Landesrecht 9 Wirtschaft - Technische Zusammenarbeit 95 Kredit
Droit interne 9 Économie - Coopération technique 95 Crédit

951.131 Verordnung vom 18. März 2004 zum Bundesgesetz über die Schweizerische Nationalbank (Nationalbankverordnung, NBV)

951.131 Ordonnance du 18 mars 2004 relative à la loi fédérale sur la Banque nationale suisse (Ordonnance de la Banque nationale, OBN)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 32a Informationssicherheit

1 Der Betreiber verfügt über einen unternehmensweiten Ansatz und eine geeignete Organisationsstruktur, um das Management der auf die Informationssicherheit ausgerichteten Aufgaben und Aktivitäten zu planen, durchzuführen, zu überwachen und zu verbessern (Informationssicherheitsmanagement).

2 Er legt angemessene Ziele fest hinsichtlich der Verfügbarkeit, Integrität, Vertraulichkeit, Nachvollziehbarkeit, Authentizität, Zurechenbarkeit und Nichtabstreitbarkeit von Informationen, insbesondere der Daten von Geschäften, die über die Finanzmarktinfrastruktur abgerechnet oder abgewickelt werden (Informationssicherheitsziele).

3 Der Betreiber trifft organisatorische und technische Massnahmen, um die Informationssicherheitsziele zu erfüllen, und zwar sowohl im Normalbetrieb als auch während Entwicklungs- und Unterhaltsarbeiten und bei erhöhten Transaktionsvolumen. Insbesondere trifft er Vorkehrungen, um:

a.
unternehmensinterne und externe Bedrohungen für die Informationssicherheit zu identifizieren, zu analysieren und zu bewerten sowie bei Bedarf Schutzmassnahmen umzusetzen;
b.
die physische Sicherheit der Einrichtungen der Informationsverarbeitung zu gewährleisten;
c.
den sicheren und kontinuierlichen Betrieb der Einrichtungen der Informationsverarbeitung zu gewährleisten;
d.
Zugriffe auf Informationen und Einrichtungen der Informationsverarbeitung zu regeln, zu protokollieren und auszuwerten;
e.
Daten vor Verlust, Abfluss, unautorisiertem Zugriff und anderen Verarbeitungsrisiken wie Unachtsamkeit, Betrug, mangelhafter Verwaltung und unangemessener Aufbewahrung zu schützen;
f.
die sichere Speicherung und Übermittlung von sensiblen Daten zu gewährleisten;
g.
die richtige und vollständige Bearbeitung der Geschäfte sicherzustellen;
h.
Geschäfte auf allen wesentlichen Bearbeitungsstufen, insbesondere bei der Eingabe in das Informationsverarbeitungssystem und bei der Ausgabe aus diesem, aufzuzeichnen und zu prüfen;
i.
Eingriffe in das Informationsverarbeitungssystem wie Softwareänderungen oder Änderungen der Parameter aufzuzeichnen und zu überwachen;
j.65
Fehler in der Verarbeitung und Störungen des Informationsverarbeitungssystems zeitnah und standardisiert aufzuzeichnen, auszuwerten, zu beheben und eine Wiederholung zu vermeiden.

4 Er überprüft regelmässig die Angemessenheit und die Einhaltung der Informationssicherheitsziele gemäss Absatz 2.

65 Fassung gemäss Ziff. I der V der SNB vom 26. Nov. 2015, in Kraft seit 1. Jan. 2016 (AS 2015 5307).

Art. 32a Sécurité de l’information

1 L’exploitant met en place un système applicable à l’échelle de l’entreprise et une structure d’organisation appropriée lui permettant de planifier, d’exécuter, de surveiller et d’améliorer la gestion des tâches et des activités portant sur la sécurité de l’information (gestion de la sécurité de l’information).

2 Il fixe des objectifs appropriés en ce qui concerne la disponibilité, l’intégrité, la confidentialité, la reproductibilité, l’authenticité, l’imputabilité et la non-répudiation des informations, notamment des données relatives aux opérations compensées ou réglées par l’intermédiaire de l’infrastructure des marchés financiers (objectifs de sécurité de l’information).

3 Il prend des mesures organisationnelles et techniques afin d’atteindre les objectifs de sécurité de l’information, et ce tant en période normale d’exploitation que lors de travaux de développement et de maintenance ou si le nombre des transactions est provisoirement plus élevé. Il prend notamment les dispositions nécessaires pour:

a.
identifier, analyser et évaluer les menaces internes et externes à l’entreprise qui pèsent sur la sécurité de l’information et, au besoin, mettre en œuvre des mesures de protection;
b.
garantir la sécurité physique des installations de traitement de l’information;
c.
assurer l’exploitation sûre et continue des installations de traitement de l’information;
d.
régler, consigner et évaluer les accès aux informations et aux installations de traitement de l’information;
e.
protéger les données contre la perte, la fuite et l’accès non-autorisé, mais aussi contre tout autre risque de traitement comme la négligence, la fraude, une administration déficiente ou une conservation inappropriée;
f.
garantir la sécurité de la sauvegarde et de la transmission des données sensibles;
g.
assurer le traitement complet et correct des opérations;
h.
enregistrer et vérifier les opérations aux principaux stades de traitement, notamment lors de leur saisie dans le système de traitement de l’information, mais aussi lors de leur sortie;
i.
enregistrer et surveiller les interventions dans le système de traitement de l’information, telles que les adaptations de logiciels ou les modifications de paramètres;
j.65
enregistrer, évaluer et corriger rapidement et de manière standardisée les erreurs de traitement et les perturbations affectant le système de traitement de l’information, et éviter qu’elles ne se reproduisent.

4 L’exploitant réexamine régulièrement la pertinence et la réalisation des objectifs de sécurité de l’information au sens de l’al. 2.

65 Nouvelle teneur selon le ch. I de l’O de la BNS du 26 nov. 2015, en vigueur depuis le 1er janv. 2016 (RO 2015 5307).

 

Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.