Informationssicherheitskonzept (Realisierung) erarbeiten

Zweck

Das Informationssicherheitskonzept (Realisierung) schafft die Voraussetzungen dafür, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der in einem IT-System geführten Informationen (inkl. Personendaten) gewährleistet werden kann. Bei Rüstungssystemen mit IT-Komponenten trägt es zu deren Verfügbarkeit und bestimmungsgemässen Funktion bei.

Grundidee

Ergibt die Schutzbedarfsanalyse einen erhöhten Schutzbedarf, so ist zusätzlich zum Grundschutz ein Informationssicherheitskonzept (synonym: Informationssicherheits- und Datenschutzkonzept bzw. ISDS-Konzept) zu erstellen. Es beschreibt die Schutzmassnahmen und weist die Umsetzung sowie die nach der Umsetzung voraussichtlich verbleibenden Restrisiken aus.

HERMES spezifisch

Das definitive Informationssicherheitskonzept (Realisierung) wird basierend auf dem provisorischen Informationssicherheitskonzept (Evaluation) gemäss den Vorgaben der Stammorganisation erarbeitet. Es wird mit den Controlling- und Vorgabestellen abgestimmt und kann bei Bedarf durch diese geprüft werden. Die Informationssicherheitsmassnahmen werden bezüglich der Umsetzung geprüft und die Auswirkungen auf die Risiken werden analysiert. Der zuständige Verantwortliche in der Stammorganisation entscheidet über die Risikobehandlung, prüft ob die Restrisiken tragbar sind und entscheidet über die Genehmigung. Die Gesamtheit der Risiken wird vor dem Abschluss der Phase Realisierung dem Anwender, der die Restrisiken trägt, übergeben.

Aktivitäten

  1. Informationssicherheitskonzept (Realisierung) als definitive Version gemäss den Vorgaben der Stammorganisation erarbeiten
  2. Abdeckung der Sicherheitsanforderungen beurteilen und allfällige Lücken schliessen
  3. Sicherstellen, dass die definierten Informationssicherheitsmassnahmen umgesetzt sind
  4. Risiken analysieren, ausweisen und behandeln
  5. Mit den Controlling- und Vorgabestellen abstimmen (fakultativ)
  6. Verantwortlicher der Stammorganisation genehmigt oder weist das definitive Informationssicherheitskonzept (Realisierung) zurück
  7. Übernahme der technischen Ist-Beschreibung in die Betriebsdokumentation des Leistungserbringers

Ergebnisse

  1. Informationssicherheitskonzept (Realisierung)

Beziehungen

Modul Aufgabe Verantwortung Aufgabe Ergebnis Beteiligt an der Ergebniserstellung
Integrale Sicherheit System / Material / IT Informationssicherheitskonzept (Realisierung) erarbeiten ISDS-Verantwortlicher Informationssicherheitskonzept (Realisierung) IT-Architekt, Lebenswegmanager, Mieter Immobilien