Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

Trust Center

Sicherheitsprogramm

Massnahmen, Reifegrade und Metriken des Sicherheitsprogramms — abgestimmt auf die Anforderungen des IKT-Risikomanagements.

Zurück zum Trust Center
SP-CYBER-STRAT reviewed

Cyber Security Strategy

Definierte und vom Leitungsorgan verabschiedete Cybersicherheitsstrategie mit strategischen Zielen, Bedrohungslandschaftsanalyse und Massnahmen-Roadmap.

Defined
Prozesse konsistent angewendet und dokumentiert
Jährlich Customer Relevant
Owner: Chief Information Security Officer (CISO)
SP-CYBER-DEF reviewed

Cyber Defense Function

Aufbau und Betrieb einer Cyber-Defense-Funktion mit klaren Rollen, Verantwortlichkeiten, Eskalationswegen und Integration in das IKT-Risikomanagement.

Managed
Prozesse definiert und bekannt, aber nicht durchgängig umgesetzt
Kontinuierlich Customer Relevant
Owner: Head of Security Operations
SP-SIEM reviewed

SIEM Monitoring

Betrieb eines Security Information and Event Management (SIEM)-Systems mit definierten Use Cases, Korrelationsregeln, Alarmierung und 24/7-Überwachung.

Managed
Prozesse definiert und bekannt, aber nicht durchgängig umgesetzt
Kontinuierlich Customer Relevant
Owner: SOC Manager
SP-EDR reviewed

EDR Deployment

Flächendeckender Einsatz von Endpoint Detection and Response (EDR) auf allen Endgeräten mit zentraler Verwaltung, Threat-Intelligence-Integration und Incident-Response-Automation.

Managed
Prozesse definiert und bekannt, aber nicht durchgängig umgesetzt
Kontinuierlich Internal
Owner: SOC Manager / IT-Betrieb
SP-VULN-MGMT reviewed

Vulnerability Management

Systematischer Schwachstellenmanagement-Prozess mit regelmässigen Scans, CVSS-basierter Bewertung, risikobasierten Behebungsfristen und Nachbehandlungsvalidierung.

Quantitatively Managed
Prozesse überwacht, gemessen und gesteuert
Kontinuierlich Customer Relevant
Owner: Vulnerability Manager / IT-Sicherheit
SP-HARDEN reviewed

Hardening & Compliance

Systematische Härtung aller IKT-Systeme nach CIS-Benchmarks oder äquivalenten Standards mit regelmässigen Compliance-Scans und Abweichungsmanagement.

Quantitatively Managed
Prozesse überwacht, gemessen und gesteuert
Kontinuierlich Internal
Owner: IT-Sicherheit / IT-Betrieb
SP-SEC-KPI reviewed

Security KPIs

Definition, Messung und Berichterstattung von Sicherheits-Kennzahlen (KPIs/KRIs) mit Schwellwerten, Ampelsystematik und Management-Dashboards.

Defined
Prozesse konsistent angewendet und dokumentiert
Quartalsweise Customer Relevant
Owner: CISO / Risikocontrolling
SP-SETA reviewed

Security Awareness Training (SETA)

Rollenbasiertes Sicherheitsbewusstseinsprogramm mit jährlichen Pflichtschulungen, Onboarding-Modulen und zielgruppenspezifischen Inhalten.

Managed
Prozesse definiert und bekannt, aber nicht durchgängig umgesetzt
Jährlich Customer Relevant
Owner: Security Awareness Manager / Personalentwicklung
SP-PHISH reviewed

Phishing Simulation

Regelmässige Phishing-Simulationen mit gestaffelten Kampagnen, Metriken zu Klickraten und Meldungsquoten sowie zielgerichteten Nachschulungen.

Managed
Prozesse definiert und bekannt, aber nicht durchgängig umgesetzt
Quartalsweise Customer Relevant
Owner: Security Awareness Manager
SP-IRP reviewed

Incident Response Playbooks

Dokumentierte und getestete Incident-Response-Playbooks für relevante Bedrohungsszenarien mit Rollen, Kommunikationswegen und regulatorischen Meldewegen.

Defined
Prozesse konsistent angewendet und dokumentiert
Jährlich Customer Relevant
Owner: Incident Response Manager
SP-TTX reviewed

Tabletop Exercises

Regelmässige Tabletop-Übungen mit der Geschäftsleitung und Fachbereichen zur Validierung der Incident-Response- und Business-Continuity-Fähigkeiten.

Managed
Prozesse definiert und bekannt, aber nicht durchgängig umgesetzt
Jährlich Customer Relevant
Owner: BCM-Beauftragter / Incident Response Manager
SP-RECOV reviewed

Recovery Tests

Regelmässige Wiederherstellungstests mit definierten RTO/RPO-Vorgaben, Testprotokollen und dokumentierten Abweichungen.

Defined
Prozesse konsistent angewendet und dokumentiert
Quartalsweise Customer Relevant
Owner: BCM-Beauftragter / IT-Betrieb
SP-SUPPLIER reviewed

Supplier Security Monitoring

Systematische Überwachung der Sicherheitslage kritischer IKT-Drittdienstleister mit regelmässigen Assessments, Zertifikatsprüfungen und Risikoneubewertungen.

Managed
Prozesse definiert und bekannt, aber nicht durchgängig umgesetzt
Quartalsweise Customer Relevant
Owner: Auslagerungsmanagement / IT-Sicherheit
SP-PENTEST reviewed

Penetration Testing Programme

Jährliches unabhängiges Penetration-Testing-Programm mit definiertem Scope, Methodik, Findings-Management und Retesting-Zyklus.

Quantitatively Managed
Prozesse überwacht, gemessen und gesteuert
Jährlich Customer Relevant
Owner: CISO / IT-Sicherheit
SP-CODE-SCAN reviewed

Code Review & Dependency Scanning

Automatisierte und manuelle Code-Reviews mit SAST/DAST-Tooling und kontinuierlichem Dependency-Scanning auf bekannte Schwachstellen (SCA).

Quantitatively Managed
Prozesse überwacht, gemessen und gesteuert
Kontinuierlich Customer Relevant
Owner: DevSecOps Lead / IT-Sicherheit

Dieses Sicherheitsprogramm dient der Planung und internen Steuerung. Die dargestellten Reifegrade basieren auf Selbsteinschätzungen und sind nicht extern geprüft. Keine rechtsverbindliche Zusicherung.