
Um Ihre Antwort besser einordnen zu können, benötigen wir von Ihnen
statistische Angaben zur Unternehmens Grösse und Branche (anonyme
Erhebung):

Result%


AUSWERTUNG ANFORDERN
Drücke den Knopf um zu starten.
Frage 1
Eine Informationssicherheitsstrategie ist vorhanden. Sie wurde vom obersten Management verabschiedet und in Kraft gesetzt.
Frage 2
Basierend auf der Informationssicherheitsstrategie ist ein aktuelles Sicherheitsdispositiv in Form von verbindlichen Weisungen (Security Policies) für alle relevanten Informationssicherheitsbereiche (technisch und organisatorisch) vorhanden.
Frage 3
Ein Informationssicherheitsgremium ist etabliert. Es tagt regelmässig und wird vom Informationssicherheitsbeauftragten ("CISO") geleitet.
Frage 4
Die Umsetzung von Informationssicherheitsmassnahmen wird unternehmensweit koordiniert und sichergestellt.
Frage 5
Es gibt ein spezielles Selektionsverfahren inkl. Sicherheitsüberprüfungen für Bewerber in sensiblen Informationssicherheitsbereichen (z.B. IT Administrator).
Frage 6
Neue Mitarbeitende erhalten eine für ihren Tätigkeitsbereich zugeschnittene Informationssicherheitsschulung. Zudem finden regelmässig unternehmensweite Awarenessmassnahmen zum Thema Informationssicherheit statt.
Frage 7
Alle Einrichtungen (z.B. IT Systeme, Applikationen, Datenbanken, Gebäude etc.), die unternehmenskritische Informationen bereitstellen oder beinhalten, sind bekannt und inventarisiert.
Frage 8
Richtlinien zur Gewährleistung der technischen Zugangs-und Zugriffskontrollen sind aktuell und implementiert.
Frage 9
Ein automatisiertes Rollen-und Berechtigungssystem gewährleistet den Zugriff auf Daten und Informationen gemäss "Need-to-know-Ansatz".
Frage 10
Daten und Informationen mit einem erhöhten Schutzbedarf sind jederzeit vor unerlaubter Einsichtnahme geschützt (z.B. durch Verschlüsselung).
Frage 11
Zum Schutz von Bereichen, in denen sich sensitive Informationen oder informationsverarbeitende Einrichtungen befinden, sind Sicherheitszonen festgelegt.
Frage 12
Die Informatik-Betriebsprozesse sind dokumentiert und werden entsprechend aktuell gehalten.
Frage 13
Die technische und logische Funktionentrennung von Informatik-Betriebsmitteln (z. B. Trennung von Produktions-und Testbetrieb) wird gemäss den Geschäftsanforderungen eingehalten.
Frage 14
Regelmässig durchgeführte und dokumentierte Restore-Tests zeigen auf, dass die Verfügbarkeit von Daten im Falle eines technischen Betriebsunterbruchs oder -ausfalls jederzeit gewährleistet werden kann.
Frage 15
Gruppen von Informationssystemen sind netzwerktechnisch separiert (z. B. Netzwerksegmentierung). Entsprechende Kommunikationsregeln sind implementiert (z. B. White List).
Frage 16
Es gibt formelle Kontrollverfahren, um Änderungen an Informationsverarbeitenden Systemen durchzuführen.
Frage 17
Externe Partner (z.B. IT Provider) werden zur Einhaltung unserer Informationssicherheitsanforderungen vertraglich verpflichtet und diesbezüglich von uns überprüft.
Frage 18
Für Informationssicherheitsvorfälle gibt es ein risikoorientiertes Klassifikationsschema sowie einen dokumentierten Incident-Management-Prozess.
Frage 19
Es sind die relevanten gesetzlichen, amtlichen und vertraglichen Anforderungen für jedes Informationssystem identifiziert und dokumentiert.
Frage 20
Es werden regelmässig interne Reviews durchgeführt, die die Wirksamkeit der umgesetzten Massnahmen zur Gewährleistung der Informationssicherheit aufzeigen.
Frage 21
Der Meldepflicht für personenbezogene Datensammlungen kommen wir gemäss Art 11. Abs. 5e DSG (Datenschutzgesetz) vollumfänglich nach.
Frage 22
Die technischen und organisatorischen Massnahmen zur Einhaltung der Datenschutzanforderungen sind bekannt und implementiert.
Frage 23
Es finden zudem regelmässig interne Prüfungen statt um sicherzustellen, dass die Bearbeitungsgrundsätze für Personendaten gemäss DSG eingehalten werden. Dies betrifft in erster Linie besonders schützenswerte Personendaten.
Frage 24
Vertragspartner werden zur Einhaltung der Datenschutzanforderungen vertraglich verpflichtet und diesbezüglich von uns überprüft.
Frage 25
Die Mitarbeitenden wurden über ihre Pflichten bezüglich der Bearbeitungsgrundsätze von Personendaten aktiv informiert.
Frage 26
Eine Rollen- und Funktionentrennung zwischen dem Datenschutz- und Informationssicherheitsbeauftragten ist vorhanden. Fachliche und/oder organisatorische Interessenskonflikte sind ausgeräumt.
Frage 27
Auftretende Datenschutzverletzungen werden über einen etablierten Melde- und Bearbeitungsprozess abgewickelt. Der (betriebliche) Datenschutzverantwortliche wird in solchen Fällen pro-aktiv informiert.
Frage 28
Die Datenverantwortlichen (Data Owner) sind bekannt. Sie nehmen Ihre Rolle gemäss der zugeteilten Aufgaben, Kompetenzen und Verantwortlichkeiten wahr.
Frage 29
Die gesetzlichen Rahmenbedingungen für die Bestellung eines Betrieblichen Datenschutzbeauftragten sind uns bekannt.
Frage 30
Die Anforderungen der neuen Europäischen Datenschutzgrundverordnung, die im revidierten Schweizer Datenschutzgesetz berücksichtigt werden, sind uns bekannt. Themen wie « Recht auf Vergessen» oder «Security by Design» stehen bei uns bereits auf der Umsetzungsagenda.