Informationssicherheit

Die Informationssicherheit schützt alle für die Geschäftsprozesse notwendigen Daten und die datenverarbeitenden technischen Systeme mit angemessenen und wirksamen Massnahmen sowohl im technischen als auch im nicht-technischen (organisatorischen) Umfeld. Dabei folgen die risikominimierenden Massnahmen den Anforderungen der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schutzziele werden wie folgt definiert:

• Vertraulichkeit: Die Bearbeitung von Daten erfolgt ausschliesslich durch autorisierte und befugte Nutzerinnen und Nutzer. Die Daten dürfen nicht unrechtmässig zur Kenntnis gelangen.
• Integrität: Kein unbemerktes und nicht autorisiertes Bearbeiten von Daten. Diese müssen jederzeit korrekt und vollständig sein.
• Verfügbarkeit: Umfasst das Zurverfügungstellen von Daten im gewünschten und benötigten Zeitraum. Die Daten müssen bei Bedarf stets in der notwendigen Qualität vorhanden sein.

Weitere Schutzziele der Informationssicherheit sind:

• Authentizität: Das Sicherstellen der Echtheit und Überprüfbarkeit von Daten und Nutzerinnen/Nutzern
• Nachvollziehbarkeit: Die Bearbeitung der Daten muss erkennbar und nachvollziehbar sein.
• Verbindlichkeit: Die Bearbeitung der Daten muss eindeutig einem Nutzer/einer Nutzerin zugeordnet werden können.

Um die Schutzziele einhalten und die Sicherheit der Daten jederzeit nachvollziehbar gewährleisten zu können (Art. 4 DSV), setzt die für die Datenbearbeitung verantwortliche Stelle Massnahmen zum Schutz der Systeme um. Periodisch überprüft sie die Wirksamkeit von Massnahmen und hält die Restrisiken fest.