Der Betreiber verfügt über einen unternehmensweiten Ansatz und eine geeignete Organisationsstruktur, um das Management der auf die Informationssicherheit ausgerichteten Aufgaben und Aktivitäten zu planen, durchzuführen, zu überwachen und zu verbessern (Informationssicherheitsmanagement).
Er legt angemessene Ziele fest hinsichtlich der Verfügbarkeit, Integrität, Vertraulichkeit, Nachvollziehbarkeit, Authentizität, Zurechenbarkeit und Nichtabstreitbarkeit von Informationen, insbesondere der Daten von Geschäften, die über die Finanzmarktinfrastruktur abgerechnet oder abgewickelt werden (Informationssicherheitsziele).
Der Betreiber trifft organisatorische und technische Massnahmen, um die Informationssicherheitsziele zu erfüllen, und zwar sowohl im Normalbetrieb als auch während Entwicklungs- und Unterhaltsarbeiten und bei erhöhten Transaktionsvolumen. Insbesondere trifft er Vorkehrungen, um:
unternehmensinterne und externe Bedrohungen für die Informationssicherheit zu identifizieren, zu analysieren und zu bewerten sowie bei Bedarf Schutzmassnahmen umzusetzen;
die physische Sicherheit der Einrichtungen der Informationsverarbeitung zu gewährleisten;
den sicheren und kontinuierlichen Betrieb der Einrichtungen der Informationsverarbeitung zu gewährleisten;
Zugriffe auf Informationen und Einrichtungen der Informationsverarbeitung zu regeln, zu protokollieren und auszuwerten;
Daten vor Verlust, Abfluss, unautorisiertem Zugriff und anderen Verarbeitungsrisiken wie Unachtsamkeit, Betrug, mangelhafter Verwaltung und unangemessener Aufbewahrung zu schützen;
die sichere Speicherung und Übermittlung von sensiblen Daten zu gewährleisten;
die richtige und vollständige Bearbeitung der Geschäfte sicherzustellen;
Geschäfte auf allen wesentlichen Bearbeitungsstufen, insbesondere bei der Eingabe in das Informationsverarbeitungssystem und bei der Ausgabe aus diesem, aufzuzeichnen und zu prüfen;
Eingriffe in das Informationsverarbeitungssystem wie Softwareänderungen oder Änderungen der Parameter aufzuzeichnen und zu überwachen;
1 Fehler in der Verarbeitung und Störungen des Informationsverarbeitungssystems zeitnah und standardisiert aufzuzeichnen, auszuwerten, zu beheben und eine Wiederholung zu vermeiden.
Er überprüft regelmässig die Angemessenheit und die Einhaltung der Informationssicherheitsziele gemäss Absatz 2.
Footnotes
Fassung gemäss Ziff. I der V der SNB vom 26. Nov. 2015, in Kraft seit 1. Jan. 2016 (AS 2015 5307). ↩
0 commentaries
No commentaries are available for this article yet.