Eine Informationssicherheitsstrategie ist vorhanden. Sie wurde vom obersten Management verabschiedet und in Kraft gesetzt.

Basierend auf der Informationssicherheitsstrategie ist ein aktuelles Sicherheitsdispositiv in Form von verbindlichen Weisungen (Security Policies) für alle relevanten Informationssicherheitsbereiche (technisch und organisatorisch) vorhanden.

Ein Informationssicherheitsgremium ist etabliert. Es tagt regelmässig und wird vom Informationssicherheitsbeauftragten ("CISO") geleitet.

Die Umsetzung von Informationssicherheitsmassnahmen wird unternehmensweit koordiniert und sichergestellt.

Es gibt ein spezielles Selektionsverfahren inkl. Sicherheitsüberprüfungen für Bewerber in sensiblen Informationssicherheitsbereichen (z.B. IT Administrator).

Neue Mitarbeitende erhalten eine für ihren Tätigkeitsbereich zugeschnittene Informationssicherheitsschulung. Zudem finden regelmässig unternehmensweite Awarenessmassnahmen zum Thema Informationssicherheit statt.

Alle Einrichtungen (z.B. IT Systeme, Applikationen, Datenbanken, Gebäude etc.), die unternehmenskritische Informationen bereitstellen oder beinhalten, sind bekannt und inventarisiert.

Richtlinien zur Gewährleistung der technischen Zugangs-und Zugriffskontrollen sind aktuell und implementiert.

Ein automatisiertes Rollen-und Berechtigungssystem gewährleistet den Zugriff auf Daten und Informationen gemäss "Need-to-know-Ansatz".

Daten und Informationen mit einem erhöhten Schutzbedarf sind jederzeit vor unerlaubter Einsichtnahme geschützt (z.B. durch Verschlüsselung).

Zum Schutz von Bereichen, in denen sich sensitive Informationen oder informationsverarbeitende Einrichtungen befinden, sind Sicherheitszonen festgelegt.

Die Informatik-Betriebsprozesse sind dokumentiert und werden entsprechend aktuell gehalten.

Die technische und logische Funktionentrennung von Informatik-Betriebsmitteln (z. B. Trennung von Produktions-und Testbetrieb) wird gemäss den Geschäftsanforderungen eingehalten.

Regelmässig durchgeführte und dokumentierte Restore-Tests zeigen auf, dass die Verfügbarkeit von Daten im Falle eines technischen Betriebsunterbruchs oder -ausfalls jederzeit gewährleistet werden kann.

Gruppen von Informationssystemen sind netzwerktechnisch separiert (z. B. Netzwerksegmentierung). Entsprechende Kommunikationsregeln sind implementiert (z. B. White List).

Es gibt formelle Kontrollverfahren, um Änderungen an Informationsverarbeitenden Systemen durchzuführen.

Externe Partner (z.B. IT Provider) werden zur Einhaltung unserer Informationssicherheitsanforderungen vertraglich verpflichtet und diesbezüglich von uns überprüft.

Für Informationssicherheitsvorfälle gibt es ein risikoorientiertes Klassifikationsschema sowie einen dokumentierten Incident-Management-Prozess.

Es sind die relevanten gesetzlichen, amtlichen und vertraglichen Anforderungen für jedes Informationssystem identifiziert und dokumentiert.

Es werden regelmässig interne Reviews durchgeführt, die die Wirksamkeit der umgesetzten Massnahmen zur Gewährleistung der Informationssicherheit aufzeigen.

Der Meldepflicht für personenbezogene Datensammlungen kommen wir gemäss Art 11. Abs. 5e DSG (Datenschutzgesetz) vollumfänglich nach.

Die technischen und organisatorischen Massnahmen zur Einhaltung der Datenschutzanforderungen sind bekannt und implementiert.

Es finden zudem regelmässig interne Prüfungen statt um sicherzustellen, dass die Bearbeitungsgrundsätze für Personendaten gemäss DSG eingehalten werden. Dies betrifft in erster Linie besonders schützenswerte Personendaten.

Vertragspartner werden zur Einhaltung der Datenschutzanforderungen vertraglich verpflichtet und diesbezüglich von uns überprüft.

Die Mitarbeitenden wurden über ihre Pflichten bezüglich der Bearbeitungsgrundsätze von Personendaten aktiv informiert.

Eine Rollen- und Funktionentrennung zwischen dem Datenschutz- und Informationssicherheitsbeauftragten ist vorhanden. Fachliche und/oder organisatorische Interessenskonflikte sind ausgeräumt.

Auftretende Datenschutzverletzungen werden über einen etablierten Melde- und Bearbeitungsprozess abgewickelt. Der (betriebliche) Datenschutzverantwortliche wird in solchen Fällen pro-aktiv informiert.

Die Datenverantwortlichen (Data Owner) sind bekannt. Sie nehmen Ihre Rolle gemäss der zugeteilten Aufgaben, Kompetenzen und Verantwortlichkeiten wahr.

Die gesetzlichen Rahmenbedingungen für die Bestellung eines Betrieblichen Datenschutzbeauftragten sind uns bekannt.

Die Anforderungen der neuen Europäischen Datenschutzgrundverordnung, die im revidierten Schweizer Datenschutzgesetz berücksichtigt werden, sind uns bekannt. Themen wie « Recht auf Vergessen» oder «Security by Design» stehen bei uns bereits auf der Umsetzungsagenda.