Informationssicherheit

Die Informationssicherheit schützt alle für die Geschäftprozesse notwendigen Daten und die datenverarbeitenden technischen Systeme mit angemessenen und wirksamen Massnahmen sowohl im technischen als auch im nicht-technischen (organisatorischen) Umfeld. Dabei folgen die risikominimierenden Massnahmen den Anforderungen der Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schutzziele werden wie folgt definiert:

• Vertraulichkeit: Die Bearbeitung von Daten erfolgt ausschliesslich durch autorisierte und befugte Nutzer, d.h., dass die Daten nicht unrechtmässig zur Kenntnis gelangen dürfen.
• Integrität: Kein unbemerktes und nicht autorisiertes Bearbeiten von Daten, d.h., dass die Daten jederzeit korrekt und vollständig sein müssen.
• Verfügbarkeit: Umfasst das zur Verfügung stellen von Daten im gewünschten und benötigten Zeitraum, d.h., dass die Daten bei Bedarf stets in der notwendigen Qualität vorhanden sein müssen.

Weitere Schutzziele der Informationssicherheit sind:

• Authentizität: Das Sicherstellen der Echtheit und Überprüfbarkeit von Daten und Nutzer.
• Nachvollziehbarkeit: Die Bearbeitung der Daten muss erkennbar und nachvollziehbar sein.
• Verbindlichkeit: Die Bearbeitung der Daten muss eindeutig einem Nutzer zugeordnet werden können.

Um die Schutzziele einhalten und die Sicherheit der Daten jederzeit nachvollziehbar gewährleistet zu können (Art. 4 DSV), setzt die für die Datenbearbeitung verantwortliche Stelle

• Massnahmen zum Schutz der Systeme um.
• Überprüft periodisch die Wirksamkeit von Massnahmen.
• Hält die Restrisiken fest.