Umsetzung der W-ISDS-Anforderungen und Aufbau eines ISO/IEC 27001-basierten Informationssicherheits- und Datenschutzmanagements
Diese Case Study zeigt, wie datenschutzkonform.ch in einem realen Mandat Datenschutz und Informationssicherheit pragmatisch umgesetzt hat — von der Analyse bis zur Dokumentation. Durchführungsstellen der 1. und 2. Säule verarbeiten besonders schützenswerte Personendaten – etwa Leistungs-, Versicherungs-, Gesundheits- und Lohndaten. Der Schutz dieser Informationen ist zentral für das Vertrauen der Versicherten und die rechtliche Integrität der Sozialwerke.
Mit den Weisungen zur Informationssicherheit und zum Datenschutz (W-ISDS) legt das Bundesamt für Sozialversicherungen verbindliche Anforderungen an den Datenschutz und die Informationssicherheit fest. Diese sind von allen Durchführungsstellen einzuhalten – unabhängig von ihrer Grösse oder kantonalen Anbindung. Ergänzend orientieren sich viele Organisationen an ISO/IEC 27001, um Governance, Risiko- und Kontrollprozesse zu professionalisieren.
Durchführungsstellen verarbeiten besonders schützenswerte Personendaten – etwa Leistungs-, Versicherungs-, Gesundheits- und Lohndaten. Die Kombination aus Bundesvorgaben, kantonalen Anforderungen und internationalen Standards macht dieses Umfeld besonders anspruchsvoll.
datenschutzkonform.ch unterstützt Durchführungsstellen beim Aufbau eines systematischen, nachvollziehbaren Informationssicherheits- und Datenschutzmanagements gemäss W-ISDS.
Ziel ist es, gesetzliche Anforderungen effizient zu erfüllen, Risiken gezielt zu steuern und gleichzeitig die Standards der ISO/IEC 27001 pragmatisch einzubinden.
Verbindliche Anforderungen an den Datenschutz und die Informationssicherheit – von allen Durchführungsstellen einzuhalten, unabhängig von Grösse oder kantonaler Anbindung.
Ergänzend orientieren sich viele Organisationen an ISO/IEC 27001, um Governance, Risiko- und Kontrollprozesse zu professionalisieren.
Wir unterstützen Durchführungsstellen beim Aufbau eines systematischen, nachvollziehbaren Informationssicherheits- und Datenschutzmanagements.
Erhebung der bestehenden Datenschutz- und Sicherheitsmassnahmen anhand der W-ISDS-Kriterien. Vergleich mit ISO/IEC 27001-Anforderungen zur Identifikation von Lücken und Synergien. Erarbeitung einer priorisierten Roadmap.
Definition von Verantwortlichkeiten, Rollen und Freigabeprozessen gemäss W-ISDS-Kapitel 2–4. Erstellung oder Überarbeitung zentraler Richtlinien zu Informationssicherheit, Datenschutz, Zugriff und Klassifizierung.
Dokumentation von Bearbeitungszwecken, Datenkategorien, Rechtsgrundlagen und Aufbewahrungsfristen. Abbildung der technischen und organisatorischen Massnahmen (TOMs) in Übereinstimmung mit W-ISDS Kapitel 6 ff.
Neben der Dokumentation und Governance setzen wir auf strukturiertes Risikomanagement und gezielte Awareness-Massnahmen, um eine nachhaltige Sicherheitskultur aufzubauen.
Einführung einer strukturierten Risikoanalyse gemäss ISO/IEC 27005 und W-ISDS 6.1. Bewertung und Behandlung von Datenschutz- und Informationssicherheitsrisiken auf organisatorischer und technischer Ebene.
Integration der Ergebnisse in das jährliche Management-Review und die Berichterstattung an Aufsichtsgremien. Integration in bestehende interne Kontrollsysteme (IKS) und Audit-Prozesse.
Durchführung von Awareness-Kampagnen und E-Trainings für Mitarbeitende und Führungskräfte. Gezielte Sensibilisierung für Datenschutzvorfälle, Social Engineering und Phishing-Angriffe.
Aufbau einer nachhaltigen Sicherheitskultur in der täglichen Verwaltungspraxis. Nachweisführung und Auditfähigkeit durch klare Prozess- und Dokumentationsstruktur.
Die unterstützten Durchführungsstellen profitieren von einem systematischen, nachvollziehbaren Informationssicherheits- und Datenschutzmanagement.
Nachweisbare Umsetzung der W-ISDS-Vorgaben und DSG-Konformität.
Einheitliche Strukturen, klare Verantwortlichkeiten und reduzierte Doppelspurigkeiten.
Systematische Erfassung und Behandlung von Datenschutz- und IT-Risiken.