Droit interne 9 Économie - Coopération technique 95 Crédit
Internal Law 9 Economy - Technical cooperation 95 Credit

951.131 Ordonnance du 18 mars 2004 relative à la loi fédérale sur la Banque nationale suisse (Ordonnance de la Banque nationale, OBN)

951.131 Ordinance of 18 March 2004 on the Federal Act on the Swiss National Bank (National Bank Ordinance, NBO)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 32a Sécurité de l’information

1 L’exploitant met en place un système applicable à l’échelle de l’entreprise et une structure d’organisation appropriée lui permettant de planifier, d’exécuter, de surveiller et d’améliorer la gestion des tâches et des activités portant sur la sécurité de l’information (gestion de la sécurité de l’information).

2 Il fixe des objectifs appropriés en ce qui concerne la disponibilité, l’intégrité, la confidentialité, la reproductibilité, l’authenticité, l’imputabilité et la non-répudiation des informations, notamment des données relatives aux opérations compensées ou réglées par l’intermédiaire de l’infrastructure des marchés financiers (objectifs de sécurité de l’information).

3 Il prend des mesures organisationnelles et techniques afin d’atteindre les objectifs de sécurité de l’information, et ce tant en période normale d’exploitation que lors de travaux de développement et de maintenance ou si le nombre des transactions est provisoirement plus élevé. Il prend notamment les dispositions nécessaires pour:

a.
identifier, analyser et évaluer les menaces internes et externes à l’entreprise qui pèsent sur la sécurité de l’information et, au besoin, mettre en œuvre des mesures de protection;
b.
garantir la sécurité physique des installations de traitement de l’information;
c.
assurer l’exploitation sûre et continue des installations de traitement de l’information;
d.
régler, consigner et évaluer les accès aux informations et aux installations de traitement de l’information;
e.
protéger les données contre la perte, la fuite et l’accès non-autorisé, mais aussi contre tout autre risque de traitement comme la négligence, la fraude, une administration déficiente ou une conservation inappropriée;
f.
garantir la sécurité de la sauvegarde et de la transmission des données sensibles;
g.
assurer le traitement complet et correct des opérations;
h.
enregistrer et vérifier les opérations aux principaux stades de traitement, notamment lors de leur saisie dans le système de traitement de l’information, mais aussi lors de leur sortie;
i.
enregistrer et surveiller les interventions dans le système de traitement de l’information, telles que les adaptations de logiciels ou les modifications de paramètres;
j.65
enregistrer, évaluer et corriger rapidement et de manière standardisée les erreurs de traitement et les perturbations affectant le système de traitement de l’information, et éviter qu’elles ne se reproduisent.

4 L’exploitant réexamine régulièrement la pertinence et la réalisation des objectifs de sécurité de l’information au sens de l’al. 2.

65 Nouvelle teneur selon le ch. I de l’O de la BNS du 26 nov. 2015, en vigueur depuis le 1er janv. 2016 (RO 2015 5307).

Art. 32a Information security

1 The operator shall apply a company-wide approach and maintain an appropriate organisational structure with regard to planning, implementing, monitoring and improving the management of tasks and activities relating to information security (information security management).

2 The operator shall set appropriate targets with regard to the availability, integrity, confidentiality, auditability, authenticity, accountability and non-repudiation of information, particularly data in connection with transactions that are cleared or settled via the financial market infrastructure (information security objectives).

3 The operator shall take organisational and technical measures to ensure that the information security objectives are met during normal operations, during development and maintenance activities, and in times of increased transaction volumes. In particular, it shall take precautions enabling it to:

a.
identify, analyse and evaluate internal and external threats to information security and, if necessary, implement appropriate protective measures;
b.
ensure the physical security of the data processing facilities;
c.
ensure the secure and continuous operation of the data processing facilities;
d.
control, record and evaluate access to information and to the data processing facilities;
e.
protect data from loss, leakage, unauthorised access, and other processing risks such as negligence, fraud, poor administration and inadequate recordkeeping;
f.
ensure the secure storage and transmission of sensitive data;
g.
ensure the correct and complete processing of transactions;
h.
record and check transactions at all key stages of processing, in particular regarding input to and output from the data processing system;
i.
record and monitor interventions in the data processing system, such as software and parameter changes;
j.65
record, evaluate and rectify processing errors and system disruptions promptly and in standardised form and prevent them from recurring.

4 The operator shall regularly monitor the appropriateness of, and compliance with, the information security objectives specified in paragraph 2.

65 Amended by No I of the SNB O of 26 Nov. 2015, in force since 1 Jan. 2016 (AS 2015 5307).

 

Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.