Kontakt und Organisation

Die folgenden Informationen beschreiben Organisation und Strukturen im Bereich IT-Sicherheit der ETH. Rollen und Verantwortlichkeiten werden ebenfalls beschrieben.

Kontakt

Der Service Desk der Informatikdienste nimmt alle Anfragen und Meldungen von Sicherheitsvorfällen entgegen. Ausserhalb der Bürozeiten steht die Alarmzentrale der ETH Zürich für Notfälle zur Verfügung.

Sicherheitsverantwortliche

Der CISO ist verantwortlich für die Koordination der Informationssicherheit an der gesam­ten Universität, die Beratung von Informationseigentümern und Informationssicherheits­beauftragten (ISOs) und die regelmässige Berichterstattung an die Risikomanagement-Kommission über ihre Aktivitäten.

Durchsetzung der Einhaltung der gesetzlichen Anforderungen an die Informationssicher­heit und Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen, Prozessen, Anwendungen und IT-Komponenten.

Die Leiter von Verwaltungsabteilungen, Leiter von Stabsabteilungen, Leiter von akademischen Abteilungen und Leiter von Lehr- und Forschungseinrichtungen ausserhalb der akademischen Abteilungen ernennen jeweils einen Informationssicherheitsbeauftragten (ISO) für ihren jeweiligen Aufgabenbereich.

Sofern nicht anders angegeben, erfüllt der IT Support Lead (ISL) innerhalb der akademischen Abteilungen die Funktion der ISO.

Zu den Aufgaben der ISO gehören die Inventarisierung von Informationen, die ein hohes Schutzniveau erfordern, die erste Anlaufstelle für Beratung, die Berichterstattung und die Teilnahme an ISO-Arbeitsgruppen.

Gremien

Die Risikomanagementkommission (RMC) ist eine Arbeitsgruppe von Experten für Informationssicherheit und Risikomanagementspezialisten.

Die Arbeitsgruppe unterstützt die CISO bei der Entwicklung der Informationssicherheit und fungiert neben den ISOs und ITSO ITS als Expertenprüfungsgremium.

Die aus den «Abteilungs-ISOs» und den «ISOs der zentralen Verwaltungseinheiten sowie Lehr- und Forschungseinrichtungen ausserhalb der akademischen Abteilungen» beste­hende Kommission ist zuständig für die Koordination von abteilundübergreifenden Projekten, den Informationsaustausch und die Durchführung technischer Überprüfungen.

Die Umsetzung von IT- und Informationssicherheit kann als Themenbereich nicht einzig an einen Security Officer delegiert werden.

Sicherheit muss integraler Teil aller Phasen der Lebenszyklen von ­­(IT-)Services sein und als permanente Aufgabe der mit der Serviceerbringung befassten Gruppen implementiert werden.

Entsprechend wurde die Sicherheitsorganisation in der ID nicht als zusätzliche Einheit zu den bisherigen Sektionen und Gruppen aufgebaut, sondern als Matrixorganisation mit einem integralen Ansatz implementiert: Mitarbeitende mit Sicherheitsfunktionen stellen in ihren jeweiligen Fachgruppen sicher, dass Sicherheitsaspekte klar als Teil der täglichen Arbeiten aller Teams wahrgenommen werden.

JavaScript wurde auf Ihrem Browser deaktiviert