Um unsere Dienstleistungen erfolgreich und v.a. auch nachhaltig erbringen zu können, sind Vertraulichkeit, Verfügbarkeit, Integrität sowie Nachvollziehbarkeit unserer Informationswerte von entscheidender Bedeutung.
Zu diesem Zweck haben wir ein Informationssicherheits-Managementsystem (ISMS) aufgebaut. Es entspricht der BSV-Weisung „Weisungen über die Anforderungen an die Informationssicherheit und den Datenschutz der Informationssysteme der Durchführungsstellen der 1. Säule/FamZ (W-ISDS)“. Das ISMS wird ab 2025 einer externen Überprüfung unterzogen und entsprechend stetig verbessert.
Dieses Papier beschreibt die wichtigsten Grundsätze für den angemessenen Schutz aller Informationswerte vor Bedrohungen jeglicher Art, ob intern oder extern, ob absichtlich oder versehentlich. Sie bezwecken den Schutz von Informationen im geschäftlich geforderten Masse.
Ziel des ISMS ist der Schutz unserer Informationswerte (Daten, Dokumente, IS-Infrastruktur) bzgl. der 4 Schutzziele vor möglichen Gefährdungen (z.B. Hackerangriff oder versehentliche Publikation vertraulicher Dokumente).
Das ISMS gilt für die ganze Ausgleichskasse.
Die hier aufgeführten Schutzziele sind Vorgabe der Kassenleitung bzgl. Vertraulichkeit, Verfügbarkeit und Integrität der Daten. Die hier definierten Stufen bzw. „Schutzgruppen“ werden u.a. zur Typisierung der Werteliste verwendet.
Im Unterschied dazu, dient die Schutzbedarfsanalyse (AKIS) dazu festzustellen, ob ein erhöhter Schutzbedarf vorliegt oder nicht.
Schutzziel (gem. DSV Art. 2): Zugang nur für einen entsprechend autorisierten Personenkreis.
Verständnis AK: Zu schützen sind sämtliche Personendaten, insbesondere besonders schützenswerte Personendaten gem. DSG Art. 5c. Dazu gehören Daten aus dem Umfeld unserer Kunden sowie auch Daten unsere Mitarbeitenden und Partner. Der Begriff Schutzgruppe umfasst auch weitere schützenswerte Daten wie z.B. Geschäftsgeheimnisse oder auch Projektdaten.
| Stufe | Beschreibung | Beispiele |
| Öffentlich | Alle nicht internen oder vertraulichen Informationen | InternetauftrittPosts auf Social MediaNews- und Presseinformationen |
| Intern | Alle nicht besonders schützenswerten Personendaten (gem. DSG Art. 5c)Alle internen, nicht vertraulichen Geschäfts- und Projektdaten | Daten der MitarbeitendenAlle übrigen Personendaten wie z.B. Mitarbeitende der Kunden und Geschäftspartner |
| Vertraulich | Alle besonders schützenswerten Personendaten (gem. DSG Art. 5c)Alle internen Informationen, deren Publikation die Wettbewerbsfähigkeit oder den Ruf der Kasse schädigen könnten. | Daten/Dokumente über IV-Taggelder oder IV-RentenDossier der eigenen MitarbeitendenFinanzbuchhaltungDokumenten GeschäftsleitungNetzwerkpläne der Informatik |
Schutzziel (gem. DSV Art. 2): Informationen stehen für autorisierte Zwecke ausreichend schnell zur Verfügung.
Verständnis AK: Wir wollen für unsere Kunden in einem vernünftigen Ausmass verfügbar sein. Das gilt für unsere persönliche/telefonische Auskunftsbereitschaft und natürlich auch für die Kundenplattform connect. Mit geeigneten Massnahmen (z.B. Backups, Redundanz kritischer Systeme) minimieren wir die Chance von Systemausfällen. Gleichzeitig bereiten wir uns für Katastrophenszenarien vor.
| Stufe | Max. Ausfalldauer | Beschreibung | Beispiele |
| Normal | < 1 Tag | Alle übrigen Daten | |
| Hoch | > 1 Tag | All jene Daten, welche in connect für Mitglieder und künftig Versicherte benötigt werden | Auflistung aller Mitarbeitenden, Kontokorrent |
Schutzziel (gem. DSV Art. 2): Daten dürfen nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität). Änderungen von Daten müssen nachvollziehbar sein (Nachvollziehbarkeit).
Verständnis AK: Wir subsummieren in diesem Schutzziel primär die Anforderungen der Nachvollziehbarkeit (bzw. Protokollierung). Unser Kernsystem AKIS umfasst weitreichende Protokollierungsmassnahmen. Spezielle Massnahmen für dieses Schutzziel sind daher nur ausserhalb von AKIS notwendig. Siehe auch DSV Art. 4.
Hinweis: in unserem ISMS wird das Schutzziel der Nachvollziehbarkeit jeweils als Teil des Ziels Integrität subsummiert.
| Stufe | Beschreibung | Beispiele |
| Normal | Alle übrigen Daten | |
| Hoch | Alle Anspruchsdaten für Leistungen | Anspruchsdaten für Renten, IV-Taggelder, Familienzulagen u.a.m.Individuelles KontoKontokorrent |
Die nachstehende Tabelle zeigt die wichtigsten für den Aufbau sowie den Unterhalt des ISMS zuständigen Rollen. Zudem ist hier auch definiert, welchen Anteil (%) eine Vollzeitstelle für den wiederholten Betrieb des ISMS aufwenden sollte.
| Rolle | Hauptaufgaben (Ziffern gem. Anhang A der Norm 2022) |
| ISB (Informationssicherheitsbeauftragter) | Gesamtverantwortung für ISMS |
| Berät die AK in Themen des Datenschutzes | |
| DSB (Datenschutzberater) | Kommunikation in Katastrophenszenarien |
| Verantwortlich und Anlaufstelle im Incident Management | |
| Leiter Kommunikation | Physische Sicherheit |
Der Betrieb des ISMS folgt dem PDCA-Prinzip, welches das Grundprinzip der kontinuierlichen Verbesserung ist.
Prüfungen und Messungen sowie Awareness-Trainings für die Mitarbeitenden stellen sicher, dass die Mängel frühzeitig erkannt werden. Ein internes Audit stellt zudem sicher, dass Mängel nicht erst in der ordentlichen Hauptrevision erkannt werden.
| Inhalt | Mitarbeitende | Kunden | Behörden | Presse |
| Allgemeine Infos zum Thema ISDS | ISB | Leiter AK [1] | Leiter AK [1] | — |
| Orientierung über Sicherheitsvorfälle | ISB | Leiter AK [1] | Leiter AK [1] | Leiter AK in Absprache mit dem BSV |
Ein wichtiger Baustein für eine hohe Informationssicherheit ist das Bewusstsein der Mitarbeitenden zu stärken. In diesem Sinne bieten wir unseren Mitarbeitenden E-Learning Module an.
| Personenkreis | Zeitpunkt | Massnahme | Zuständig |
| Mitarbeitende (alle) | Neueintritt Firma | Innerhalb der ersten drei Arbeitstage werden dem neuen Mitarbeitenden die IT-Nutzungsbestimmungen erklärt. | Leiter HR |
| Mitarbeitende (alle) | Neueintritt Firma | Bei der Anstellung werden die aktuellen infosec E-Learning-Module aufgeschaltet und müssen innerhalb eines Monats erledigt. | Leiter IT |
| Mitarbeitende (alle) | Neue E-Learning Module werden von IGAKIS aufgeschaltet | Die neu aufgeschalteten E-Learning Module werden durch die IT beurteilt und der Zeitaufwand abgeschätzt. | ISB |
| Mitarbeitende (alle) | Periodisch | Interne Infoveranstaltungen | ISB |
| Mitarbeitende (alle) | Periodisch | Awareness-Trainings (inkl. Tests) | ISB |
Sicherheitsvorfälle werden auch dann auftreten, wenn wir geeignete Massnahmen ergriffen haben. Mitarbeitende sind angehalten, jegliche Art von Beobachtungen, Ereignissen oder Vorfällen zu melden.
Wichtige Punkte:
| Typ Lieferant | Regelung |
| Lieferanten der IGAKIS wie z.B. M&S | Eine sicherheitsmässige Überprüfung dieser Lieferanten erfolgt durch die IGAKIS. |
| Übrige Lieferanten | Die in der „Lieferantenliste“ aufgeführten Lieferanten sind jährlich bzgl. der folgenden Punkte zu überprüfen:Vertragliche Regelung vorhandenGeschäftsbeziehung noch aktuellAnsprechpartner mit KoordinatenExistiert eine GeheimhaltungsvereinbarungDie Lieferantenliste ist Teil des sog. Notfallhandbuchs. |