ISO/IEC 27001:2022
Die Plattform nutzt ISO/IEC 27001:2022 als Referenzrahmen für Managementsystem, Kontrollen, Nachweise und kontinuierliche Verbesserung.
ISO/IEC 27001:2022 bietet den Management-System-Rahmen, um die IKT-Risikomanagement-Anforderungen aus DORA Kapitel II operativ umzusetzen. Die Kontrollanker aus ISO 27001 werden im IKT-Risikomanagement als Referenz für Kontrollziele, Nachweise und Prüfkriterien genutzt.
Führung und Planung
A.5.1–A.5.4: Leitungsorgan, Strategie, Rollen, Richtlinien für IKT-Risikomanagement.
Risikobeurteilung
A.5.7–A.5.10: Risikoanalyse, Schutzbedarf, Behandlung und Akzeptanz.
Überwachung und Verbesserung
A.5.35–A.5.37, A.10.1–A.10.2: Monitoring, Reporting, kontinuierliche Verbesserung.
Technologische Kontrollen
A.8.1–A.8.16: Schutzmassnahmen, die aus der Risikobehandlung abgeleitet werden.
Die Leitung legt eine Informationssicherheitspolitik fest, die den strategischen Rahmen für alle Sicherheitsmassnahmen vorgibt.
Verantwortlichkeiten für Informationssicherheit sind eindeutig zugewiesen, kommuniziert und umfassen die speziellen Rollen gemäß DORA Art. 4 (Leitungsorgan) und Art. 5 (Interner Ablauf) einschließlich CISO, Sicherheitsbeauftragte und deren Stellvertretung.
Benannte Sicherheitsfunktionen wie CISO und ISB haben klar definierte Zuständigkeiten, Durchgriffsrechte und Berichtspflichten gemäß DORA Art. 4 (Leitungsorganverantwortung) und Art. 5 (Interne Organisation), einschließlich regelmäßiger Berichterstattung an das Leitungsorgan.
Geregelte Kommunikationswege zu Aufsichtsbehörden, CERT/CSIRT und anderen relevanten Stellen.
Aktuelle Bedrohungsinformationen werden gemäß DORA Art. 5-8 systematisch aus vertrauenswürdigen Quellen beschafft, bewertet und für das IKT-Risikomanagement genutzt, einschließlich Information Sharing mit ähnlichen Institutionen und Behörden.
Konfligierende Aufgaben und Verantwortungsbereiche werden getrennt, um Risiken durch Interessenkonflikte, Betrug und unbefugte Handlungen zu reduzieren.
Die Risikobeurteilung für Informationssicherheit wird systematisch durchgeführt, dokumentiert und wiederholt, um Risiken zu identifizieren, zu analysieren und zu bewerten.
Risiken werden durch geeignete Massnahmen behandelt, wobei Optionen der Risikovermeidung, -verminderung, -übertragung oder -akzeptanz dokumentiert und umgesetzt werden.
Informationen werden nach ihrer Kritikalität und Schutzbedürftigkeit klassifiziert und entsprechend gekennzeichnet.
Informationen werden entsprechend der Klassifizierungsstufe mit geeigneten Kennzeichnungen versehen, um eine einheitliche Handhabung sicherzustellen.
Regeln für die Handhabung, Aufbewahrung, Weitergabe und Vernichtung von Informationen werden klassifizierungsabhängig definiert und durchgesetzt.
Alle fuer die Informationssicherheit relevanten rechtlichen, regulatorischen und vertraglichen Anforderungen werden identifiziert, dokumentiert und regelmaessig auf Aktualitaet geprueft.
Personenbezogene Daten werden gemaess DSGVO und nationalen Datenschutzgesetzen geschuetzt; Datenschutz-Folgenabschaetzungen werden durchgefuehrt.
Aufzeichnungen werden vor Verlust, Zerstoerung, Verfaelschung, unbefugtem Zugriff und unbefugter Freigabe geschuetzt.
Betriebsverfahren fuer IKT-Systeme werden dokumentiert, stehen den zustaendigen Mitarbeitern zur Verfuegung und werden regelmaessig auf Aktualitaet geprueft.
Der Zugriff auf Informationen und IKT-Systeme wird durch Berechtigungskonzepte gesteuert.
Der Lebenszyklus von Identitäten wird von der Einrichtung über Aenderungen bis zur Deaktivierung gesteuert und dokumentiert.
Die Zuweisung und Verwaltung von Authentifizierungsinformationen wird durch ein sicheres Verfahren geregelt, einschliesslich initialer Passwortvergabe und Zurücksetzungsprozessen.
Zugriffsrechte werden nach dem Need-to-Know- und Least-Privilege-Prinzip vergeben, regelmässig reviewed und bei Bedarf entzogen.
Sicherheitsanforderungen an Lieferanten werden vertraglich festgelegt und überwacht.
Risiken durch Lieferantenzugriff auf Informationen des Instituts werden identifiziert, bewertet und durch vertragliche Sicherheitsanforderungen adressiert.
Risiken in der IKT-Lieferkette werden erfasst, bewertet und durch Sicherheitsanforderungen an Unterlieferanten adressiert.
Die Einhaltung von Sicherheitsanforderungen durch Lieferanten wird regelmässig überwacht, bewertet und bei Abweichungen nachgesteuert.
Die Nutzung von Cloud-Diensten wird durch spezifische Sicherheitsanforderungen, Vertragsklauseln und Exit-Strategien geregelt.
Ein strukturierter Incident-Response-Prozess ist vorbereitet und wird regelmässig getestet.
Eingegangene Meldungen werden bewertet, priorisiert und einer Entscheidung zugeführt.
Vorfälle werden nach definierten Verfahren bearbeitet, eindämmt und behoben.
Die Informationssicherheit ist in die Geschäftskontinuitätsplanung integriert.
IKT-Systeme sind auf Betriebsunterbrechungen vorbereitet und verfügen über definierte Wiederherstellungsverfahren.
Geschaeftskontinuitaetsplaene werden entwickelt, dokumentiert, regelmaessig getestet und bei wesentlichen Aenderungen aktualisiert.
Die Leitung erhält regelmässig Berichte über die Informationssicherheitslage.
Die Einhaltung interner und externer Vorgaben wird regelmässig überprüft.
Mitarbeiter werden regelmässig für Informationssicherheitsrisiken sensibilisiert und geschult.
Hintergrundueberpruefungen von Mitarbeitern und externen Dienstleistern werden vor Aufnahme der Taetigkeit durchgefuehrt, insbesondere bei sicherheitssensitiven Rollen.
Vertragliche Bedingungen legen die Verantwortlichkeiten des Mitarbeiters fuer Informationssicherheit fest und werden vor Aufnahme der Beschaeftigung vereinbart.
Die mit Telearbeit verbundenen Sicherheitsrisiken werden identifiziert, bewertet und durch angemessene Massnahmen geschuetzt.
Mitarbeiter werden angehalten und in die Lage versetzt, beobachtete oder vermutete Sicherheitsereignisse ueber definierte Meldewege zu berichten.
Sicherheitszonen schützen IKT-Infrastruktur vor unbefugtem physischem Zugriff.
Der physische Zutritt zu Gebaeuden und Raeumen mit IKT-Infrastruktur wird durch Zutrittskontrollsysteme geschuetzt und ueberwacht.
Geraete ausserhalb der gesicherten Raeumlichkeiten des Instituts werden gegen Diebstahl, Verlust und unbefugten Zugriff geschuetzt.
Geraete werden gemaess Herstellervorgaben und institutsinternen Wartungsplänen gewartet; Wartungsarbeiten werden dokumentiert.
Geraete werden vor Entsorgung oder Wiederverwendung sicher von Daten befreit und gemaess Umweltvorschriften entsorgt.
Dokumente und IKT-Geraete werden bei Nichtnutzung vor unbefugtem Zugriff geschuetzt; Bildschirme werden bei Verlassen des Arbeitsplatzes gesperrt.
IKT-Systeme werden vor physischen und umweltbedingten Bedrohungen geschuetzt.
IKT-Systeme werden vor unbefugtem physischen Zugriff geschuetzt.
Technische Schwachstellen werden identifiziert, bewertet und behoben.
Ereignisprotokolle werden erfasst, aufbewahrt und regelässig ausgewertet.
Die Nutzung von IKT-Systemen wird auf Anomalien überwacht.
Testumgebungen und -daten sind gegen unbefugte Nutzung und Offenlegung geschützt.
Aenderungen an Informationen, IKT-Systemen und Prozessen werden kontrolliert geplant, bewertet, freigegeben und nachverfolgt.
Produktive Daten in Testumgebungen werden minimiert, geschuetzt und nur unter klaren Freigaberegeln verwendet.
Informationen in Benutzerendpunkten sind geschützt.
Sichere Authentifizierungsmechanismen werden implementiert, um unbefugten Zugriff zu verhindern.
Zugriff auf Informationen und IKT-Systeme wird auf der Basis geschäftlicher und Sicherheitsanforderungen kontrolliert.
Die Sicherheit von IKT-Dienstleistungen, die über Netze erbracht werden, wird sichergestellt.
Sicherheitsanforderungen werden in der Softwareentwicklung berücksichtigt.
Sicherungskopien von Informationen, Software und Systemen werden gemäß eines festgelegten Zeitplans aufbewahrt.
Ereignisse, die für die Informationssicherheit relevant sind, werden protokolliert und analysiert.
IKT-Komponenten werden redundant ausgelegt, um die Verfügbarkeit zu gewährleisten.
Verschlüsselung wird zur Erfüllung von Informationssicherheitsanforderungen verwendet.
Die Vergabe und Nutzung privilegierter Zugriffsrechte wird besonders geschuetzt, ueberwacht und regelmaessig ueberprueft.
IKT-Systeme werden durch geeignete Massnahmen gegen Schadsoftware geschuetzt; Praevention, Erkennung und Beseitigung sind in einem Massnahmenbuendel verankert.
Die Systemuhren aller relevanten IKT-Systeme werden mit einer referenzierten Zeitquelle synchronisiert, um eine konsistente Protokollierung zu gewaehrleisten.
Regeln fuer die sichere Entwicklung von Software und IKT-Systemen werden im gesamten Lebenszyklus angewandt, von der Anforderungsanalyse bis zur Wartung.
Sicherheitsanforderungen fuer Softwareentwicklung werden in der Anforderungsphase definiert und vor der Entwicklung freigegeben.
Systeme werden nach dem Prinzip der verteidigungstiefen Architektur (Defence in Depth) entworfen und implementiert.
Sicherheitstests werden waehrend der Entwicklung durchgefuehrt (SAST, DAST, Dependency-Checks, Penetrationstests) vor der Produktionsfreigabe.
Bei fremdvergebener Softwareentwicklung werden die Sicherheitsanforderungen vertraglich festgelegt und die Einhaltung ueberwacht.
Entwicklungs-, Test- und Produktionsumgebungen sind technisch und organisatorisch getrennt, um unbeabsichtigte Auswirkungen auf den Produktivbetrieb zu verhindern.
Netzwerke und IKT-Systeme, die darüber erreichbar sind, werden geschützt.
Sicherheitsmechanismen, Dienstebenen und Managementanforderungen von Netzwerkdiensten werden identifiziert und implementiert.
Netze werden in separate Netzsegmente unterteilt.
Der Zugriff auf externe Webseiten wird gemanagt.
Richtlinien für den Einsatz kryptographischer Massnahmen werden entwickelt und implementiert.
Hinweis: Diese Inhalte sind Umsetzungshilfen und kuratierte Hinweise. Sie ersetzen keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.
