Landesrecht 9 Wirtschaft - Technische Zusammenarbeit 95 Kredit
Internal Law 9 Economy - Technical cooperation 95 Credit

951.131 Verordnung vom 18. März 2004 zum Bundesgesetz über die Schweizerische Nationalbank (Nationalbankverordnung, NBV)

951.131 Ordinance of 18 March 2004 on the Federal Act on the Swiss National Bank (National Bank Ordinance, NBO)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 32a Informationssicherheit

1 Der Betreiber verfügt über einen unternehmensweiten Ansatz und eine geeignete Organisationsstruktur, um das Management der auf die Informationssicherheit ausgerichteten Aufgaben und Aktivitäten zu planen, durchzuführen, zu überwachen und zu verbessern (Informationssicherheitsmanagement).

2 Er legt angemessene Ziele fest hinsichtlich der Verfügbarkeit, Integrität, Vertraulichkeit, Nachvollziehbarkeit, Authentizität, Zurechenbarkeit und Nichtabstreitbarkeit von Informationen, insbesondere der Daten von Geschäften, die über die Finanzmarktinfrastruktur abgerechnet oder abgewickelt werden (Informationssicherheitsziele).

3 Der Betreiber trifft organisatorische und technische Massnahmen, um die Informationssicherheitsziele zu erfüllen, und zwar sowohl im Normalbetrieb als auch während Entwicklungs- und Unterhaltsarbeiten und bei erhöhten Transaktionsvolumen. Insbesondere trifft er Vorkehrungen, um:

a.
unternehmensinterne und externe Bedrohungen für die Informationssicherheit zu identifizieren, zu analysieren und zu bewerten sowie bei Bedarf Schutzmassnahmen umzusetzen;
b.
die physische Sicherheit der Einrichtungen der Informationsverarbeitung zu gewährleisten;
c.
den sicheren und kontinuierlichen Betrieb der Einrichtungen der Informationsverarbeitung zu gewährleisten;
d.
Zugriffe auf Informationen und Einrichtungen der Informationsverarbeitung zu regeln, zu protokollieren und auszuwerten;
e.
Daten vor Verlust, Abfluss, unautorisiertem Zugriff und anderen Verarbeitungsrisiken wie Unachtsamkeit, Betrug, mangelhafter Verwaltung und unangemessener Aufbewahrung zu schützen;
f.
die sichere Speicherung und Übermittlung von sensiblen Daten zu gewährleisten;
g.
die richtige und vollständige Bearbeitung der Geschäfte sicherzustellen;
h.
Geschäfte auf allen wesentlichen Bearbeitungsstufen, insbesondere bei der Eingabe in das Informationsverarbeitungssystem und bei der Ausgabe aus diesem, aufzuzeichnen und zu prüfen;
i.
Eingriffe in das Informationsverarbeitungssystem wie Softwareänderungen oder Änderungen der Parameter aufzuzeichnen und zu überwachen;
j.65
Fehler in der Verarbeitung und Störungen des Informationsverarbeitungssystems zeitnah und standardisiert aufzuzeichnen, auszuwerten, zu beheben und eine Wiederholung zu vermeiden.

4 Er überprüft regelmässig die Angemessenheit und die Einhaltung der Informationssicherheitsziele gemäss Absatz 2.

65 Fassung gemäss Ziff. I der V der SNB vom 26. Nov. 2015, in Kraft seit 1. Jan. 2016 (AS 2015 5307).

Art. 32a Information security

1 The operator shall apply a company-wide approach and maintain an appropriate organisational structure with regard to planning, implementing, monitoring and improving the management of tasks and activities relating to information security (information security management).

2 The operator shall set appropriate targets with regard to the availability, integrity, confidentiality, auditability, authenticity, accountability and non-repudiation of information, particularly data in connection with transactions that are cleared or settled via the financial market infrastructure (information security objectives).

3 The operator shall take organisational and technical measures to ensure that the information security objectives are met during normal operations, during development and maintenance activities, and in times of increased transaction volumes. In particular, it shall take precautions enabling it to:

a.
identify, analyse and evaluate internal and external threats to information security and, if necessary, implement appropriate protective measures;
b.
ensure the physical security of the data processing facilities;
c.
ensure the secure and continuous operation of the data processing facilities;
d.
control, record and evaluate access to information and to the data processing facilities;
e.
protect data from loss, leakage, unauthorised access, and other processing risks such as negligence, fraud, poor administration and inadequate recordkeeping;
f.
ensure the secure storage and transmission of sensitive data;
g.
ensure the correct and complete processing of transactions;
h.
record and check transactions at all key stages of processing, in particular regarding input to and output from the data processing system;
i.
record and monitor interventions in the data processing system, such as software and parameter changes;
j.65
record, evaluate and rectify processing errors and system disruptions promptly and in standardised form and prevent them from recurring.

4 The operator shall regularly monitor the appropriateness of, and compliance with, the information security objectives specified in paragraph 2.

65 Amended by No I of the SNB O of 26 Nov. 2015, in force since 1 Jan. 2016 (AS 2015 5307).

 

Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.
This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.