Informationssicherheitspolitik
Die Leitung legt eine Informationssicherheitspolitik fest, die den strategischen Rahmen für alle Sicherheitsmaßnahmen vorgibt.
ISO/IEC 27001:2022
Die Plattform nutzt ISO/IEC 27001:2022 als Referenzrahmen für Managementsystem, Kontrollen, Nachweise und kontinuierliche Verbesserung.
ISO/IEC 27001:2022 bietet den Management-System-Rahmen, um die IKT-Risikomanagement-Anforderungen aus DORA Kapitel II operativ umzusetzen. Die Kontrollanker aus ISO 27001 werden im IKT-Risikomanagement als Referenz für Kontrollziele, Nachweise und Prüfkriterien genutzt.
Führung und Planung
A.5.1–A.5.4: Leitungsorgan, Strategie, Rollen, Richtlinien für IKT-Risikomanagement.
Risikobeurteilung
A.5.7–A.5.10: Risikoanalyse, Schutzbedarf, Behandlung und Akzeptanz.
Überwachung und Verbesserung
A.5.35–A.5.37, A.10.1–A.10.2: Monitoring, Reporting, kontinuierliche Verbesserung.
Technologische Kontrollen
A.8.1–A.8.16: Schutzmaßnahmen, die aus der Risikobehandlung abgeleitet werden.
Die Leitung legt eine Informationssicherheitspolitik fest, die den strategischen Rahmen für alle Sicherheitsmaßnahmen vorgibt.
Verantwortlichkeiten für Informationssicherheit sind eindeutig zugewiesen, kommuniziert und umfassen die speziellen Rollen gemäß DORA Art. 4 (Leitungsorgan) und Art. 5 (Interner Ablauf) einschließlich CISO, Sicherheitsbeauftragte und deren Stellvertretung.
Benannte Sicherheitsfunktionen wie CISO und ISB haben klar definierte Zuständigkeiten, Durchgriffsrechte und Berichtspflichten gemäß DORA Art. 4 (Leitungsorganverantwortung) und Art. 5 (Interne Organisation), einschließlich regelmäßiger Berichterstattung an das Leitungsorgan.
Geregelte Kommunikationswege zu Aufsichtsbehörden, CERT/CSIRT und anderen relevanten Stellen.
Aktuelle Bedrohungsinformationen werden gemäß DORA Art. 5-8 systematisch aus vertrauenswürdigen Quellen beschafft, bewertet und für das IKT-Risikomanagement genutzt, einschließlich Information Sharing mit ähnlichen Institutionen und Behörden.
Konfligierende Aufgaben und Verantwortungsbereiche werden getrennt, um Risiken durch Interessenkonflikte, Betrug und unbefugte Handlungen zu reduzieren.
Die Risikobeurteilung für Informationssicherheit wird systematisch durchgeführt, dokumentiert und wiederholt, um Risiken zu identifizieren, zu analysieren und zu bewerten.
Risiken werden durch geeignete Maßnahmen behandelt, wobei Optionen der Risikovermeidung, -verminderung, -übertragung oder -akzeptanz dokumentiert und umgesetzt werden.
Informationen werden nach ihrer Kritikalität und Schutzbedürftigkeit klassifiziert und entsprechend gekennzeichnet.
Informationen werden entsprechend der Klassifizierungsstufe mit geeigneten Kennzeichnungen versehen, um eine einheitliche Handhabung sicherzustellen.
Regeln für die Handhabung, Aufbewahrung, Weitergabe und Vernichtung von Informationen werden klassifizierungsabhängig definiert und durchgesetzt.
Alle für die Informationssicherheit relevanten rechtlichen, regulatorischen und vertraglichen Anforderungen werden identifiziert, dokumentiert und regelmäßig auf Aktualitaet geprüft.
Personenbezogene Daten werden gemaess DSGVO und nationalen Datenschutzgesetzen geschützt; Datenschutz-Folgenabschaetzungen werden durchgeführt.
Aufzeichnungen werden vor Verlust, Zerstoerung, Verfaelschung, unbefugtem Zugriff und unbefugter Freigabe geschützt.
Betriebsverfahren für IKT-Systeme werden dokumentiert, stehen den zuständigen Mitarbeitern zur Verfuegung und werden regelmäßig auf Aktualitaet geprüft.
Der Zugriff auf Informationen und IKT-Systeme wird durch Berechtigungskonzepte gesteuert.
Der Lebenszyklus von Identitäten wird von der Einrichtung über Änderungen bis zur Deaktivierung gesteuert und dokumentiert.
Die Zuweisung und Verwaltung von Authentifizierungsinformationen wird durch ein sicheres Verfahren geregelt, einschließlich initialer Passwortvergabe und Zurücksetzungsprozessen.
Zugriffsrechte werden nach dem Need-to-Know- und Least-Privilege-Prinzip vergeben, regelmässig reviewed und bei Bedarf entzogen.
Sicherheitsanforderungen an Lieferanten werden vertraglich festgelegt und überwacht.
Risiken durch Lieferantenzugriff auf Informationen des Instituts werden identifiziert, bewertet und durch vertragliche Sicherheitsanforderungen adressiert.
Risiken in der IKT-Lieferkette werden erfasst, bewertet und durch Sicherheitsanforderungen an Unterlieferanten adressiert.
Die Einhaltung von Sicherheitsanforderungen durch Lieferanten wird regelmässig überwacht, bewertet und bei Abweichungen nachgesteuert.
Die Nutzung von Cloud-Diensten wird durch spezifische Sicherheitsanforderungen, Vertragsklauseln und Exit-Strategien geregelt.
Ein strukturierter Incident-Response-Prozess ist vorbereitet und wird regelmässig getestet.
Eingegangene Meldungen werden bewertet, priorisiert und einer Entscheidung zugeführt.
Vorfälle werden nach definierten Verfahren bearbeitet, eindämmt und behoben.
Die Informationssicherheit ist in die Geschäftskontinuitätsplanung integriert.
IKT-Systeme sind auf Betriebsunterbrechungen vorbereitet und verfügen über definierte Wiederherstellungsverfahren.
Geschäftskontinuitätspläne werden entwickelt, dokumentiert, regelmäßig getestet und bei wesentlichen Änderungen aktualisiert.
Die Leitung erhält regelmässig Berichte über die Informationssicherheitslage.
Die Einhaltung interner und externer Vorgaben wird regelmässig überprüft.
Mitarbeiter werden regelmässig für Informationssicherheitsrisiken sensibilisiert und geschult.
Hintergrundüberprüfungen von Mitarbeitern und externen Dienstleistern werden vor Aufnahme der Tätigkeit durchgeführt, insbesondere bei sicherheitssensitiven Rollen.
Vertragliche Bedingungen legen die Verantwortlichkeiten des Mitarbeiters für Informationssicherheit fest und werden vor Aufnahme der Beschaeftigung vereinbart.
Die mit Telearbeit verbundenen Sicherheitsrisiken werden identifiziert, bewertet und durch angemessene Maßnahmen geschützt.
Mitarbeiter werden angehalten und in die Lage versetzt, beobachtete oder vermutete Sicherheitsereignisse über definierte Meldewege zu berichten.
Sicherheitszonen schützen IKT-Infrastruktur vor unbefugtem physischem Zugriff.
Der physische Zutritt zu Gebäuden und Räumen mit IKT-Infrastruktur wird durch Zutrittskontrollsysteme geschützt und überwacht.
Geraete außerhalb der gesicherten Räumlichkeiten des Instituts werden gegen Diebstahl, Verlust und unbefugten Zugriff geschützt.
Geraete werden gemaess Herstellervorgaben und institutsinternen Wartungsplänen gewartet; Wartungsarbeiten werden dokumentiert.
Geraete werden vor Entsorgung oder Wiederverwendung sicher von Daten befreit und gemaess Umweltvorschriften entsorgt.
Dokumente und IKT-Geraete werden bei Nichtnutzung vor unbefugtem Zugriff geschützt; Bildschirme werden bei Verlassen des Arbeitsplatzes gesperrt.
IKT-Systeme werden vor physischen und umweltbedingten Bedrohungen geschützt.
IKT-Systeme werden vor unbefugtem physischen Zugriff geschützt.
Technische Schwachstellen werden identifiziert, bewertet und behoben.
Ereignisprotokolle werden erfasst, aufbewahrt und regelässig ausgewertet.
Die Nutzung von IKT-Systemen wird auf Anomalien überwacht.
Testumgebungen und -daten sind gegen unbefugte Nutzung und Offenlegung geschützt.
Änderungen an Informationen, IKT-Systemen und Prozessen werden kontrolliert geplant, bewertet, freigegeben und nachverfolgt.
Produktive Daten in Testumgebungen werden minimiert, geschützt und nur unter klaren Freigaberegeln verwendet.
Informationen in Benutzerendpunkten sind geschützt.
Sichere Authentifizierungsmechanismen werden implementiert, um unbefugten Zugriff zu verhindern.
Zugriff auf Informationen und IKT-Systeme wird auf der Basis geschäftlicher und Sicherheitsanforderungen kontrolliert.
Die Sicherheit von IKT-Dienstleistungen, die über Netze erbracht werden, wird sichergestellt.
Sicherheitsanforderungen werden in der Softwareentwicklung berücksichtigt.
Sicherungskopien von Informationen, Software und Systemen werden gemäß eines festgelegten Zeitplans aufbewahrt.
Ereignisse, die für die Informationssicherheit relevant sind, werden protokolliert und analysiert.
IKT-Komponenten werden redundant ausgelegt, um die Verfügbarkeit zu gewährleisten.
Verschlüsselung wird zur Erfüllung von Informationssicherheitsanforderungen verwendet.
Die Vergabe und Nutzung privilegierter Zugriffsrechte wird besonders geschützt, überwacht und regelmäßig überprüft.
IKT-Systeme werden durch geeignete Maßnahmen gegen Schadsoftware geschützt; Praevention, Erkennung und Beseitigung sind in einem Maßnahmenbuendel verankert.
Die Systemuhren aller relevanten IKT-Systeme werden mit einer referenzierten Zeitquelle synchronisiert, um eine konsistente Protokollierung zu gewaehrleisten.
Regeln für die sichere Entwicklung von Software und IKT-Systemen werden im gesamten Lebenszyklus angewandt, von der Anforderungsanalyse bis zur Wartung.
Sicherheitsanforderungen für Softwareentwicklung werden in der Anforderungsphase definiert und vor der Entwicklung freigegeben.
Systeme werden nach dem Prinzip der verteidigungstiefen Architektur (Defence in Depth) entworfen und implementiert.
Sicherheitstests werden während der Entwicklung durchgeführt (SAST, DAST, Dependency-Checks, Penetrationstests) vor der Produktionsfreigabe.
Bei fremdvergebener Softwareentwicklung werden die Sicherheitsanforderungen vertraglich festgelegt und die Einhaltung überwacht.
Entwicklungs-, Test- und Produktionsumgebungen sind technisch und organisatorisch getrennt, um unbeabsichtigte Auswirkungen auf den Produktivbetrieb zu verhindern.
Netzwerke und IKT-Systeme, die darüber erreichbar sind, werden geschützt.
Sicherheitsmechanismen, Dienstebenen und Managementanforderungen von Netzwerkdiensten werden identifiziert und implementiert.
Netze werden in separate Netzsegmente unterteilt.
Der Zugriff auf externe Webseiten wird gemanagt.
Richtlinien für den Einsatz kryptographischer Maßnahmen werden entwickelt und implementiert.
Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.