Informationssicherheitskonzept (Evaluation) erarbeiten

Zweck

Das Informationssicherheitskonzept (Evaluation) schafft die Voraussetzungen dafür, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der in ei nem IT-System oder in einem Rüstungssystem mit IT-Komponenten geführten Informationen (inkl. Personendaten) gewährleistet werden kann. Bei Rüstungssystemen trägt es zu deren Verfügbarkeit und bestimmungsgemässen Funktion bei.

Das Informationssicherheitskonzept (Evaluation) für IT-Systeme oder für Rüstungssysteme mit IT-Komponenten wird in der Vorevaluations- und Evaluationsphase auf seine Realisierbarkeit und Angemessenheit überprüft. Zugleich stellt es sicher, dass bereits in der Vorevaluations- und Evaluationsphase die Informationssicherheit und der Datenschutz nach den Auflagen der Hersteller, des Herkunftslandes und des VBS gewährleistet sind.

Grundidee

Mit dem Informationssicherheitskonzept (Evaluation) wird sichergestellt, dass Erprobung und Truppenversuch die Aspekte der Informationssicherheit berücksichtigen können. Darin enthalten ist eine detaillierte Risikoanalyse. Die Schutzmassnahmen werden definiert.

HERMES spezifisch

Das Informationssicherheitskonzept (Evaluation) wird gemäss den Vorgaben der Stammorganisation erarbeitet. Es wird mit den Controlling- und Vorgabestellen abgestimmt und durch diese geprüft. Die Sicherheitsanforderungen werden auf deren Abdeckung überprüft und Informationssicherheitsmassnahmen definiert, damit die Sicherheitsanforderungen in ausreichendem Mass erfüllt werden. Restrisiken werden identifiziert und ausgewiesen. Der zuständige Verantwortliche der Stammorganisation prüft, ob diese tragbar sind und entscheidet über die Genehmigung.

Aktivitäten

  1. Informationssicherheitskonzept (Evaluation) gemäss den Vorgaben der Stammorganisation erarbeiten
  2. Risiken identifizieren und ausweisen
  3. Abdeckung der Sicherheitsanforderungen beurteilen und allfällige Lücken schliessen
  4. Informationssicherheitsmassnahmen festlegen, zwingend in die Ausschreibungsunterlagen übernehmen und die Realisierung der Massnahmen planen
  5. Mit den Controlling- und Vorgabestellen abstimmen
  6. Verantwortlicher der Stammorganisation genehmigt oder weist das Informationssicherheitskonzept (Evaluation) zurück

Ergebnisse

  1. Informationssicherheitskonzept (Evaluation)

Beziehungen

Modul Aufgabe Verantwortung Aufgabe Ergebnis Beteiligt an der Ergebniserstellung
Integrale Sicherheit System / Material / IT Informationssicherheitskonzept (Evaluation) erarbeiten ISDS-Verantwortlicher Informationssicherheitskonzept (Evaluation) IT-Architekt, Lebenswegmanager, Mieter Immobilien