Kontakt und Organisation
Die folgenden Informationen beschreiben Organisation und Strukturen im Bereich IT-Sicherheit der ETH. Rollen und Verantwortlichkeiten werden ebenfalls beschrieben.
Kontakt
Der Service Desk der Informatikdienste nimmt alle Anfragen und Meldungen von Sicherheitsvorfällen entgegen. Ausserhalb der Bürozeiten steht die Alarmzentrale der ETH Zürich für Notfälle zur Verfügung.
Der CISO ist verantwortlich für die Koordination der Informationssicherheit an der gesamten Universität, die Beratung von Informationseigentümern und Informationssicherheitsbeauftragten (ISOs) und die regelmässige Berichterstattung an die Risikomanagement-Kommission über ihre Aktivitäten.
Durchsetzung der Einhaltung der gesetzlichen Anforderungen an die Informationssicherheit und Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität von Informationen, Prozessen, Anwendungen und IT-Komponenten.
Die Sektion Cyber and Information Security (CISEC) sorgt für ein möglichst sicheres und stabiles ICT-Umfeld an der ETH wie es für die Kernaufgaben der Schule angemessen und notwendig ist.
Dies geschieht im Wesentlichen in drei Arbeits-Bereichen:
- Information und Prävention
- Intervention und Recovery
- Projektarbeiten
Die Leiter von Verwaltungsabteilungen, Leiter von Stabsabteilungen, Leiter von akademischen Abteilungen und Leiter von Lehr- und Forschungseinrichtungen ausserhalb der akademischen Abteilungen ernennen jeweils einen Informationssicherheitsbeauftragten (ISO) für ihren jeweiligen Aufgabenbereich.
Sofern nicht anders angegeben, erfüllt der IT Support Lead (ISL) innerhalb der akademischen Abteilungen die Funktion der ISO.
Zu den Aufgaben der ISO gehören die Inventarisierung von Informationen, die ein hohes Schutzniveau erfordern, die erste Anlaufstelle für Beratung, die Berichterstattung und die Teilnahme an ISO-Arbeitsgruppen.
Die Risikomanagementkommission (RMC) ist eine Arbeitsgruppe von Experten für Informationssicherheit und Risikomanagementspezialisten.
Die Arbeitsgruppe unterstützt die CISO bei der Entwicklung der Informationssicherheit und fungiert neben den ISOs und ITSO ITS als Expertenprüfungsgremium.
Die aus den «Abteilungs-ISOs» und den «ISOs der zentralen Verwaltungseinheiten sowie Lehr- und Forschungseinrichtungen ausserhalb der akademischen Abteilungen» bestehende Kommission ist zuständig für die Koordination von abteilundübergreifenden Projekten, den Informationsaustausch und die Durchführung technischer Überprüfungen.
Das Informationssicherheitskonzept hat das Ziel, mittels eines systematischen Ansatzes innerhalb der ETH Zürich einen kontinuierlichen Verbesserungsprozess zu etablieren und die folgenden Themen zu stärken:
- Sensibilität zur Informationssicherheit
- Systematische Beurteilung der Informationssicherheitsrisiken
- Risikominimierung bei Informationsrisiken
- Gemeinsames Erarbeiten von Richtlinien
Die Rolle des ISO wird in den Departementen durch den Informatik Support Leiter (ISL), die Rolle des Chief Information Officers (CISO) wird durch den Direktor Informatikdienste wahrgenommen.
Die Umsetzung von IT- und Informationssicherheit kann als Themenbereich nicht einzig an einen Security Officer delegiert werden.
Sicherheit muss integraler Teil aller Phasen der Lebenszyklen von (IT-)Services sein und als permanente Aufgabe der mit der Serviceerbringung befassten Gruppen implementiert werden.
Entsprechend wurde die Sicherheitsorganisation in der ID nicht als zusätzliche Einheit zu den bisherigen Sektionen und Gruppen aufgebaut, sondern als Matrixorganisation mit einem integralen Ansatz implementiert: Mitarbeitende mit Sicherheitsfunktionen stellen in ihren jeweiligen Fachgruppen sicher, dass Sicherheitsaspekte klar als Teil der täglichen Arbeiten aller Teams wahrgenommen werden.