1. Säule sollen über die notwendige Stabilität und Anpassungsfähigkeit verfügen sowie die Informationssicherheit und den Datenschutz gewährleisten. Ob die Durchführungsstellen die von der Auf- sichtsbehörde festgelegten Anforderungen erfüllen, prüft die Revisionsstelle gestützt auf die BSV-Weisungen (Art. 68a Abs. 2 Bst. c AHVG, Art. 159 Bst. c AHVV und Art. 160 Abs. 5 AHVV). Das Kapitel 1umfasst sowohl die Anforderungen an die Kompetenz als auch an die Ausbildung der IT-Auditoren.
Das Kapitel 2 umfasst die Anforderungen an den Prüfprozess für das IT-Au- dit nach Art. 68a Absatz 2 Buchstabe c AHVG. Die Umsetzung der Anforde- rungen wird einen kontinuierlichen Adaptionsprozess erfordern. Zu diesem Zweck wird ein Reifegradmodell eingeführt, was durch die Revisoren bei ih- rer Prüfung zu berücksichtigen ist.
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
3 von 28
Inhaltsverzeichnis
Abkürzungen ................................................................................. 4
Kapitel 1: Anforderungen an die IT-Audit-Verantwortlichen ...... 5
1.1 Praktische Kenntnisse................................................ 5
1.2 Ausbildung und Fachkenntnisse ................................ 5
1.3 Persönliche Anforderungen ........................................ 5
1.4 Personensicherheitsprüfung....................................... 5
1.5 Prinzipien ................................................................... 6
Kapitel 2: Anforderungen an die IT-Audits .................................. 7 2.1 Grundsätze ................................................................ 7 2.2 Auditierte Stellen ........................................................ 7
2.3 Verantwortlichkeiten ................................................... 8
2.4 Prüfumfang und Ablauf .............................................. 9
2.5 Berichterstattung ........................................................ 9
2.6 Reifegradmodell ....................................................... 11
Kapitel 3: Inkrafttreten................................................................. 12 Anhang 1: Fragebogen für IT-Audits.......................................... 13
1 Prüfhandlungen ..................................................... 13
2 Fragebogen IT-Audit .............................................. 14
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
4 von 28
Abkürzungen
AHV Alters- und Hinterlassenenversicherung
AHVG Bundesgesetz über die AHV
AHVV Verordnung über die AHV
ALV Arbeitslosenversicherung
BSV Bundesamt für Sozialversicherung
CISA Certified Information Systems Auditor der ISACA
CISM Certified Information Security Manager der ISACA
CISSP Certified Information Systems Security Professional
ISACA Information Systems Audit and Control Association
ISB Informationssicherheitsbeauftragter
ISC International Information Systems Security Certification Consortium
ISMS Informationssicherheit-Management-System
Rz Randziffer
TÜV Technischer Überwachungsverein
ZAS Zentrale Ausgleichsstelle
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
5 von 28
Kapitel 1: Anforderungen an die IT-Audit-Verantwortlichen
1.1 Praktische Kenntnisse
1 Die Revisoren beurteilen im Rahmen ihrer Prüfungen, ob die Durch-
führungsstellen die Anforderungen gemäss Artikel 72a Absatz 2 Buchstabe b AHVG erfüllen. Für das erforderliche Fachwissen wei- sen die Revisoren praktische Kenntnisse in folgenden Bereichen vor: - Informationssicherheit; - Datenschutz; - IT-Audit.
1.2 Ausbildung und Fachkenntnisse
2 Folgende Anforderungen an die Ausbildung und an die Fachkennt-
nisse müssen vom IT-Audit-Verantwortlichen erfüllt sein:
• eine abgeschlossene Ausbildung an einer Hochschule, einer Fachhochschule oder einer höheren Fachschule von mindes- tens einem Jahr Dauer mit Schwerpunkt Informationssicherheit und Datenschutz oder • eine mindestens zweijährige praktische Tätigkeit im Bereich In- formationssicherheit oder IT-Audit als Mitglied von Revisions- teams zugelassener Revisionsgesellschaften. Diese kann auch durch anerkannte Berufszertifizierungen vorgewiesen werden wie beispielsweise: • CISA der ISACA oder Lead Auditor des TÜV oder • CISM der ISACA bzw. CISSP des ISC.
1.3 Persönliche Anforderungen
3 Die IT-Audit-Verantwortlichen haben keine persönlichen Beziehun-
gen oder Interessen zu der auditierten Stelle. Sie sind unabhängig und unbefangen.
1.4 Personensicherheitsprüfung
4 Der leitende Revisor gemäss Art. 68 Abs. 2 AHVG stellt sicher, dass
der IT-Audit-Verantwortliche über einen unbescholtenen Leumund gemäss Art. 5 Abs. 1 Bst. a RAG verfügt.
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
6 von 28
1.5 Prinzipien
5 Die IT-Audit-Verantwortlichen halten sich an folgende Prinzipien:
• Ethisches Verhalten: Die IT-Audit-Verantwortlichen wahren die Vertraulichkeit der Informationen und Auskünfte; • Sachliche Darstellung: Die IT-Audit-Verantwortlichen berichten wahrheitsgemäss über die Untersuchungsergebnisse und stel- len den Sachverhalt nachvollziehbar dar. Die Prüfungsergeb- nisse der IT-Audit-Verantwortlichen müssen wiederholbar sein (bei unverändertem Sachstand); • Angemessene Sorgfalt: Die IT-Audit-Verantwortlichen gehen beim Auditieren sorgfältig um. Deren Urteilsvermögen ist uner- lässliche Voraussetzung für sachgerechte und fundierte Audits; • Nachweise: Die Prüfberichte sind verifizierbar. Die Ergebnisse können auf Stichproben der verfügbaren Informationen beru- hen, da ein Audit während eines begrenzten Zeitraumes vorge- nommen wird. Die Auswahl der Stichproben ist relevant und wird in einem sinnvollen Umfang vorgenommen.
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
7 von 28
Kapitel 2: Anforderungen an die IT-Audits
2.1 Grundsätze
6 Das IT-Audit richtet sich nach folgenden Grundsätzen:
• Der Inhalt des Audits basiert auf allgemeinen IT-Kontrollen und stimmt mit der Reihe der international anerkannten und etablier- ten ISO 27000-Normen überein; • Das IT-Audit wird risikobasiert durchgeführt; • Die jährlichen Prüfungen in einem Auditjahr decken die Periode zwischen dem vorangehenden und aktuellen Audit ab. Liegt kein vorheriger Audit als Referenz vor, wird der Stand zum Zeit- punkt des aktuellen Audits geprüft. • Das BSV kann Prüfungsschwerpunkte festlegen. • Der IT-Audit-Verantwortliche kann zusätzlich nach seinem Er- messen beim IT-Audit weitere Schwerpunkte setzen.
2.2 Auditierte Stellen
7 Folgende Stellen werden IT-auditiert:
• Alle Durchführungsstellen sofern diese selbst nicht nach ISO
27001 zertifiziert sind oder einen ISAE 3000 Typ1 oder Typ 2
Prüfbericht vorweisen können. Dafür weisen die Durchführungs- stellen ihren Zertifizierungs- oder Prüfbericht der Revisionsstelle vor; • Die Familienausgleichskassen, sofern die Ausgleichskassen die Familienzulagen als übertragene Aufgabe ausrichten; • Wenn mehrere Ausgleichskassen, die in Personalunion geleitet werden, exakt dieselben Informationssysteme verwenden, ge- nügt ein gemeinsames Audit. Der Auditbericht muss sämtliche betroffenen Ausgleichskassen vollständig abdecken und diese ausdrücklich benennen. • Dritte, die im Auftrag einer auditierten Durchführungsstelle IT- Dienstleistungen erbringen, potentiell Zugang zu sozialversiche- rungsrechtlichen Daten haben oder die Bearbeitung über-neh- men (gem. Rz 2.15 W-ISDS), sofern sie nicht ISO 27001 zertifi- ziert sind, einen ISAE 3000 Prüfbericht Typ 1 oder Typ 2 oder über einen gültigen Auditbericht gemäss Rz 14 WAID verfügen. Ein solcher Auditbericht kann von allen Durchführungsstellen, EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
8 von 28
die die Leistungen dieses Dritten nutzen und deren Revisions- stellen, als gültiger Nachweis anerkannt werden, sofern er nach den WAID-Vorgaben und von einer Auditstelle erstellt wurde, die den in der WAID festgelegten Anforderungen entspricht. Eine bestehende ISO/IEC-27001-Zertifizierung schliesst nicht aus, dass der Auditor im Rahmen seines pflichtgemässen Er- messens zusätzliche Prüfungshandlungen bei den Dritten vor- nimmt, sofern dies für die abschliessende Beurteilung relevan- ter Kontrollen oder Sachverhalte notwendig ist. Es wird empfohlen, dass Vertragspartner, welche über einen gültigen Auditbericht, eine gültige ISO 27001 Zertifizierung oder einen gültigen ISAE 3000 Prüfbericht verfügen diesen an alle Durchführungsstellen, welche Kunden des entsprechenden Partners sind, übermitteln.
2.3 Verantwortlichkeiten
8 Die Leitung der Durchführungsstelle ist verantwortlich für die Einhal-
tung der W-ISDS-Anforderungen. Sie stellt sicher, dass der IT-Au- dit-Verantwortliche seine Aufgabe erfüllen kann, stellt die notwendi- gen Informationen zur Verfügung und ist gegenüber dem IT-Auditor die Hauptansprechperson.
9 Der Informationssicherheitsbeauftragte der Durchführungsstelle
steht dem BSV und dem IT-Audit-Verantwortlichen als Kontaktper- son zur Verfügung.
10 Die Revisionsstelle ist für die Durchführung des IT-Audits verant-
wortlich und kann den entsprechenden Auftrag sowohl intern als auch an externe Dritte erteilen. In Absprache mit der Revisionsstelle kann das IT-Audit auch von der Durchführungsstelle in Auftrag ge- geben werden. Die Revisionsstelle bleibt aber verantwortlich. Der IT-Audit-Verantwortliche ist für die Einhaltung der Anforderungen zu- ständig.
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
9 von 28
2.4 Prüfumfang und Ablauf
11 Mit der Prüfung der Informationssysteme wird die Verfügbarkeit des
ISMS gemäss der W-ISDS kontrolliert.
12 Die Prüfung umfasst folgende Schritte:
• Überprüfung der Massnahmen, die als Reaktion auf das letzte Audit ergriffen wurden; • Überprüfung der Wirksamkeit der vom ISB definierten Mass- nahmen im Rahmen des ISMS; • Bearbeitung des vom BSV standardisierten IT-Audit-Fragebo- gens (vgl. Anhang 1); • Erstellung eines IT-Auditberichts (siehe Rz. 14 ff.); • Überprüfung des IT-Auditberichts durch den ISB der auditierten Stelle und Stellungnahme des ISB zu den vom IT-Audit-Verant- wortlichen gerügten Mängeln und vorgeschlagenen Massnah- men; • Übernahme der Stellungnahme des ISB in den definitiven IT- Auditbericht; • Zustellung des IT-Auditberichts durch den leitenden Revisor in- nert Monatsfrist nach Abschluss des IT-Audits gleichzeitig dem Kanton bzw. Gründerverbänden, dem Kassenvorstand, dem BSV, der ZAS und der auditierten Durchführungsstelle.
2.5 Berichterstattung
13 Die IT-Auditberichte sind kurz, eindeutig und kritisch zu verfassen.
Sie enthalten alle für die leitenden Organe der Durchführungsstellen sowie den Aufsichtsbehörden wesentlichen Feststellungen. Dabei sind Eigenheiten der jeweiligen Durchführungsstelle aufzuführen und zu berücksichtigen.
14 Der Inhalt der Berichterstattung umfasst mindestens:
• Versionisierungsprotokoll; • Übersicht/Management Summary; • Ergebnis des IT-Audits: EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
10 von 28
1. Zusammenfassung mit Angaben zur auditierten Stelle und
Verteiler;
2. Übersicht über die Feststellungen des vorangehenden IT-
Audits und dem Stand der Umsetzung der vorgeschlage- nen Massnahmen;
3. Aufführung der geprüften IT-Umgebung und der getesteten
Kontrollen. Darstellung der Prüfhandlungen und Prüftiefe;
4. Detaillierte Ergebnisse zu den geprüften Punkten je Haupt-
kapitel der W-ISDS;
5. Ergebnisse der Schwerpunktprüfung;
6. Gesamtbeurteilung;
7. Verbesserungsvorschläge;
8. Der Revisor bestätigt, dass der IT-Audit-Verantwortliche
die Anforderungen nach Randziffer 2 und 3 erfüllt;
9. Die IT-Auditoren bestätigen im Prüfbericht, dass sie unab-
hängig sind und dass die Ergebnisse im Prüfbericht auf ei- gene Prüfungen beruhen sowie dass sie keine persönli- chen Interessen oder Beziehungen zu der auditierten Stelle haben.
10. Der beantwortete IT-Fragebogen gemäss Anhang 1.
Bei der Vorlage einer ISO 27001 Zertifizierung oder eines ISAE
3000 Typ 1 oder Typ 2 Prüfberichts muss die Revisionsstelle Fol-
gendes verifizieren:
• ISO 27001: - Der Anwendungsbereich des zertifizierten ISMS umfasst alle relevanten Organisationseinheiten und Geschäftsprozesse der Durchführungsstellen - In der Anwendbarkeitserklärung des ISMS ist keine der in der W-ISDS geforderten Sicherheitsmassnahmen ausgeschlos- sen - Im (Re-)Zertifizierungs-Audit wurden alle in der W-ISDS ge- forderten Sicherheitsmassnahmen überprüft.
• ISAE 3000 Typ 1: - Der Prüfbericht referenziert auf alle festgelegten Anforderun- gen der Weisung W-ISDS EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
11 von 28
• ISAE 3000 Typ 2: - Der Prüfbericht wurde mit hinreichender Sicherheit und zeit- raumgeprüft erstellt und nach W-ISDS definierten Kontrollen geprüft.
2.6 Reifegradmodell
15 Die Bewertung der Ergebnisse basiert auf dem IT-Audit-Fragebo-
gen. Der Grad der Konformität wird mit dem Reifegrad der IT-Si- cherheitsorganisation der auditierten Stelle wie folgt definiert:
Grad der Abweichung Beschreibung Reifegrad Erfüllung
Erfüllt Keine Mit den bestehenden Mass- 4 nahmen werden die BSV- Anforderungen gemäss den entsprechenden Kontrollen vollständig erreicht. Erfüllt mit Be- Keine Mit den bestehenden Mass- 3 merkungen nahmen werden die BSV- Anforderungen gemäss den entsprechenden Kontrollen vollständig erreicht. Eine An- merkung wird dennoch ge- macht. Teilweise er- Feststellungen Mit den bestehenden Mass- 2 füllt nahmen werden die BSV- Anforderungen gemäss den entsprechenden Kontrollen nur teilweise erreicht. Nicht erfüllt Feststellungen Die BSV-Anforderungen ge- 1 mäss den entsprechenden Kontrollen werden nicht er- reicht.
Besteht ein begründeter Verdacht, dass eine Durchführungsstelle ihre Pflichten zur Umsetzung der Anforderungen an die Informationssicherheit und den Datenschutz gemäss W-ISDS Randziffern 2.1 bis 2.18 nicht erfüllt
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
12 von 28
(Reifegrad 1), kann das BSV gestützt auf Art. 72b AHVG geeignete auf- sichtsrechtliche Massnahmen anordnen. Dazu gehören insbesondere die Anordnung eines ausserordentlichen Audits auf Kosten der Durchführungs- stelle, die Anforderung zusätzlicher Nachweise oder die Festlegung von Massnahmen mit Frist.
Kapitel 3: Inkrafttreten
16 Diese Weisungen treten auf den 1. Januar 2024 in Kraft.
Die ersten IT-Audits werden per 1. Januar 2025 durchgeführt.
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
13 von 28
Anhang 1: Fragebogen für IT-Audits
1 Prüfhandlungen
Prüfhandlung Kommentar
Analyse der Dokumentation Die Anforderung aus der W-ISDS wird mittels Analyse der vorhandenen Dokumentation überprüft. Dabei wird zwischen SOLL- und IST- Dokumentation unterschieden.
SOLL-Dokumentation: Vorgaben, Richtlinien, Konzepte Pläne, Hand- lungsanweisungen etc. IST-Dokumentation: Nachweise der Umsetzung der SOLL-Doku- mentation. Daten-Exporte, Aufzeichnungen (Logs), Protokolle, Screenshots
Systemprüfung Die Anforderung aus der W-ISDS wird direkt auf dem entsprechenden Informationssystem überprüft. Eine Prüfung am System sollte über einen Zugriff durch den jeweiligen Zu- ständigen/Verantwortlichen unter Aufsicht des Auditors erfolgen. Als Nachweis können z.B. Screenshots erstellt werden.
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
14 von 28
2 Fragebogen IT-Audit
Referenz Referenz Fragestellung Erforderliche Randziffer (Rz) W-ISDS ISO 27001:2022 Prüfhandlung
2 Anforderungen
2.1 Informationssicherheits- 4.4 Hat die Durchfüh- Analyse der
Management-System ISMS) rungsstelle ein ISMS Dokumentation aufgebaut und im Ein- satz?
2.2 Aufbau ISMS
a) Festlegung sicher- 4.1 Wurden die sicher- Analyse der heitsrelevanter The- heitsrelevanten The- Dokumentation men und Tätigkeiten men und Tätigkeiten der DS identifiziert und dokumentiert?
b) Identifikation der dabei 4.2 Wurden die für die In- Analyse der involvierten Stellen formationssicherheit Dokumentation der DS involvierten Stellen identifiziert, do- kumentiert?
c) Inventar der Informati- A.5.9 Wird ein Inventar der Analyse der onssysteme und IT-re- Informationssysteme Dokumentation levanten Aktivitäten und IT-relevanten Akti- vitäten geführt. Wird das Inventar der Informationssysteme regelmässig, d. h. min- destens einmal jährlich aktualisiert? Existiert ein Prozess für die Neuauf- nahme/den Austritt von Systemen und IT- Aktivitäten in das In- ventar der Informati- onssysteme?
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
15 von 28
d) Anwendungsbereich 4.3 Wurden die Bereiche Analyse der des ISMS ist definiert der DS, welche unter Dokumentation das ISMS fallen, defi- niert und dokumen- tiert? Sind allfällige nicht in den Anwendungsbe- reich des ISMS fal- lende Bereiche aufge- führt und falls nein, ist die ganze Organisa- tion als Anwendungs- bereich angegeben?
e) Das ISMS und seine 4.4 Gibt es sichtbare Analyse der Komponenten werden Handlungen zur lau- Dokumentation regelmässig aktualisiert fenden Aktualisierung und Verbesserung des ISMS? [Anm: üblicherweise wird in einem ISMS eine Liste von Verbesserungsopportunitä- ten geführt und der KVP so dokumentiert und nachvoll- ziehbar gemacht] Gibt es sichtbare Handlungen zur jährli- chen Überprüfung der Aktualität des ISMS?
2.3 Informationssicherheits- A.5.1 Wurden Informations- Analyse der
richtlinien sicherheitsleitlinien er- Dokumentation A.5.3 lassen und an die Mit- A.5.5 arbeitenden und be- A.5.24 auftragte Dritte kom- muniziert, welche die aufgeführten Punkte beinhalten?
2.4 Anforderungen an die A.5.2 Besteht ein Organi- Analyse der
Informationssicherheitsor- gramm der Informati- Dokumentation ganisation onssicherheitsorgani- sation und wurde es kommuniziert? Wissen die im Organi- gramm bezeichneten Personen welche Auf- gaben sie erfüllen
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
16 von 28
müssen und welche Verantwortung sie ha- ben? Hat die DS mindes- tens eine zentrale Rolle für die Informati- onssicherheit (z. B. ISB, CISO oder gleichwertig) sowie weitere relevante Rol- len benannt und doku- mentiert? Sind die Aufgaben der zentralen Rolle sowie der weiteren Perso- nen, die Schlüsselauf- gaben in der Umset- zung der Informations- sicherheit wahrneh- men, verbindlich doku- mentiert (z. B. in Pflichtenheften oder Stellenbeschreibun- gen)?
2.5 Anforderungen an Pro- A.5.8 Besteht eine definierte Analyse der
jekte im Bereich Informati- IT-Projektmanage- Dokumentation onssysteme mentmethode, welche den geforderten Punk- ten entsprechen? Sind IT-Projekte er- kennbar, in denen die Projektmanagement- methode angewendet wurde?
2.6 Informationssicherheit A.6.7 Wurde eine Richtlinie Analyse der
bei Mobilgeräten und zum Mobile Working Dokumentation A.8.1 Mobile Working und Mobilen Geräten / BYOD erstellt und kommuniziert? Enthält diese Richtlinie die in den Weisungen geforderten Elemente?
2.7 Informationssicherheit
und Personal
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
17 von 28
2.7.1 Personalsicherheit A.6.1 – Bestehen Weisungen Analyse der
zu Pflichten im Um- Dokumentation A.6.5 gang mit Information, Geheimhaltung und IT-Systemen? Werden diese an be- auftragte Dritte und das eigene Personal kommuniziert? Besteht ein Prozess zur Rückgabe von In- formationen und IT- Mitteln nach Beendi- gung des Arbeitsver- hältnisses von MA bzw. des Auftragsver- hältnisses von beauf- tragten Dritten? Wird eine angemes- sene Sicherheitsprü- fung für MA mit Zugriff auf kritische Informati- onen, bzw. MA mit pri- vilegierten Zugriffen auf IT-Systeme durch- geführt und periodisch (min. einmal jährlich) aktualisiert? Werden der ISB und weitere Schlüsselrol- len der Sicherheitsor- ganisation spezifisch mit einer Personensi- cherheitsprüfung über- prüft? Beinhaltet die Perso- nensicherheitsprüfung des ISB und weiterer Schlüsselrollen eine Überprüfung des Straf- registers und Betrei- bungsregisters?
2.7.2 Information und A.5.4 Werden mindestens Analyse der
Schulung jährlich Schulungen Dokumentation A.6.3 und Sensibilisierungen
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
18 von 28
A.6.4 der Mitarbeitenden durchgeführt? Besteht ein Konzept für die Schulung und Sensibilisierung von Mitarbeitenden? Haben die Mitarbeiten- den Kenntnis der für sie geltenden Pflichten und Weisungen be- züglich der Informati- onssicherheit?
2.7.3 Änderung der Verhält- A.6.5 Besteht ein definierter Analyse der
nisse Prozess zur systemati- Dokumentation schen Anpassung der Zutritts- und Zugriffs- berechtigungen bei Anpassung des An- stellungs- oder Auf- tragsverhältnisses oder der Nutzerverein- barung? Besteht ein definierter Prozess zur Behand- lung unbenutzter Kon- ten und wird dieser be- folgt?
2.8 IS-Schutzobjekte:
Inventar, ISDS-Dokumenta- tionen und weitere Anforde- rungen
2.8.1 Asset Inventar A.5.9 Werden alle Informati- Analyse der
onssysteme der DS in Dokumentation einem Inventar geführt und wird das Inventar stets aktuell gehalten?
2.8.2 ISDS-Basisdokumen- A.5.10 Bestehen ISDS-Doku- Analyse der
tation mentationen für die Dokumentation A.5.12 Projekte und Informati- A.5.13 onssysteme und ent- sprechen sie qualitativ und quantitativ dem in der
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
19 von 28
W-ISDS Anhang 4 ge- gebenen Muster? Beinhalten diese Ba- sisdokumentationen die in der W-ISDS un- ter Rz 2.8.2 Punkt 2 geforderten Elemente pro Informationssys- tem?
2.8.3 Erweiterte ISDS-Do- A.5.10 Wurden für IT-Sys- Analyse der
kumentation teme, mit dem beson- Dokumentation A.5.12 ders schützenswerte A.5.13 Personendaten bear- beitet werden, erwei- terte ISDS-Dokumen- tationen erstellt, wel- che die in der W-ISDS unter Rz 2.8.3 definierten Themen beinhalten?
2.8.4 Aktualität der ISDS- - Entsprechen die ISDS- Analyse der
Dokumentationen Dokumentationen der Dokumentation betriebenen Informati- onssysteme den aktu- ellen Verhältnissen?
2.8.5 Anwendungsverant- A.5.9 Ist im Asset-Inventar Analyse der
wortlicher für jedes Schutzobjekt Dokumentation eine verantwortliche Person bestimmt wor- den? Haben diese Personen Kenntnis von ihren Verantwortlichkeiten?
2.9 Zugriffssteuerung zu A.5.15 – Existiert ein dokumen- Analyse der
den Informationssystemen tiertes Zugriffssteue- Dokumentation A.5.18 rungskonzept, welches wenigstens die in der Systemprüfung A.8.2 – W-ISDS Rz 2.9 aufge- listeten Punkte bein- A.8.5 haltet? Sind alle Zugriffe (inkl. automatisierten Pro- zessen mit machine- to-machine-Zugriff) auf
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
20 von 28
Informationssysteme mit einer dem Schutz- bedarf entsprechen- den Authentifikation und nötigenfalls adä- quaten kryptographi- schen Massnahmen gemäss der definierten Zugriffsmatrix ge- schützt? Wird für die Zugriffe das Prinzip des «least privilege» umgesetzt? Werden die Zugriffe auf besonders schüt- zenswerte Personen- daten gemäss Art. 4 DSV protokolliert? Werden die Richtigkeit und Zweckmässigkeit der Zugriffe mindes- tens jährlich geprüft?
2.10 Kryptographie
2.10.1 Kryptographische A.8.24 Entsprechen die ein- Analyse der
Methoden und Verfahren gesetzten kryptogra- Dokumentation phischen Verfahren und Methoden den an- Systemprüfung erkannten Regeln der Technik? Werden beim Einsatz von Schlüsselzertifika- ten dieselben, abhän- gig vom jeweiligen An- wendungsfall und den damit verbundenen gesetzlichen Anforde- rungen, von einer an- erkannten Certificate Autorithy (CA) ausge- stellt? Werden die kryptogra- phischen Schlüssel si- cher verwaltet und wird deren Gültigkeit sichergestellt?
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
21 von 28
2.11 Physischer Schutz
2.11.1 Sicherheitsdispositiv A.7.1 – A.7.3 Sind die Informations- Analyse der
für Räumlichkeiten systeme mit gemäss Dokumentation ihrer zugewiesenen A.7.5 Schutzgruppe adäqua- ten physischen Schutzmassnahmen geschützt? • Physische Sicher- heitsperimeter (Lage der Umge- bung und bauliche Massnahmen) • Physische Zutritts- steuerung • Sichern von Büros, Räumen und Ein- richtungen • Schutz vor exter- nen und umweltbe- dingten Bedrohun- gen
2.11.2 Massnahmen für Ge- A.7.7 – Sind die folgenden Analyse der
räte und Betriebsmittel A.7.14 Massnahmen zum Dokumentation Schutz von Geräten A.8.1 und Betriebsmitteln an- gemessen umgesetzt? • Platzierung und Schutz von Gerä- ten und Betriebs- mitteln • Versorgungsein- richtungen • Sicherheit der Ver- kabelung • Instandhalten von Geräten und Be- triebsmitteln • Entfernen von Wer- ten • Sicherheit von Ge- räten, Betriebsmit- teln und Werten
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
22 von 28
ausserhalb der Räumlichkeiten • Sichere Entsorgung oder Wiederver- wendung von Gerä- ten und Betriebs- mitteln • Unbeaufsichtigte Benutzergeräte • Richtlinie für eine aufgeräumte Ar- beitsumgebung und Bildschirm- sperren
2.12 Massnahmen für die A.5.37 Verfügt die DS über Analyse der
Betriebssicherheit einen Change-Ma- Dokumentation nagement Prozess? Systemprüfung Sind Entwicklungs- A.8.6 – Test- und Betriebsum- A.8.8 gebungen getrennt voneinander? Sind Anforderungen A.8.13 zum Schutz vor Mal- A.8.15 ware analysiert und geeignete Massnah- A.8.17 men umgesetzt wor- A.8.19 den? A.8.31 Bestehen geeignete Backup-Konzepte und A.8.32 werden diese regel- A.8.34 mässig überprüft? Wird das Netzwerk und die Systeme mit geeigneten Mitteln überwacht und werden Ereignisse sichtbar ge- macht? Werden Vulnerability Scans regelmässig durchgeführt? Werden die dabei entdeckten Schwachstellen beho- ben?
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
23 von 28
Werden Softwarein- stallationen gemäss einem strukturierten Prozess durchgeführt (d.h. Installation nur durch geschultes Per- sonal, Konfigurations- und Systemdokumen- tationen vorhanden, Neue Applikationen und Software wird vor Einführung getestet, insbesondere auf Si- cherheitsimplikatio- nen)? Wurde bei Informati- onssystemen mit ei- nem erhöhten Schutz- bedarf eine Integritäts- prüfung durchgeführt? Werden die Informati- onssysteme regelmäs- sig auditiert (d.h. min. einmal jährlich) und die Auswirkungen mit- tels Auditmassnahmen entsprechend mini- miert?
2.13 Kommunikationssi-
cherheit (Informationsüber- tragung
2.13.1 Architekturdokumen- - Verfügt die DS über Analyse der
tation eine Dokumentation Dokumentation der Netzwerkarchitek- tur ihrer im Asset In- ventar geführten Infor- mationssysteme, wel- che die Topologie der eigenen und fremden Netzwerke und die da- rin befindlichen aktiven Komponenten um- fasst?
2.13.2 Zugriffsmatrix - Verfügt die DS über Analyse der
eine Zugriffsmatrix, die Dokumentation
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
24 von 28
festlegt, wie Personen und automatisierte Prozesse (Maschi- nen/Software) auf die in den verschiedenen Netzzonen betriebe- nen Informationssys- teme zugreifen kön- nen, bzw. wie diese zu authentifizieren und al- lenfalls auch zu autori- sieren sind?
2.13.3 Netzwerksicherheit A.5.14 Verfügt die Durchfüh- Analyse der
und -dokumentation rungsstelle über Richt- Dokumentation A.6.6 linien zur Netzwerksi- cherheit und beinhal- A.8.20 – ten diese unter ande- rem die Zuständigkei- A.8.22 ten der Verwaltung von Netzwerken und Netzwerkübergängen? Besteht ein Nutzungs- reglement zu den von den DS verantworte- ten Netzwerken in dem der Anschluss von fremden Kommu- nikationsendgeräten, die Regelung der Netzübergänge sowie der Remote Access geregelt ist? Ist die Netzwerkstruk- tur adäquat zoniert, segmentiert und konfi- guriert? Werden die Netzwerke in der Verantwortlich- keit der DS überwacht und vor Angriffen und unberechtigten Zugrif- fen geschützt? Sind für Netze, welche nicht in den Verant- wortlichkeitsbereich der DS liegt und deren
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
25 von 28
Nutzung nicht vertrag- lich geregelt sein kann (z.B. Internet), Sicher- heitsmassnahmen um- gesetzt? Sind alle Netz- werkstrukturen und die jeweiligen Zuständig- keiten dokumentiert?
2.13.4 Geschützte Informa- A.5.14 Werden die Daten bei Analyse der
tionsübertragung der Informationsüber- Dokumentation A.6.6 tragung über eigene Netze, vertraglich ge- regelte Netze oder fremde Netze mit ge- eigneten Massnahmen unter Berücksichtigung ihres in der ISDS-Do- kumentation festgehal- tenen Schutzbedarfs, ausreichend ge- schützt? Sind die verschiede- nen Schutzniveaus bei der Datenübermittlung bei den Mitarbeitenden bekannt und Nutzen die Mitarbeitenden entsprechend geeig- nete Übertragungsmit- tel? (z.B. E-Mail-Ver- schlüsselung, gesi- cherter File-Transfer, usw.).
2.14 Änderungen an Infor- A.5.8 Ist die Sicherheit über Analyse der
mationssystemen den gesamten Le- Dokumentation benszyklus von Infor- A.8.25 – mationssystemen hin- A.8.27 weg fester Bestandteil und werden dabei die spezifischen, in der A.8.29 – ISDS-Dokumentation definierten Sicher- A.8.33 heitsanforderungen berücksichtigt?
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
26 von 28
Werden die ISDS-Do- kumentationen bei Veränderungen an In- formationssystemen oder ansonsten min- destens alle 5 Jahre aktualisiert? Existiert dazu ein Pro- zess? Wird die gemäss W- ISDS Rz 2.5 gefor- derte IT-Projekt-Me- thode auch bei Ände- rungen an Informati- onssystemen ange- wendet? Werden bei Änderun- gen an Informations- systemen die gemäss W-ISDS Rz 2.12 Bst. A, Punkt 4 definierten Anforderungen hin- sichtlich Trennung von Entwicklungs-, Test- und Betriebsumgebun- gen berücksichtigt? Werden Testdaten, die beim Testen von Sys- temen und System- funktionen anfallen, geschützt?
2.15 Verträge mit Dritten A.5.19 – Beinhalten die Ver- Analyse der
(Lieferantenbeziehungen) träge mit Dritten Dokumentation A.5.21 Dienstleistungserbrin- gerinnen, die potenzi- ellen Zugang zu sozi- alversicherungsrechtli- chen Daten haben oder diese Daten im Auftrag bearbeiten, die Verpflichtung zur Ein- haltung sämtlicher Schutzvorschriften und der die Leistungen konkret betreffenden Anforderungen?
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
27 von 28
Beinhalten die Ver- träge ebenfalls Kon- trollmassnahmen zur Einhaltung dieser Ver- pflichtungen sowie Konventionalstrafen für den Fall der Verlet- zung dieser Vorschrif- ten? Sind Dienstleistungen, die von Dritten im Aus- land angeboten wer- den, ausgewiesen und begründet? Wird sichergestellt, dass keine Personen- daten von Versicher- ten im Ausland bear- beitet werden? (Aus- ser es handelt sich um eine in der W-ISDS Rz
2.15.1 Punkt 4 er-
wähnte Ausnahme (in- ternationaler Daten- austausch)) Werden bei der Nut- zung von Cloud-Diens- ten die in der W-ISDS
Rz 2.15.2 erwähnten
Cloud-Prinzipien be- rücksichtigt?
2.16 Management von In- A.5.24 – Stellt der ISB sicher, Analyse der
formationssicherheitsvorfäl- dass Meldungen über Dokumentation A.5.28 len Sicherheitsvorfälle in Zusammenhang mit A.6.8 Informationssystemen adäquat bearbeitet, dokumentiert und aus- gewertet werden, um die Eintrittswahr- scheinlichkeit oder die Auswirkungen von künftigen Vorfällen zu minimieren?
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)
28 von 28
Verfügt die Durchfüh- rungsstelle über vor- bereitete Reaktions- und Kommunikations- pläne für Sicherheits- vorfälle, welche sicher- stellen, dass die ge- eigneten Massnahmen durch die zuständigen Personen getroffen werden?
2.17 Aufrechterhaltung der A.5.29 Verfügt die DS über Analyse der
Informationssicherheit (Bu- Pläne, um bei Störfäl- Dokumentation A.8.14 siness Continuity Manage- len, Notfällen und Ka- ment BCM) tastrophenfällen den Betrieb des IS- Schutzobjektes auf- rechtzuerhalten und wiederherzustellen? Werden diese Pläne regelmässig, d.h. min- destens einmal jährlich getestet?
2.18 Richtlinienkonformität A.5.31 – Wurden allfällige mit Analyse der
dem IKS, QMS und Dokumentation A.5.36 RM erkannte Mängel im Zusammenhang mit A.8.8 den Informationssyste- men behoben? (unab- hängig davon, ob diese bereits in einer aufsichtsrechtlichen Revision festgestellt worden sind.)
EDI BSV | Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)