Das eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) will künftig die Risiken bei den Informationssystemen besser überwachen. Zu diesem Zweck habe mein verschiedene Massnahmen ergriffen, heisst es aus Bundesbern. Dazu sollen eine neue, standardisierte Anwendung für alle Verwaltungseinheiten gehören sowie eine Erhebung, bis wann eine ISO-Zertifizierung des Informationssicherheitsmanagements im gesamten Departement möglich sei. Die Massnahmen gingen auf einen Prüfbericht der internen Revision VBS zurück, so die Mitteilung.
Verbesserungspotential erkannt
Hintergrund dazu ist, dass seit 2018 sämtliche dezentralen Verwaltungseinheiten des VBS ihre Risiken bezüglich Informationssicherheit gezielt mit einem sogenannten Informationssicherheits-Managementsystem (ISMS) bewirtschaften müssen. Die Basis dafür bildet der internationale ISO/IEC 27001. Damit soll sichergestellt werden, dass die Verwaltungseinheiten die Risiken der Informations- und Cybersicherheit systematisch identifizieren und im Einklang mit ihren Geschäftszielen reduzieren.
Das Generalsekretariat VBS konsolidiert gemäss Mitteilung in einem eigenen ISMS auf zentraler Ebene sämtliche Risiken des Departements und sorge so für die Steuerung, Unterstützung und Überwachung der ISMS der Verwaltungseinheiten. Eine Prüfung der Internen Revision VBS habe nun aber gezeigt, dass dieses ISMS auf Stufe Departement noch nicht die erwartete Wirkung entfalte. Die Chefin VBS, Bundesrätin Viola Amherd, habe daraufhin die Umsetzung von verschiedenen Massnahmen angeordnet.
Auf zentraler Ebene soll nun bis Ende 2021 eine bereits laufende Standortbestimmung durchgeführt werden. Diese soll aufzeigen, wie die Informationssicherheit im ganzen Departement weiter verbessert werden könne. Dabei werde auch erhoben, bis wann eine ISO-Zertifizierung des ganzen Departements möglich sei.
Als weitere Massnahme für eine höhere Wirksamkeit soll in Zukunft zudem eine standardisierte ISMS-Anwendung die optimierte Steuerung der Risiken erlauben. Damit sollen die Verwaltungseinheiten des VBS wie auch das Generalsekretariat ihre Sicherheit künftig einfacher, systematischer und effizienter führen können, so das Postulat.
