Die mobile Government Plattform "eZug" glänzt an den "Best of Swiss App" 2022 mit vier Spitzenplätzen.
Der Vorstand des Vereins SSGI hat verschiedene Arbeitsgruppen eingesetzt. Diese erarbeiten themenbezogene Ergebnisse, die hier zur Verfügung gestellt werden. Es bestehen die folgenden Arbeitsgruppen:
Ausgangslage:
In Ergänzung zur bestehenden Arbeitsgruppe IT-Sicherheit, welche sich vermehrt den technischen Anforderungen und Massnahmen widmet, werden in dieser Arbeitsgruppe strategische, organisatorische, finanzielle und rechtliche Fragen koordiniert.
Zielsetzungen
Die Arbeitsgruppe wird die aktuellen Entwicklungen des Datenschutzes in der Schweiz (neue Datenschutzgesetze in den Kantonen), in Europa (DSGVO) und international (z.B. Swiss-US Privacy Shield) aktiv verfolgt und Empfehlungen für die Mitglieder erarbeitet werden, wie sinnvollerweise mit dem Thema umgegangen werden soll.
Im Bereich der Datensicherheit liegt der Fokus nicht im technischen Bereich (dafür ist die separate Arbeitsgruppe IT-Sicherheit zuständig), sondern in übergeordneten Themen der Informationssicherheit und Risikobetrachtung sowie Risikominimierung. In diesen Bereichen sollen mit ausgewiesenen Sicherheitsspezialisten der Privatwirtschaft und der öffentlichen Verwaltungen (Bund, Kantone) Informationen ausgetauscht und mit Privatanbietern Rahmenverträge für Dienstleistungen und Sicherheits-Produkte ausgehandelt werden, um Skaleneffekte für die Vereinsmitglieder zu erzielen.
Ziele für die Arbeitsgruppe für 2021:
- Konstituierung und Etablierung der neuen Arbeitsgruppe Datenschutz- und Datensicherheit
- Stand und Bedürfnisabklärung der einzelnen Teilnehmer im Bezug auf Datenschutz- und Datensicherheitsthemen
- Erarbeitung von Best-Practice-Ansätzen zur Umsetzung der neuen Datenschutz-Anforderungen
- Abklärung Aufwand der Vor-/Nachteile einer Zertifizierung im Bereich Datenschutz (ISO 28018 / ISO 27701)
Koordination:
Christoph Schwalm, CISO der AR Informatik AG (christoph.schwalm@ari-ag.ch)
Arbeitsgruppe Kreditorenworkflow
Am 26.8.2020 fand ein weiterer Workshop mit zahlreichen Teilnehmern von Serviceprovidern, Revisionsstellen von kommunalen und kantonale Bereichen sowie Gemeindevertretern statt. Ziel der Sitzung war die Festlegung des weiteren Vorgehens zur Akkreditierung eines revisionssicheren Kreditorenworkflows (vorab in der Applikation NSP von IT&T AG). Die Ergebnisse der Arbeitsgruppe sollen aber herstellerneutral aufbereitet werden.
Der zu untersuchende Bereich wurde auf den gesamten Kreditor erweitert, was auch den Kreditorenworkflow beinhaltet, jedoch nicht nur diesen allein. Durch die Erweiterung des Auftrages auf den gesamten Kreditor müssen die Controlls und Anforderungen umfassender vorbereitet werden. Dazu wurde eine interne Arbeitsgruppe gebildet. Dabei wird ein Vorgehen gewählt, das auf den vom Lieferanten bereit erarbeiteten und in der Software umgesetzten Controlls aufsetzt. Einbezogen wird auch das Changemanagement beim Softwarhersteller, die Funktionalität insgesamt, die vorhandenen Kontrollmöglichkeiten, die zusätzliche zu fordernden Kontrollmöglichkeiten sowie allenfalls weitergehende, bisher nicht abgedeckte Risiken für eine revisionssichere, beweistaugliche und alle massgeblichen Aktivitäten nachweisende Kreditoren-Applikation.
Ziel ist es alsdann, basierend auf dem Schweizer Prüfungsstandard (PS) 870 die Prüfung der konkreten Kreditoren-Applikation vorzunehmen.
Dieses Vorgehen eignet sich zudem auch für andere Software-Applikationen, welche eine Akkreditierung in Bezug auf Beweistauglichkeit, Revisionssicherheit und Nachweisbarkeit erreichen sollen. In diesem Sinne stellt die Arbeit der Arbeitsgruppe schweizweit eine gewisse Pionierleistung dar. Zum gegebenen Zeitpunkt kann darüber auch in der Breite und öffentlich durch den Verein SSGI kommuniziert werden.
Verein SSGI prüft Kreditorenworkflow der Applikation NSP auf Ordnungsmässigkeit und Revisionssicherheit
Der Verein SSGI erarbeitet zusammen mit der BDO AG, Zürich und der Software-Lieferantin axians IT&T AG ein Software-Prüfung nach PS870 über das Modul «Kreditorenworkflow». Zu beurteilen ist, ob der Kreditorenworkflow bei sachgerechter Implementierung und Anwendung die Einhaltung der in der Schweiz anwendbaren Grundsätze ordnungsgemässer Buchführung gewährleistet.
Die Prüfung erfolgt gemäss Schweizer Prüfungsstandard (PS) 870 – «Prüfung von Softwareprodukten» und beinhaltet im wesentlichen folgende Prüfungsschritte:
Es geht dabei im Wesentlichen darum, den Städten und Gemeinden sowie ihren Anwendern die Sicherheit zu geben, dass der Kreditorenworkflow – bei sachgemässer Anwendung – gesetzeskonform und revisionssicher abläuft. Den Finanzkontrollstellen, dem Gemeinderat und letztlich dem Steuerzahler gibt diese Prüfung die Gewissheit, dass der Kreditorenworkflow – bei sachgemässer Anwendung – keine unzulässigen Manipulationen oder Missbräuche unterdrücken kann, ohne dass diese nicht registriert, überprüft und Verantwortlichen zugewiesen werden können.
Die Ergebnisse der Prüfung, die durch eine Attestierung seitens der BDO Zürich ausgewiesen wird, werden circa im Juni 2021 auf der Basis des Frühjahresreleases 2021 des Kreditorenworkflows erwartet und alsdann publiziert.
Interessierte melden sich beim Präsidenten des Vereins SSGI, Lukas Fässler (faessler@fsdz.ch).
Ausgangslage:
Zielsetzungen:
Team:
Koordination:
Ausgangslage:
Zielsetzungen:
Weiterführende Informationen zum Thema „Benchmarking der kommunalen IT-Kosten“ finden Sie im Artikel des Kommunalmagazins, Nr. 2 vom April 2012.
Koordination:
Ausgangslage:
Zielsetzungen:
Weiterführende Informationen:
Team:
Koordination:
Lukas Fässler, Präsident SSGI
Die Arbeitsgruppe befasst sich mit allen Fragen rund um IT-Sicherheit in Applikationen, zentralen IT-Betriebsinfrastrukturen, Netzwerken, Arbeitsplätzen und anderen Endgeräten. Die RMO tauschen ihre Sicherheitsgrundsätze und Konzepte aus und lassen sich regelmässig von hochqualifizierten Sicherheitsfachleuten zu Bedrohungen sowie organisatorischen und technischen Massnahmen beraten und sensibilisieren.
Koordination:
Der Verein SSGI hat für seine regionalen Mitgliederorganisationen, die öffentlich-rechtlichen Rechenzentrums- und Service-Dienstleister (RMO), eine Arbeitsgruppe errichtet, welche folgende Fragestellung klärt:
Da verschiedene unserer RMO bereits ISO27001 zertifiziert sind, interessiert die Frage, ob die Kunden (Städte und Gemeinden) dieser RMO bei einer finanzrelevanten Kontrolle (z.B. auf der Basis von ISAE 3402) sich auf die «Vorzertifizieren ihrer RMO nach ISO27001» abstützen können und die prüfenden Finanzkontrollen keine, weniger oder alle Prüfkriterien (Controls) nach ISAE 3402 nochmals anzuwenden haben.
Der Verein SSGI hat dazu die BDO AG, Zürich beigezogen und hat bereits den ersten Workshop dazu durchgeführt. Im Moment findet bei BDO AG die Differenzanalyse aufgrund der am Workshop erarbeiteten Ergebnisse statt.
Der Verein SSGI wird zuhanden seiner RMO und damit auch deren Kunden von BDO AG, Zürich eine schriftliche Bestätigung der Abdeckung bzw. der Lücken von ISO27001 in Bezug auf die finanzrelevanten, generellen IT-Kontrollen (aufbauend auf dem IT-Kontrollframework für ISAE 3402) erhalten.
Dies wird insbesondere die Kunden (Städte und Gemeinden) der RMO freuen, welche bei finanzrelevanten Revisionen auf der Basis von ISAE 3402 die Sicherheit erhalten, dass sie durch die Vorarbeiten ihrer Rechenzentrums-Dienstleister im Bereich ISO27001 bereits in allen oder wesentlichen Punkten abgedeckt sein werden und damit den Revisionsaufwand massiv reduzieren können.
GAP-Analyse Kontrollen ISO27001 - ISAE 3402
Der Verein SSGI hat für seine regionalen Mitgliederorganisationen, die öffentlich-rechtlichen Rechenzentrums- und Service-Dienstleister (RMO) eine Arbeitsgruppe errichtet, welche folgende Fragestellungen klärt:
Da verschiedene unserer RMO bereits ISO027001 zertifiziert sind, interessiert die Frage, ob die Kunden (Städte und Gemeinden) dieser RMO bei einer finanzrelevanten Kontrolle (z.B. auf der Basis von ISAE 3402) sich auf die "Vorzertifizierung ihrer RMO nach iso 27002 abstützen können und die prüfenden Finanzkontrollen keine, weniger oder alle Prüfkriterien (Controls) nach ISAE 3402 nochmals anzuwenden haben.
Der Verein SSGI hat dazu die BDO AG, Zürich beigezogen und hat bereits den ersten Workshop dazu durchgeführt. Im Moment findet bei BDO AG die Differenzanalyse aufgrund der am Workshop erarbeiteten Ergebnisse statt.
Ziel dieses Projektes:
Der Verein SSGI wird zuhanden seiner RMO und damit auch deren Kunden von BDO AG, Zürich eine schriftliche Bestätigung der Abdeckung bzw. der Lücken von ISO27001 in Bezug auf die finanzrelevanten, generellen IT-Kontrollen (aufbauend auf dem IT-Kontrollframework für ISEA 3402) erhalten.
Diese wird insbesondere die Kunden (Städte und Gemeinden) der RMO freuen, welche bei finanzrelevanten Revisionen auf der Basis von ISAE 3402 die Sicherheit erhalten, dass sie durch die Vorarbeiten ihrer Rechnungszentrums-Diensstleister im Bereich ISO27001 bereits in allen oder wesentlichen Punkten abgedeckt sein werden und damit den Revisionsaufwand massiv reduzieren können.
Mehr zur Tätigkeit der Arbeitsgruppe erfahren Sie hier: Abgleich Iso27001 Zu Finanzrelevanten Gitc
Ergebnisse der Analyse
Beurteilung der Existenz des IKS in der IT bei der Anwenderorganisation nach OR 728a/PS 890 unter Verwendung einer ISO 27001-Zertifizierung Mein Vorwort wäre: Für IT Organisationen, welche eine aktuelle Zertifizierung nach ISO 27001 haben, stellt sich immer wieder die Frage, ob diese Zertifizierung ein IKS in der IT nach OR Art. 728a und dem Schweizer Prüfungsstandard (PS) 890 abdecken kann.
Im Auftrag des Vereins SSGI hat sich die Schweizer Wirtschaftsprüfungs-, Treuhand- und Beratungsgesellschaft BDO AG, Zürich, mit dieser Frage beschäftigt.
Ihre Schlussfolgerung ist, dass der Standard ISO 27001 thematisch einen bedeutenden Teil der generellen IT-Kontrollen abdeckt, die aus Sicht des Abschlussprüfers für die Beurteilung des IKS in der IT relevant sind. Für die Beurteilung des IKS in der IT nach PS 890 kann somit unter bestimmten Voraussetzungen auf eine ISO 27001-Zertifizierung abgestützt werden. Diese Voraussetzungen sind, dass der IT Dienstleistungserbringer zusätzlich aufzeigt,
Fazit:
Für weitere Auskünfte zum Projekt kontaktieren Sie:
Erstellt 26. November 2020
Ausgangslage
Nachdem das Bundesgesetz zur Schaffung einer eID am 7. März 2021 durch das Volk abgelehnt wurde, haben diverse Gemeinde, Städte und Kantone den Bedarf geäussert, rasch eine elektronische Identität nach entsprechend einheitlichen Standards zu lancieren und diese den Einwohnerinnen und Einwohnern zum Zweck der Nutzung von speziellen e-Gov-Services mit erhöhten Identifizierungsanforderungen zur Verfügung zu stellen.
Zielsetzungen
Durch die Einsetzung einer «Arbeitsgruppe eID» beim Verein SSGI sollen die kantonalen und kommunalen Interessen aller Interessierten für eine rasche Realisierung eines interkantonalen eID-Standards koordiniert und gebündelt werden. Die Arbeitsgruppe ist auch für Nichtmitglieder des Vereins SSGI offen und wird als nationale Koordinationsgruppe verstanden.
Im Vordergrund steht die Festlegung von schweizweit anwendbaren Standards für den Einsatz und die Nutzung einer eID für die gesamte öffentliche Verwaltung, welche dann auch via eCH zu einem nationalen Standard führen soll. Dadurch soll den einzelnen öffentlich-rechtlichen Körperschaften ermöglicht werden, die eID operativ einzusetzen und eID-Services auf Basis standardisierter und untereinander kompatibler technischer Lösungen aus der Privatwirtschaft bereitzustellen.
Interessierten Arbeitsgruppenmitgliedern wird auch Zugang zu der heute schon im Kanton Schaffhausen (seit 2017) eingesetzten eID-Lösung und deren eID-Services sowie der Lösung der Stadt Zug (seit 1.1.2021) und deren eID-Services gewährt mit dem Ziel, künftig die sich auf einer eID aufbauenden Services ebenfalls abzustimmen, zu koordinieren und möglichst gemeinsam zu betreiben.
Unter Beizug von eOperations Schweiz AG soll bei entsprechendem Interesse der Interessierten auch ein IDP (Identity Service Provider) für den Betrieb evaluiert werden.
Die Arbeitsgruppe steht bereits in engem Kontakt mit dem Bund (Bundesamt für Justiz) und bundesnahen Organisationen wie Digitale Verwaltung Schweiz (DVS) und eOperations Schweiz AG, welche die Koordination über diese Arbeitsgruppe begrüssen und auch unterstützen.
Koordination
Die Arbeitsgruppe steht unter der administrativen Koordination des Vereins SSGI. Wir übernehmen dabei die Koordinationsaufgaben für eine zielgerichtete Lösungsfindung durch zeitnahe Bereitstellung von Lösungsansätzen sowie allen weiteren gewünschten Aufgaben.
Ansprechperson: Titus Fleck, StV-Leiter der KSD Schaffhausen (titus.fleck@ssgi.ch)