Lexipedia

AS 2007 3401

Verordnung über den Schutz von Informationen des Bundes

Verordnung über den Schutz von Informationen des Bundes (Informationsschutzverordnung, ISchV)

vom 4. Juli 2007

Der Schweizerische Bundesrat, gestützt auf die Artikel 8 Absatz 1 und 43 Absatz 2 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 19971 (RVOG) sowie auf Artikel 150 Absatz 3 des Militärgesetzes vom 3. Februar 19952 (MG), verordnet:

1. Abschnitt: Allgemeine Bestimmungen

Art. 1 Gegenstand

1 Diese Verordnung regelt den Schutz von Informationen des Bundes und der

Armee, soweit er im Interesse des Landes geboten ist. Sie legt insbesondere deren Klassifizierung und Bearbeitung fest.

2 Vorbehalten bleiben spezialgesetzliche Bestimmungen.

Art. 2 Geltungsbereich Diese Verordnung gilt für: a. die Bundesverwaltung nach Artikel 6 der Regierungs- und Verwaltungs- organisationsverordnung vom 25. November 19983; b. die Angehörigen der Armee; c. Organisationen und Personen des öffentlichen oder privaten Rechts, die klassifizierte Informationen bearbeiten, soweit dies im Bundesrecht vor- gesehen ist oder entsprechend vereinbart wurde; d. eidgenössische und kantonale Gerichte, die klassifizierte Informationen bearbeiten, soweit dies im Bundesrecht vorgesehen ist.

SR 510.411

2007-0574 3401

Informationsschutzverordnung AS 2007

Art. 3 Begriffe In dieser Verordnung bedeuten: a. Informationen: Aufzeichnungen auf Informationsträgern und mündliche Äusserungen; b. Informationsträger: Träger von Informationen irgendwelcher Art, namentlich Schriftstücke und Träger von Text-, Bild-, Ton- oder andern Daten; Zwischenmaterial, namentlich Entwürfe, gelten ebenfalls als Informationsträger; c. Bearbeiten: jeder Umgang mit Informationen, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Erstellen, Benützen, Verarbeiten, Kopie- ren, Zugänglichmachen, Bekanntgeben, Übermitteln, Zur-Kenntnis-Nehmen, Aufbewahren, Archivieren und Vernichten; d. Verfasserin oder Verfasser: Person, Verwaltungseinheit, Kommandostelle oder Auftragnehmer, der oder die klassifizierte Informationen erstellt; e. Geheimnisträgerin oder Geheimnisträger: Person, der klassifizierte Informationen anvertraut wurden; f. Klassifizieren: eine konkrete Information dem Klassifizierungskatalog (Art. 8) entspre- chend beurteilen und mit dem Klassifizierungsvermerk formell kennzeich- nen; g. Entklassifizieren: den Klassifizierungsvermerk nach Wegfall der Schutzwürdigkeit streichen; h. Informatik- und Telekommunikationssysteme: Systeme und die auf ihnen vorhandenen Anwendungen und Datensamm- lungen; i. Informatiksicherheit: die Informatiksicherheit stellt die Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit bei der elektronischen Bearbeitung von Informatio- nen sicher; j. Codierung: Anwendung von Umschreibungen und Decknamen; k. Verschlüsselung: technische Umformung von Klartext, welche eine dem Stand der Technik entsprechende Qualität aufweist.

3402

Informationsschutzverordnung AS 2007

2. Abschnitt: Klassifizierungen

Art. 4 Klassifizierungsstufen 1 Wer schutzwürdige Informationen verfasst oder herausgibt, weist sie entsprechend dem Grad ihrer Schutzwürdigkeit einer der folgenden Klassifizierungsstufen zu: a. GEHEIM; b. VERTRAULICH; c. INTERN.

2 Werden Informationsträger physisch zu einem Sammelwerk zusammengefasst, ist

zu überprüfen, ob dieses klassifiziert oder einer höheren Klassifizierungsstufe zuge- ordnet werden muss.

Art. 5 GEHEIME Informationen

1 Als GEHEIM werden Informationen klassifiziert, deren Kenntnisnahme durch

Unberechtigte den Landesinteressen einen schweren Schaden zufügen kann. Dabei handelt es sich namentlich um Informationen, deren Bekanntwerden: a. die Handlungsfähigkeit der Bundesversammlung oder des Bundesrats schwerwiegend gefährden kann; b. die Sicherheit der Bevölkerung schwerwiegend gefährden kann; c. die wirtschaftliche Landesversorgung oder die Sicherheit von landeswich- tigen Führungs- und Infrastrukturanlagen schwerwiegend gefährden kann; d. die Aufgabenerfüllung der Bundesverwaltung, der Armee oder wesentlicher Teile davon schwerwiegend gefährden kann; e. die aussenpolitischen Interessen oder die internationalen Beziehungen der Schweiz schwerwiegend gefährden kann; f. den Quellen- oder den Personenschutz oder die Geheimhaltung von opera- tiven Mitteln und Methoden der Nachrichtendienste schwerwiegend gefähr- den kann.

2 Träger von als GEHEIM klassifizierten Informationen sind zu nummerieren.

Art. 6 VERTRAULICHE Informationen

1 Als VERTRAULICH werden Informationen klassifiziert, deren Kenntnisnahme

durch Unberechtigte den Landesinteressen Schaden zufügen kann. Dabei handelt es sich namentlich um Informationen, deren Bekanntwerden: a. die freie Meinungs- und Willensbildung der Bundesversammlung oder des Bundesrats beeinträchtigen kann; b. die zielkonforme Durchführung konkreter behördlicher Massnahmen beein- trächtigen kann; c. die Sicherheit der Bevölkerung beeinträchtigen kann;

3403

Informationsschutzverordnung AS 2007

d. die wirtschaftliche Landesversorgung oder die Sicherheit von wichtigen Infrastrukturanlagen beeinträchtigen kann; e. die Aufgabenerfüllung von Teilen der Bundesverwaltung oder von Teilen der Armee beeinträchtigen kann; f. die aussenpolitischen Interessen oder internationalen Beziehungen der Schweiz beeinträchtigen kann; g. die Beziehungen zwischen Bund und Kantonen oder zwischen Kantonen beeinträchtigen kann; h. wirtschafts-, geld- und währungspolitische Interessen der Schweiz beein- trächtigen kann.

2 Informationsträger mit als VERTRAULICH klassifizierten Informationen können

nummeriert werden.

Art. 7 INTERNE Informationen

1 Als INTERN werden folgende Informationen klassifiziert:

a. Informationen, die dem Amts-, Berufs-, Geschäfts- oder Fabrikations- geheimnis unterliegen und einen erhöhten Informationsschutz benötigen, sofern sie weder GEHEIM noch VERTRAULICH klassifiziert werden müs- sen; b. Informationen der Armee, die dem Dienstgeheimnis unterliegen.

2 Als «RESTRICTED» oder gleichwertig klassifizierte Informationen aus dem

Ausland werden wie als INTERN klassifizierte Informationen bearbeitet.

Art. 8 Klassifizierungskatalog Die Koordinationsstelle für den Informationsschutz im Bund (Art. 20) legt in einem Klassifizierungskatalog fest, wie gewisse häufig anfallende schutzwürdige Informa- tionen des Bundes zu klassifizieren sind.

Art. 9 Befristete Klassifizierung Die Klassifizierung ist zu befristen, wenn voraussehbar ist, wann die Schutzwürdig- keit dahinfallen wird.

3. Abschnitt: Geheimnisträgerinnen und Geheimnisträger

Art. 10 Anforderungen 1 Personen, die aufgrund ihres Aufgabenbereiches Zugang zu klassifizierten Infor- mationen erhalten sollen, sind:

3404

Informationsschutzverordnung AS 2007

a. sorgfältig auszuwählen; b. zur Geheimhaltung zu verpflichten; und c. entsprechend aus- und weiterzubilden.

2 Ob sich Geheimnisträgerinnen und Geheimnisträger, die Zugang zu als GEHEIM

oder als VERTRAULICH klassifizierten Informationen erhalten sollen, einer Perso- nensicherheitsprüfung unterziehen müssen, richtet sich nach der Verordnung vom 19. Dezember 20014 über die Personensicherheitsprüfungen.

Art. 11 Aus- und Weiterbildung Die Fachkenntnisse von Geheimnisträgerinnen und Geheimnisträgern im Bereich des Informationsschutzes und der Informatiksicherheit sind sicherzustellen und periodisch zu aktualisieren.

Art. 12 Verantwortung 1 Wer klassifizierte Informationen bearbeitet, ist für die Einhaltung der Informa- tionsschutzvorschriften verantwortlich.

2 Die Vorgesetzten überprüfen regelmässig die Einhaltung dieser Vorschriften.

4. Abschnitt: Bearbeitung von klassifizierten Informationen

Art. 13 Grundsätze 1 Die Erstellung, die Bekanntgabe und das Zugänglichmachen klassifizierter Infor- mationen sind auf ein Minimum zu beschränken; dabei sind Lage, Auftrag, Zweck und Zeit zu berücksichtigen.

2 Klassifizierte

Informationen dürfen nur jenen Personen bekannt gegeben oder zugänglich gemacht werden, die davon Kenntnis haben müssen.

3 Bei Gesuchen um Zugang zu amtlichen Dokumenten überprüft die zuständige

Stelle, unabhängig von einem allfälligen Klassifizierungsvermerk, ob der Zugang nach dem Bundesgesetz vom 17. Dezember 20045 über das Öffentlichkeitsprinzip der Verwaltung zu gewähren, zu beschränken, aufzuschieben oder zu verweigern ist. 4 Die Bearbeitung klassifizierter Informationen aus dem Ausland richtet sich nach dem entsprechenden Informationsschutzabkommen. Liegt kein solches vor, so richtet sich die Bearbeitung nach den Bearbeitungsvorschriften der mit der auslän- dischen Klassifizierungsstufe äquivalenten schweizerischen Klassifizierung.

4 SR 120.4 5 SR 152.3

3405

Informationsschutzverordnung AS 2007

Art. 14 Überprüfung von Schutzwürdigkeit und Verteiler Die Verfasserin oder der Verfasser einer als VERTRAULICH klassifizierten und nummerierten oder einer als GEHEIM klassifizierten Information überprüft deren Schutzwürdigkeit und den Verteiler mindestens alle fünf Jahre und immer im Rah- men der Anbietepflicht an das Bundesarchiv.

Art. 15 Schutz bei falscher oder fehlender Klassifizierung 1 Wer vermutet oder feststellt, dass Informationen offensichtlich falsch oder fälsch- licherweise nicht klassifiziert sind, hat deren Schutz bis zur Änderung der Klassi- fizierung sicherzustellen. 2 Sie oder er benachrichtigt unverzüglich die Verfasserin oder den Verfasser. Diese oder dieser trifft sofort die erforderlichen Massnahmen.

Art. 16 Meldung bei Verlust, Missbrauch oder Gefährdung

1 Wer feststellt, dass klassifizierte Informationen gefährdet, abhanden gekommen

oder missbraucht worden sind, trifft Schutzmassnahmen und informiert unverzüglich die vorgesetzte Person, die Verfasserin oder den Verfasser und die zuständigen Sicherheitsorgane. 2 Die Verfasserin oder der Verfasser trifft in Absprache mit den zuständigen Sicher- heitsorganen sofort die erforderlichen Massnahmen.

Art. 17 Archivierung Die Archivierung klassifizierter Informationen richtet sich nach den Vorschriften der Archivierungsgesetzgebung.

Art. 18 Bearbeitungsvorschriften 1 Die Bearbeitung klassifizierter Informationen und der Umgang mit entsprechenden Informationsträgern sind im Anhang geregelt.

2 Die Koordinationsstelle für den Informationsschutz im Bund (Art. 20) erlässt

detaillierte Bearbeitungsvorschriften. 3 Sie regelt die vereinfachte Handhabung im Bereich von Informationen der Nach- richtendienste und der Polizei nach deren Bedürfnissen und unter Wahrung eines hinreichenden Informationsschutzes nach dieser Verordnung.

5. Abschnitt: Sicherheitsorgane

Art. 19 Informationsschutzbeauftragte

1 Die Departemente und die Bundeskanzlei bezeichnen je eine Informationsschutz-

beauftragte oder einen Informationsschutzbeauftragten.

3406

Informationsschutzverordnung AS 2007

2 Die Informationsschutzbeauftragten nehmen insbesondere folgende Aufgaben

wahr: a. Sie sorgen für die Umsetzung des Informationsschutzes in ihrem Zustän- digkeitsbereich. b. Sie kontrollieren periodisch das Vorhandensein und die Vollständigkeit der als GEHEIM klassifizierten Informationsträger.

Art. 20 Koordinationsstelle für den Informationsschutz im Bund

1 Die Informations- und Objektsicherheit im Eidgenössischen Departement für

Verteidigung, Bevölkerungsschutz und Sport betreibt die Koordinationsstelle für den Informationsschutz im Bund (Koordinationsstelle).

2 Die Koordinationsstelle gibt sich im Einvernehmen mit den Departementen und

der Bundeskanzlei ein Geschäftsreglement, in dem die Einzelheiten ihrer Organisa- tion und ihrer Tätigkeit geregelt sind.

3 Sie nimmt in Zusammenarbeit mit den Informationsschutzbeauftragten der Depar-

temente und der Bundeskanzlei insbesondere folgende Aufgaben wahr: a. Sie erlässt die nötigen fachtechnischen Weisungen, namentlich den Klassi- fizierungskatalog (Art. 8) und die detaillierten Bearbeitungsvorschriften (Art. 18). b. Sie legt die Vorgaben für die Ausbildung der Geheimnisträgerinnen und Geheimnisträger fest und erstellt die notwendigen Ausbildungshilfsmittel. c. Sie kann Kontrollen und die in völkerrechtlichen Verträgen vorgesehenen Sicherheitsinspektionen durchführen. d. Sie ist Ansprechstelle im internationalen und nationalen Verkehr. e. Sie erstattet dem Sicherheitsausschuss des Bundesrats jährlich Bericht.

6. Abschnitt: Schlussbestimmungen

Art. 21 Vollzug Die Departemente und die Bundeskanzlei vollziehen diese Verordnung.

Art. 22 Aufhebung und Änderung bisherigen Rechts

1 Es werden aufgehoben:

a. die Verordnung vom 10. Dezember 19906 über die Klassifizierung und Behandlung von Informationen im zivilen Verwaltungsbereich; b. die Verordnung vom 1. Mai 19907 über den Schutz militärischer Informatio- nen (Informationsschutzverordnung).

6 AS 1991 44, 1999 2424 7 AS 1990 887, 1999 2424

3407

Informationsschutzverordnung AS 2007

2 Die Bundesinformatikverordnung vom 26. September 20038 wird wie folgt geän-

dert: Art. 16 Abs. 2 Bst. h

2 Mitglieder mit beratender Stimme sind der Vertreter oder die Vertreterin:

h. der Koordinationsstelle für den Informationsschutz im Bund. Art. 17 Abs. 3bis 3bis Er koordiniert seine Tätigkeit mit der Koordinationsstelle für den Informations- schutz im Bund.

Art. 23 Übergangsbestimmungen

1 Der Klassifizierungsvermerk INTERN ist nur auf Informationsträgern anzubrin-

gen, welche nach dem Inkrafttreten dieser Verordnung erstellt werden.

2 Technische Anpassungen für die Gewährleistung des Schutzes von Informationen,

insbesondere für deren Klassifizierung und Bearbeitung, sind bis zum 31. Dezember

2009 vorzunehmen.

Art. 24 Inkrafttreten Diese Verordnung tritt am 1. August 2007 in Kraft und gilt längstens bis zum 31. Dezember 2011.

4. Juli 2007 Im Namen des Schweizerischen Bundesrates Die Bundespräsidentin: Micheline Calmy-Rey Die Bundeskanzlerin: Annemarie Huber-Hotz

8 SR 172.010.58

3408

Informationsschutzverordnung AS 2007

Anhang (Art. 18 Abs. 1)9

Bearbeitungsvorschriften GEHEIM VERTRAULICH INTERN Zuständig

Erstellung

Mittel elektronisch: nur mit von der elektronisch: nur mit von der beliebig Verfasser (vorbehalten bleiben die im Rahmen Koordinationsstelle bewilligten Koordinationsstelle bewilligten des Vollzuges der V vom 29. Aug. Mitteln Mitteln (Ausnahme: Armee)

199010 über das Geheimschutzver-

fahren bei Aufträgen mit militärisch klassifiziertem Inhalt vereinbarten Regelungen)

Klassifizierungsvermerk Vermerk GEHEIM auf jeder Seite Vermerk VERTRAULICH auf Vermerk INTERN auf jeder jeder Seite Seite

Nummerierung zwingend fakultativ keine

Registrierung Formulare der Koordinationsstelle Verteiler fakultativ

9 Vgl. auch die detaillierten Bearbeitungsvorschriften der Koordinationsstelle (Art. 18 Abs. 2). 10 SR 510.413

3409

Informationsschutzverordnung AS 2007

GEHEIM VERTRAULICH INTERN Zuständig

Speicherung bzw. Aufbewahrung

elektronisch Nur auf von der Koordinations- Verschlüsselt auf Arbeitsplatz- darf nur Berechtigten Verfasser bzw. stelle bewilligten Mitteln; ver- systemen oder auf entfernbaren zugänglich sein Geheimnisträger schlüsselt auf Arbeitsplatzs- Datenträgern ystemen oder verschlüsselt auf entfernbaren Datenträgern Schlüssel sind getrennt von der verschlüsselten Information und unter Verschluss aufzubewahren

physisch Tresor Sicherheitsbehältnis darf nur Berechtigten zugänglich sein

Übermittlung bzw. Versand und Empfang

Telefon, Mobiltelefon Verschlüsselung oder geschützter Codiert oder verschlüsselt Codiert bzw. Bundesnetz Verfasser bzw. Übertragungsweg oder Sicher- Geheimnisträger heitskonzept

Fax Verschlüsselung oder geschützter Verschlüsselung oder geschützter zulässig Übertragungsweg oder Sicher- Übertragungsweg oder Sicher- heitskonzept heitskonzept

E-Mail (bzw. Anhang derselben) Verschlüsselt und nachvollziehbar Verschlüsselt Zulässig, Schutz notwendig, z. B. Bundesnetz

Datenübertragung Verschlüsselung oder geschützter Verschlüsselung oder geschützter Zulässig, Schutz notwendig;, Übertragungsweg Übertragungsweg z. B. Bundesnetz

Mündliche Äusserungen Nur gegenüber Berechtigten, in abhörsicheren Bereichen

3410

Informationsschutzverordnung AS 2007

GEHEIM VERTRAULICH INTERN Zuständig

Übermittlung bzw. Versand und Empfang

Persönliche Übergabe nur gegen Quittung zulässig zulässig, bei nummerierten zulässig Verfasser bzw. Exemplaren nur gegen Quittung Geheimnisträger

Post, Kurier eingeschränkt und nur mit Spezial- eingeschränkt zulässig, eingeschränkt zulässig kurier des Bundes zulässig bei nummerierten Exemplaren eingeschrieben

Benützung

Bearbeitung mit Informatikmitteln Nur mit von der Koordinations- Nur mit von der Koordinations- Zulässig Verfasser bzw. (vorbehalten bleiben die im Rahmen stelle bewilligten Mitteln und unter stelle bewilligten Mitteln (Aus- Geheimnisträger von Geheimschutzverfahren Verwendung von Sicherheitssoft- nahme: Armee) und unter Ver- vereinbarten Regelungen) ware gemäss Bundesstandard wendung von Sicherheitssoftware gemäss Bundesstandard

Drucken Eingeschränkt zulässig Eingeschränkt zulässig Zulässig

Kopieren Eingeschränkt und nur mit Bewil- Eingeschränkt zulässig Zulässig ligung des Verfassers zulässig

Mitnahme ab dauerndem Standort Eingeschränkt zulässig Eingeschränkt zulässig Zulässig

Informationsverwaltung

Regelmässige Überprüfung der mindestens alle fünf Jahre und nur für nummerierte Exemplare: keine Verfasser Klassifizierung und des Verteilers immer im Rahmen der mindestens alle fünf Jahre und Anbietepflicht an das Bundes- immer im Rahmen der Anbie- archiv (Art. 14) tepflicht an das Bundesarchiv (Art. 14)

3411

Informationsschutzverordnung AS 2007

GEHEIM VERTRAULICH INTERN Zuständig

Rückzug und Rückgabepflicht zwingend zwingend wenn nummeriert keine Verfasser bzw. Geheimnisträger

Archivierung Anbietepflicht gemäss Archivierungsgesetzgebung (Art. 17). Verfasser bzw. Geheimnisträger

Vernichtung bzw. Löschung (soweit Vernichtung nur durch Verfasser Eingeschränkt zulässig, bei Eingeschränkt zulässig nach Archivierungsgesetzgebung und eingeschränkt zulässig nummerierten Exemplaren nur keine Ablieferungspflicht besteht) durch den Verfasser

3412