DSP im Projekt
Digitale Sicherheit und Privatsphäre im Projekt
Die digitale Sicherheit und Privatsphäre (DSP) adressiert die Informations- und Cybersicherheit sowie den Schutz von Personendaten (Datenschutz) im digitalen Umfeld. Die DSP ist ein integraler Aspekt in allen Projekten im Bereich der digitalen Transformation und der Informationstechnologie.
Dreh- und Angelpunkt der DSP ist das DSP-Konzept. Es bildet die Grundlage für die Festlegung der Massnahmen für die Informationssicherheit und den Datenschutz. Die Notwendigkeit und Ausprägung eines DSP-Konzepts wird durch die DSP-Vorabklärung definiert.
Folgende Dokumente sind für die Projektabwicklung relevant:
* Zusammen stellen diese drei Dokumente das DSP Konzept dar.
Ziele
- Die Projektorganisation beachtet über den ganzen Projektverlauf die digitale Sicherheit und Privatsphäre.
- Risiken und Cybersicherheit werden angemessen behandelt.
- Compliance gegenüber der Datenschutzgesetzgebung wird erreicht
Prozess «Digitale Sicherheit und Privatsphäre in Projekt»
Aufgabe «Digitale Sicherheit und Privatsphäre in Projekt»
| Nr. |
Phase |
Aufgaben |
Weiterführende Links / Dokumente |
| 01 |
Initialisierung |
1.01 Triage durchführen (PL)
1.02 Datenschutz Schwellwertanalyse durchführen (PL + FDSP)
1.03 Schutzbedarf festlegen (FDSP) |
- DSP Vorabklärung
- Projektauftrag
|
| 02 |
Konzeption |
2.01 Architekturübersicht, Kommunikationsverbindungen und Datenflüsse dokumentieren (PL)
2.02 DSP Anforderungen definieren und Umsetzungshinweise ergänzen (FDSP)
|
- Systemarchitektur
- Checkliste DSP Anforderungen (Excel)
- Datenschutzfolgenabschätzung
|
| 03 |
Umsetzung |
3.01 Anforderungen umsetzen und dokumentieren (PL)
3.02 Datenschutzfolgeabschätzung (DSFA) erstellen (falls gemäss 1.02 notwendig)
|
- Checkliste DSP Anforderungen (Excel)
- Allf. techn. / org. Detailkonzepte
- Datenschutzvereinbarungen
- Lieferantenverträge, SLAs
|
| 04 |
Prüfung |
4.01 Umsetzung DSP-Anforderungen prüfen (Abnahme durch FDSP mit Vorabnahmeprotokoll)
4.02 ggf. externes Audit / Penetrationstest (FDSP)
4.03 Nachbesserungen (PL)
4.04 Risikoanalyse und –bewertung (FDSP + PL)
4.05 Übernahme verbleibende Risiken (AG, StG)
|
- Checkliste DSP Anforderungen (Excel)
- Auditberichte
- Risikoanalyse
- Vorabnahmeprotokoll
|
| 05 |
Abschluss |
5.01 Abnahme durchführen
|
- Abnahmeprotokoll
- Schlussbeurteilung
|
PL = Projektleiter: Ist verantwortlich, dass die zugeteilten Aufgaben ausgeführt werden. Die Aufgaben können auch an den PL-ZID delegiert werden.
Quality Gates
| Prüfpunkte |
Bedeutung |
QG1
(MS20) |
- DSP Vorabklärung ist durchgeführt und durch FDSP abgenommen
- Sicherheits- und Datenschutzziele sind im Projektauftrag definiert
- Grobanforderungen DSP sind im Projektauftrag definiert
|
|
QG2
(MS26)
|
- DSP Systemarchitekturübersicht ist ausgefüllt und durch FDSP abgenommen
- Anforderungen DSP und Umsetzungshinweise durch FDSP sind bestimmt, besprochen und vereinbart
- Das QG2 ist erfüllt wenn die Architekturübersicht abgenommen und die DSP Anforderungen bestimmt sind
|
QG3
(MS35) |
- DSP Anforderungen sind nachweislich umgesetzt
- Falls notwendig, ist Datenschutzfolgeabschätzung durch DSFA erstellt
- Abnahmeprüfung ist erfolgt
- Nachbesserungen sind umgesetzt
- Das QG3 ist erfüllt, wenn die Vorabnahme erfolgt ist und FDSP diese unterzeichnet hat (Meilenstein 35 «Vorabnahme»)
|
QG4
(MS45) |
- Risikoanalyse ist durchgeführt
- Verbleibende Risiken sind nachweislich übernommen
- Das QG4 ist erfüllt, wenn die Abnahme erfolgt ist und FDSP diese unterzeichnet hat (Meilenstein 45 «Abnahme»)
|
Weiterführende Links
| Nr. |
Thema |
Link zum Thema |
| 01 |
kDSG |
sRSL |
| 02 |
Weisung DSP |
Intranet |
| 03 |
IKT-Anwenderweisung |
Intranet |
| 04 |
DSP Standards |
Intranet |
| 05 |
Intranet Fachstelle DSP |
Intranet |
