Gemäss der Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung (SR 120.73 Cyberrisikenverordnung) sind alle Verwaltungseinheiten in der Verantwortung, die Sicherheitsdokumente aller Informatikschutzobjekte zu erstellen und auf dem aktuellsten Stand zu halten.
Die Verwaltungseinheiten müssen mindestens die folgenden Punkte im Sicherheitsverfahren durchlaufen:
Alle Informatikschutzobjekte müssen über eine aktuelle und gültige Schutzbedarfsanalyse verfügen. Bei IT-Projekten muss die Schutzbedarfsanalyse vor der Projektfreigabe durchgeführt werden.
Die Schutzbedarfsanalyse kann dabei das Schutzniveau «Grundschutz» oder «erhöhter Schutz» ausweisen.
Die Umsetzung des Grundschutzes wird mit dem Dokument «IT-Grundschutz in der Bundesverwaltung» nachgewiesen. Der IT-Grundschutz legt die minimalen organisatorischen, personellen und technischen Sicherheitsvorgaben im Bereich Informatiksicherheit verbindlich fest. Für jedes Informatikschutzobjekt ist als Minimum der IT-Grundschutz umzusetzen, ungeachtet des Schutzbedarfs.
Ergibt die Schutzbedarfsanalyse einen erhöhten Schutzbedarf sind nebst dem IT-Grundschutzdokument, basierend auf einer Risikoanalyse, weitere Sicherheitsmassnahmen umzusetzen und zu dokumentieren. Risiken, welche nicht oder nur ungenügend reduziert werden können, werden in Form eines ISDS-Konzepts und allfällig weiteren Dokumenten festgehalten.
Zu beachten ist, dass die Sicherheitsdokumente eine Gültigkeit von maximal 5 Jahren aufweisen und spätestens nach Ablauf dieser Frist erneuert werden müssen.
Bei sicherheitsrelevanten Änderungen am Informatikschutzobjekt oder an der Bedrohungslage sind die Dokumente unverzüglich zu Prüfen und aktualisieren.
Die cyspro GmbH bietet steht Ihnen bei der Erstellung und Aktualisierung der Dokumente gerne zur Verfügung. Gerne begleiten wir auch komplette Projekte als ISDS-V (Informationssicherheits- und Datenschutzverantwortliche) bei der Umsetzung.