Arbeitsgruppen

Ausgangslage:

In Ergänzung zur bestehenden Arbeitsgruppe IT-Sicherheit, welche sich vermehrt den technischen Anforderungen und Massnahmen widmet, werden in dieser Arbeitsgruppe strategische, organisatorische, finanzielle und rechtliche Fragen koordiniert.

Zielsetzungen

Die Arbeitsgruppe wird die aktuellen Entwicklungen des Datenschutzes in der Schweiz (neue Datenschutzgesetze in den Kantonen), in Europa (DSGVO) und international (z.B. Swiss-US Privacy Shield) aktiv verfolgt und Empfehlungen für die Mitglieder erarbeitet werden, wie sinnvollerweise mit dem Thema umgegangen werden soll.

Im Bereich der Datensicherheit liegt der Fokus nicht im technischen Bereich (dafür ist die separate Arbeitsgruppe IT-Sicherheit zuständig), sondern in übergeordneten Themen der Informationssicherheit und Risikobetrachtung sowie Risikominimierung. In diesen Bereichen sollen mit ausgewiesenen Sicherheitsspezialisten der Privatwirtschaft und der öffentlichen Verwaltungen (Bund, Kantone) Informationen ausgetauscht und mit Privatanbietern Rahmenverträge für Dienstleistungen und Sicherheits-Produkte ausgehandelt werden, um Skaleneffekte für die Vereinsmitglieder zu erzielen.

Ziele für die Arbeitsgruppe für 2021:

- Konstituierung und Etablierung der neuen Arbeitsgruppe Datenschutz- und Datensicherheit

- Stand und Bedürfnisabklärung der einzelnen Teilnehmer im Bezug auf Datenschutz- und Datensicherheitsthemen

- Erarbeitung von Best-Practice-Ansätzen zur Umsetzung der neuen Datenschutz-Anforderungen

- Abklärung Aufwand der Vor-/Nachteile einer Zertifizierung im Bereich Datenschutz (ISO 28018 / ISO 27701)

Koordination:

Christoph Schwalm, CISO der AR Informatik AG (christoph.schwalm@ari-ag.ch)

Arbeitsgruppe Kreditorenworkflow

Am 26.8.2020 fand ein weiterer Workshop mit zahlreichen Teilnehmern von Serviceprovidern, Revisionsstellen von kommunalen und kantonale Bereichen sowie Gemeindevertretern statt. Ziel der Sitzung war die Festlegung des weiteren Vorgehens zur Akkreditierung eines revisionssicheren Kreditorenworkflows (vorab in der Applikation NSP von IT&T AG). Die Ergebnisse der Arbeitsgruppe sollen aber herstellerneutral aufbereitet werden.

Der zu untersuchende Bereich wurde auf den gesamten Kreditor erweitert, was auch den Kreditorenworkflow beinhaltet, jedoch nicht nur diesen allein. Durch die Erweiterung des Auftrages auf den gesamten Kreditor müssen die Controlls und Anforderungen umfassender vorbereitet werden. Dazu wurde eine interne Arbeitsgruppe gebildet. Dabei wird ein Vorgehen gewählt, das auf den vom Lieferanten bereit erarbeiteten und in der Software umgesetzten Controlls aufsetzt. Einbezogen wird auch das Changemanagement beim Softwarhersteller, die Funktionalität insgesamt, die vorhandenen Kontrollmöglichkeiten, die zusätzliche zu fordernden Kontrollmöglichkeiten sowie allenfalls weitergehende, bisher nicht abgedeckte Risiken für eine revisionssichere, beweistaugliche und alle massgeblichen Aktivitäten nachweisende Kreditoren-Applikation.

Ziel ist es alsdann, basierend auf dem Schweizer Prüfungsstandard (PS) 870 die Prüfung der konkreten Kreditoren-Applikation vorzunehmen.

Dieses Vorgehen eignet sich zudem auch für andere Software-Applikationen, welche eine Akkreditierung in Bezug auf Beweistauglichkeit, Revisionssicherheit und Nachweisbarkeit erreichen sollen. In diesem Sinne stellt die Arbeit der Arbeitsgruppe schweizweit eine gewisse Pionierleistung dar. Zum gegebenen Zeitpunkt kann darüber auch in der Breite und öffentlich durch den Verein SSGI kommuniziert werden.

Verein SSGI prüft Kreditorenworkflow der Applikation NSP auf Ordnungsmässigkeit und Revisionssicherheit

Der Verein SSGI erarbeitet zusammen mit der BDO AG, Zürich und der Software-Lieferantin axians IT&T AG ein Software-Prüfung nach PS870 über das Modul «Kreditorenworkflow». Zu beurteilen ist, ob der Kreditorenworkflow bei sachgerechter Implementierung und Anwendung die Einhaltung der in der Schweiz anwendbaren Grundsätze ordnungsgemässer Buchführung gewährleistet.

Die Prüfung erfolgt gemäss Schweizer Prüfungsstandard (PS) 870 – «Prüfung von Softwareprodukten» und beinhaltet im wesentlichen folgende Prüfungsschritte:

1. Bestandesaufnahme des zu prüfenden Softwareproduktes sowie der Vollständigkeit und Aktualität der Verfahrensdokumentation;
2. Beurteilung des Software Release- und Change-Managements, soweit dies für die Anwender des Kreditorenworkflows relevant ist;
3. Prüfung der Angemessenheit der für das Aufgabengebiet des Softwareproduktes notwendigen Programmfunktionen bauprüfung) und die Aussagefähigkeit der diesbezüglichen Verfahrensdokumentation
4. Die Prüfung der sachgerechten programmtechnischen Umsetzung der als angemessen beurteilen Programmfunktionen) auf Basis von Testfällen.

Es geht dabei im Wesentlichen darum, den Städten und Gemeinden sowie ihren Anwendern die Sicherheit zu geben, dass der Kreditorenworkflow – bei sachgemässer Anwendung – gesetzeskonform und revisionssicher abläuft. Den Finanzkontrollstellen, dem Gemeinderat und letztlich dem Steuerzahler gibt diese Prüfung die Gewissheit, dass der Kreditorenworkflow – bei sachgemässer Anwendung – keine unzulässigen Manipulationen oder Missbräuche unterdrücken kann, ohne dass diese nicht registriert, überprüft und Verantwortlichen zugewiesen werden können.

Die Ergebnisse der Prüfung, die durch eine Attestierung seitens der BDO Zürich ausgewiesen wird, werden circa im Juni 2021 auf der Basis des Frühjahresreleases 2021 des Kreditorenworkflows erwartet und alsdann publiziert.

Interessierte melden sich beim Präsidenten des Vereins SSGI, Lukas Fässler (faessler@fsdz.ch).

BDO Beurteilung der Existenz des IKS in der IT

Ausgangslage:

• Die Schnelllebigkeit und Abhängigkeit von ICT-Technologie verlangen nach einer ständigen Überprüfung der Risiken, Chancen, Stärken und Schwächen der selber erbrachten oder eingekauften ICT-Services.

• Die Arbeitsgruppe befasst sich mit Entwicklungen, Standards, Normen, Trends und Koordinationsfragen.

• Wir sind Ansprechstelle für alle neuen Herausforderungen in der kommunalen ICT.

• Wir beschäftigen uns auch mit Fragen wie Einsatz von Robotern, künstlicher Intelligenz und Veränderung der Verwaltungstätigkeiten und Prozesse.

Zielsetzungen:

• Koordination von strategischen ICT-Bedürfnissen und Anforderungen der Städte und Gemeinden
• Definition von Strategien, Konzepten, Standardisierungen
• Thinktank für Fragen von Internet 4.0 und kommunalen Arbeitsplätzen der Zukunft
• Wissensvermittlung und Sicherstellung des notwendigen Wissensvorsprungs für Führungskräfte

Team:

• Vertreter von ILZ OW/NW
• Vertreter von AR Informatik AG
• Vertreter von KSD Schaffhausen
• Vertreter von VRSG
• Vertreter des Vereins IG Zug
• Vertreter des Vereins LGI Luzern

Koordination:

• Lukas Fässler, Präsident SSGI

Ausgangslage:

• Das Thema der Leistungsbeschreibung (Servicekatalog), der Servicepreise und deren Verrechnung sowie der Vergleich der eigenen Services am Markt (Benchmarking) wird auf politischer Seite wie auf Kundenseite verstärkt zum kritischen Erfolgsfaktor für alle Servicedienstleister, seien diese nun interne oder externe Provider. Die Kunden fordern zunehmend eine transparentere Dienstleistung für ICT-Servicedienstleistungen der Städte und Gemeinden. Darum tauschen sich unsere regionalen Mitgliederorganisationen (RMO) zu diesem Thema laufend aus und übergeben einander erarbeitete Grundlagen.

Zielsetzungen:

• Die Erfassung und der Vergleich von Kunden-, Benutzer- und Mitarbeiterzufriedenheit soll in dieser Arbeitsgruppe harmonisiert werden und den Vereinsmitglieder die Möglichkeit geben, sich untereinander in diesen drei Messbereichen in Zukunft zu vergleichen und gemeinsam Verbesserungsmassnahmen abzuleiten.

• abgestimmter Servicekatalog / abgestimmtes Leistungserfassungskonzept und Kenngrössen für Benchmarking
• vergleichbare Führungsinformationen zu ICT-Servicequalität und ICT-Servicekosten
• Erarbeitung gemeinsamer Benchmarking-Konzepte für Politik und Führungskräfte

Weiterführende Informationen zum Thema „Benchmarking der kommunalen IT-Kosten“ finden Sie im Artikel des Kommunalmagazins, Nr. 2 vom April 2012.

Koordination:

• Johannes Dörler, CEO AR Informatik AG.

Ausgangslage:

• Die elektronische Aktenführung in der Verwaltung muss geordnet, gesetzeskonform, nachvollziehbar und beweistauglich erfolgen. Für Aufgaben und Geschäfte sind vollständige elektronische Dossiers anzulegen, zu verwalten, hinzukommende Informationen (Mails, Papierschriftgut, überarbeitete Dokumente etc.) zu speichern und das Geschäft bei Beendigung gesetzeskonform abzuschliessen, aufzubewahren und schliesslich dem Stadt- oder Gemeindearchiv zuzuführen, sofern es sich um archivwürdige Informationen handelt. Die Dossiers und dazugehörigen Dokumente müssen über Metadaten und Berechtigungskonzepte gesteuert werden.

• Der Wandel von papiergeführten Akten zu vollständig elektronischer Nachweisdokumentation über alle Geschäftsbereiche einer Stadt oder Gemeinde hinweg stellt alle Betroffenen und die Führungskräfte vor grosse Herausforderungen.

• Die elektronische Ablieferung von Akten an das elektronische Langzeitarchiv wird in wenigen Jahren zu einer zwingenden Vorgabe auch für die kommunale Ebene.

Zielsetzungen:

• Die Arbeitsgruppe beschäftigt sich schon seit über 10 Jahren mit der Frage elektronischer Aktenführung und will den Städten und Gemeinden diesbezüglich Informationen, Konzepte, Vorgehensmodelle und Umsetzungsunterstützung anbieten.

• Die Arbeitsgruppe fördert den Erfahrungsaustausch unabhängig der eingesetzten Systeme oder Anbieter.

• Sie tauscht erarbeitete Ergebnisse wie z.B. Ordnungssysteme, Metadatenkataloge, Prozessbeschreibungen, Policies, Handbücher und andere Unterlagen aus.

• Sie sorgt für Standards, Normen und Richtlinien sowie notwendige Schnittstellendefinitionen (eCH-Standards) zur Sicherstellung der Integrierbarkeit von Fachapplikationen in Records-Management-Systeme.

• Sie klärt die Möglichkeiten für eine zentrale elektronische Archivverwaltung der Städte und Gemeinden in Zusammenarbeit mit dem Bundesarchiv und kantonalen Staatsarchiven ab.

Weiterführende Informationen:

• Projektleitfaden für Gemeinden
• Grobkonzept Records Management und digitale Langzeitarchivierung im kommunalen Umfeld
• Schriftgutverwaltung und Archivierung in Luzerner Gemeinden (Gemeindeschreiberverband Luzern)
• Elektronische Geschäftsverwaltung (Vorlagen des Gemeindeschreiberverbands Luzern)
• Einführung von Records Management im Gemeindeumfeld – eine Frage der richtigen Software? Lukas Fässler, November 2011
• Unterwegs in die papierlose Zukunft – Kommunikation zwischen Verwaltung und Einwohnern, Lukas Fässler, kommunalmagazin, Sept./Okt. 2010
• Informationsmanagement und Langzeitaufbewahrung digitaler Informationen im Gemeindeumfeld, Lukas Fässler, Praxis Schweiz, „eGov Präsenz“ 1/10
• Durchbruch für kommunale GEVER-Lösungen, Felix Zünd, kommunalmagazin, April 2013
• Fachtagung Records Management – Digitale Aktenführung in der Gemeinde, Marcel Müller, kommunalmagazin, März/April 2011

Team:

• Vertreter von ILZ OW/NW
• Vertreter von AR Informatik AG
• Vertreter von KSD Schaffhausen
• Vertreter von VRSG
• Vertreter des Vereins IG Zug
• Vertreter des Vereins LGI Luzern

Koordination:

Lukas Fässler, Präsident SSGI

Die Arbeitsgruppe befasst sich mit allen Fragen rund um IT-Sicherheit in Applikationen, zentralen IT-Betriebsinfrastrukturen, Netzwerken, Arbeitsplätzen und anderen Endgeräten. Die RMO tauschen ihre Sicherheitsgrundsätze und Konzepte aus und lassen sich regelmässig von hochqualifizierten Sicherheitsfachleuten zu Bedrohungen sowie organisatorischen und technischen Massnahmen beraten und sensibilisieren.

Koordination:

Lukas Fässler, Präsident Verein SSGI

Der Verein SSGI hat für seine regionalen Mitgliederorganisationen, die öffentlich-rechtlichen Rechenzentrums- und Service-Dienstleister (RMO), eine Arbeitsgruppe errichtet, welche folgende Fragestellung klärt:

Da verschiedene unserer RMO bereits ISO27001 zertifiziert sind, interessiert die Frage, ob die Kunden (Städte und Gemeinden) dieser RMO bei einer finanzrelevanten Kontrolle (z.B. auf der Basis von ISAE 3402) sich auf die «Vorzertifizieren ihrer RMO nach ISO27001» abstützen können und die prüfenden Finanzkontrollen keine, weniger oder alle Prüfkriterien (Controls) nach ISAE 3402 nochmals anzuwenden haben.

Der Verein SSGI hat dazu die BDO AG, Zürich beigezogen und hat bereits den ersten Workshop dazu durchgeführt. Im Moment findet bei BDO AG die Differenzanalyse aufgrund der am Workshop erarbeiteten Ergebnisse statt.

Der Verein SSGI wird zuhanden seiner RMO und damit auch deren Kunden von BDO AG, Zürich eine schriftliche Bestätigung der Abdeckung bzw. der Lücken von ISO27001 in Bezug auf die finanzrelevanten, generellen IT-Kontrollen (aufbauend auf dem IT-Kontrollframework für ISAE 3402) erhalten.

Dies wird insbesondere die Kunden (Städte und Gemeinden) der RMO freuen, welche bei finanzrelevanten Revisionen auf der Basis von ISAE 3402 die Sicherheit erhalten, dass sie durch die Vorarbeiten ihrer Rechenzentrums-Dienstleister im Bereich ISO27001 bereits in allen oder wesentlichen Punkten abgedeckt sein werden und damit den Revisionsaufwand massiv reduzieren können.

GAP-Analyse Kontrollen ISO27001 - ISAE 3402

Der Verein SSGI hat für seine regionalen Mitgliederorganisationen, die öffentlich-rechtlichen Rechenzentrums- und Service-Dienstleister (RMO) eine Arbeitsgruppe errichtet, welche folgende Fragestellungen klärt:

Da verschiedene unserer RMO bereits ISO027001 zertifiziert sind, interessiert die Frage, ob die Kunden (Städte und Gemeinden) dieser RMO bei einer finanzrelevanten Kontrolle (z.B. auf der Basis von ISAE 3402) sich auf die "Vorzertifizierung ihrer RMO nach iso 27002 abstützen können und die prüfenden Finanzkontrollen keine, weniger oder alle Prüfkriterien (Controls) nach ISAE 3402 nochmals anzuwenden haben.

Der Verein SSGI hat dazu die BDO AG, Zürich beigezogen und hat bereits den ersten Workshop dazu durchgeführt. Im Moment findet bei BDO AG die Differenzanalyse aufgrund der am Workshop erarbeiteten Ergebnisse statt.

Ziel dieses Projektes:

Der Verein SSGI wird zuhanden seiner RMO und damit auch deren Kunden von BDO AG, Zürich eine schriftliche Bestätigung der Abdeckung bzw. der Lücken von ISO27001 in Bezug auf die finanzrelevanten, generellen IT-Kontrollen (aufbauend auf dem IT-Kontrollframework für ISEA 3402) erhalten.

Diese wird insbesondere die Kunden (Städte und Gemeinden) der RMO freuen, welche bei finanzrelevanten Revisionen auf der Basis von ISAE 3402 die Sicherheit erhalten, dass sie durch die Vorarbeiten ihrer Rechnungszentrums-Diensstleister im Bereich ISO27001 bereits in allen oder wesentlichen Punkten abgedeckt sein werden und damit den Revisionsaufwand massiv reduzieren können.

Mehr zur Tätigkeit der Arbeitsgruppe erfahren Sie hier: Abgleich Iso27001 Zu Finanzrelevanten Gitc

Ergebnisse der Analyse

Beurteilung der Existenz des IKS in der IT bei der Anwenderorganisation nach OR 728a/PS 890 unter Verwendung einer ISO 27001-Zertifizierung Mein Vorwort wäre: Für IT Organisationen, welche eine aktuelle Zertifizierung nach ISO 27001 haben, stellt sich immer wieder die Frage, ob diese Zertifizierung ein IKS in der IT nach OR Art. 728a und dem Schweizer Prüfungsstandard (PS) 890 abdecken kann.

Im Auftrag des Vereins SSGI hat sich die Schweizer Wirtschaftsprüfungs-, Treuhand- und Beratungsgesellschaft BDO AG, Zürich, mit dieser Frage beschäftigt.

Ihre Schlussfolgerung ist, dass der Standard ISO 27001 thematisch einen bedeutenden Teil der generellen IT-Kontrollen abdeckt, die aus Sicht des Abschlussprüfers für die Beurteilung des IKS in der IT relevant sind. Für die Beurteilung des IKS in der IT nach PS 890 kann somit unter bestimmten Voraussetzungen auf eine ISO 27001-Zertifizierung abgestützt werden. Diese Voraussetzungen sind, dass der IT Dienstleistungserbringer zusätzlich aufzeigt,

1. wie er privilegierte Berechtigungen überwacht und,
2. wie er automatische Verarbeitungen, welche er im Auftrag der Anwenderorganisation (Dienstleitungsbezügers) durchführt, konfiguriert, überwacht und im Fehlerfall behandelt.

Fazit:

1. Die ISO 27001-Zertifizierung des IT-Dienstleistungserbringers (z.B. kantonale IT-Serviceanbieterin) kann grundsätzlich für die Beurteilung des IKS in der IT einer Anwenderorganisation (z.B. Stadt oder Gemeinde) verwendet werden, sofern die für das IKS der Anwenderorganisation relevanten Bereiche durch die Zertifizierung abgedeckt sind (Geltungsbereich).
2. Die ISO 27001-Zertifizierung kann ebenfalls unter den oben aufgeführten Voraussetzungen als Ersatz für einen Prüfbericht 1 nach ISAE 3402 angesehen werden. Eine ISO 27001-Zertifizierung deckt aber nicht einen Prüfbericht 2 nach ISAE 3402 ab.

Für weitere Auskünfte zum Projekt kontaktieren Sie:

• Lukas Fässler, Präsident Verein SSGI, faessler@fsdz.ch

Erstellt 26. November 2020

Ausgangslage

Nachdem das Bundesgesetz zur Schaffung einer eID am 7. März 2021 durch das Volk abgelehnt wurde, haben diverse Gemeinde, Städte und Kantone den Bedarf geäussert, rasch eine elektronische Identität nach entsprechend einheitlichen Standards zu lancieren und diese den Einwohnerinnen und Einwohnern zum Zweck der Nutzung von speziellen e-Gov-Services mit erhöhten Identifizierungsanforderungen zur Verfügung zu stellen.

Zielsetzungen

Durch die Einsetzung einer «Arbeitsgruppe eID» beim Verein SSGI sollen die kantonalen und kommunalen Interessen aller Interessierten für eine rasche Realisierung eines interkantonalen eID-Standards koordiniert und gebündelt werden. Die Arbeitsgruppe ist auch für Nichtmitglieder des Vereins SSGI offen und wird als nationale Koordinationsgruppe verstanden.

Im Vordergrund steht die Festlegung von schweizweit anwendbaren Standards für den Einsatz und die Nutzung einer eID für die gesamte öffentliche Verwaltung, welche dann auch via eCH zu einem nationalen Standard führen soll. Dadurch soll den einzelnen öffentlich-rechtlichen Körperschaften ermöglicht werden, die eID operativ einzusetzen und eID-Services auf Basis standardisierter und untereinander kompatibler technischer Lösungen aus der Privatwirtschaft bereitzustellen.

Interessierten Arbeitsgruppenmitgliedern wird auch Zugang zu der heute schon im Kanton Schaffhausen (seit 2017) eingesetzten eID-Lösung und deren eID-Services sowie der Lösung der Stadt Zug (seit 1.1.2021) und deren eID-Services gewährt mit dem Ziel, künftig die sich auf einer eID aufbauenden Services ebenfalls abzustimmen, zu koordinieren und möglichst gemeinsam zu betreiben.

Unter Beizug von eOperations Schweiz AG soll bei entsprechendem Interesse der Interessierten auch ein IDP (Identity Service Provider) für den Betrieb evaluiert werden.

Die Arbeitsgruppe steht bereits in engem Kontakt mit dem Bund (Bundesamt für Justiz) und bundesnahen Organisationen wie Digitale Verwaltung Schweiz (DVS) und eOperations Schweiz AG, welche die Koordination über diese Arbeitsgruppe begrüssen und auch unterstützen.

Koordination

Die Arbeitsgruppe steht unter der administrativen Koordination des Vereins SSGI. Wir übernehmen dabei die Koordinationsaufgaben für eine zielgerichtete Lösungsfindung durch zeitnahe Bereitstellung von Lösungsansätzen sowie allen weiteren gewünschten Aufgaben.

Ansprechperson: Titus Fleck, StV-Leiter der KSD Schaffhausen (titus.fleck@ssgi.ch)