BBL 2000 Band 19 S. 2853

Weisungen des Bundesrates über die Informatik und Telekommunikation in der Bundesverwaltung (Informatikweisungen Bundesrat, BInfW) vom 23. Februar 2000

Der Schweizerische Bundesrat, gestützt auf die Artikel 43 und 47 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 19971 (RVOG), sowie auf die Bundesinformatikverordnung vom 23. Februar 2000 2 (BInfV), erlässt folgende Weisungen:

1. Kapitel: Allgemeine Bestimmungen Art. 1

Gegenstand der Weisungen

Diese Weisungen regeln Einzelheiten der Aufgaben der Organe und Verwaltungseinheiten bei der Planung und dem Einsatz der Informatik und der Telekommunikation in der Bundesverwaltung sowie der Informatiksicherheit und der finanziellen Führung der Informatik.

Art. 2

Geltungsbereich

Der Geltungsbereich dieser Weisungen ist identisch mit dem Geltungsberereich der Bundesinformatikverordnung(Art. 2 BInfV).

Art. 3

Informatikvorgaben

1

Die Informatikstrategie der Bundesverwaltung legt auf der Basis des Informatikleitbilds die mittelfristigen Ziele, Grundsätze und Methoden für den Einsatz der Informatik in der Bundesverwaltung fest.

2 Informatikprozesse legen fest, wie Informatikaufgaben erfüllt werden. Sie können bundesweit gleich instrumentiert werden, um die Messbarkeit und Wirtschaftlichkeit zu gewährleisten.

3

Die Informatikarchitekturen und -standards (inkl. Sicherheitsarchitektur und -standards) bestimmen den technischen Rahmen für die Informatiksysteme, insbesondere die Anforderungen an deren Interoperabilität und Wirtschaftlichkeit.

1 2

SR 172.010 SR 172.010.58; AS 2000 1227

2000-0673

2853

Informatikweisungen Bundesrat

2. Kapitel: Die Organisation der Bundesinformatik 1. Abschnitt: Der Informatikrat Art. 4

Aufgaben des Informatikrates

1

Der Informatikrat (IRB) bestimmt im Rahmen der Strategischen Steuerung die mittel- und langfristige Entwicklung des Informatikeinsatzes in der Bundesverwaltung.

2

Seine Aufgaben sind: a.

Festlegen der Informatikvorgaben für die Bundesverwaltung;

b.

Erlass von Weisungen über deren Ausführung und Regelung allfälliger Abweichungen;

c.

Bewilligung von Ausnahmen bei der Umsetzung der Informatikvorgaben;

d.

Bestimmung der Querschnittsleistungen;

e.

Bestimmung der Aufgaben und Zuordnung von Kompetenzzentren von Leistungsbezügern bzw. Leistungserbringern;

f.

Initialisierung und Steuerung von Informatikprogrammen;

g.

Entscheide zum Konfigurations- und Release-Management, sofern Auswirkungen auf Geschäftsprozesse, Benutzer (insbesondere Auslösung von Schulungsbedarf), andere Applikationen oder die Interoperabilität abzusehen sind;

h.

Beschluss und Inkraftsetzung der Vorgaben bezüglich Leistungsverrechnung;

i.

fachliche Zuweisung von Mitarbeitern und Mitarbeiterinnen an das Informatikstrategieorgan Bund in Absprache mit den Linienvorgesetzten, wie z.B. Prozessverantwortlichen;

j.

Mitwirkung im Budgetierungs- und Finanzplanungsprozess, insbesondere Behandlung der Botschaft zu den Verpflichtungskrediten;

k.

Einsatz der strategischen finanziellen Reserve, insbesondere für unvorhersehbare Entwicklungen während eines Rechnungsjahres.

3 Der IRB kann Einzelentscheide aus seinem Kompetenzbereich, insbesondere Ausnahmen von Informatikvorgaben, Einzelentscheide zum Betrieb oder im Rahmen von Projekten und Programmen an den Ausschuss Informatiksicherheit (A-IS), an die Informatikbetreiberkonferenz (IBK) oder an die Departemente bzw. die Bundeskanzlei sowie an Programm- oder Projektorganisationen delegieren, sofern damit künftige Entscheide voraussichtlich nicht präjudiziert werden.

4

Für Einzelheiten betreffend die Organisation und die Arbeit des IRB erlässt dieser ein Geschäftsreglement.

2854

Informatikweisungen Bundesrat

Art. 5

Aufgaben des A-IS

1

Der A-IS erarbeitet die Weisungen über die Informatiksicherheit, unterhält sie und interpretiert sie in konkreten Anwendungsfällen.

2

Er entscheidet über Anträge der Departemente und Verwaltungseinheiten bezüglich der Vergabe von sicherheitsrelevanten Rechten und Mandaten, insbesondere in Zusammenhang mit Firewalls, Zugriffsrechten und Privilegien.

3

Er bringt dem IRB seine Entscheide umgehend zur Kenntnis.

4

Er berät den IRB in Fragen der Informatiksicherheit.

Art. 6

Entscheidfindung im A-IS

1

Der A-IS tritt periodisch oder nach Weisung des Informatikrats oder auf Antrag seiner Mitglieder zusammen;er kann auch auf dem Korrespondenzweg (auch elektronisch) entscheiden. Er wird vom Informatikstrategieorgan Bund (ISB) geleitet.

2

Die Beschlüsse des A-IS sind gültig, wenn sich die Mehrheit der Mitglieder an der Abstimmung beteiligt. Er entscheidet mit einfachem Mehr der stimmenden Mitglieder (ohne Vorsitz); bei Stimmengleichheit gibt der Vorsitz den Stichentscheid.

3

Die Entscheide des A-IS können an den Informatikrat weitergezogen werden.

4

Für Einzelheiten betreffend die Organisation und die Arbeit des A-IS erlässt dieser ein Geschäftsreglement.

Art. 7

Aufgaben des ISB

Im einzelnen hat das ISB folgende Aufgaben, die es in Zusammenarbeit mit Leistungsbezügern und Leistungserbringern erfüllt: a.

Erarbeitung und Pflege der Informatikvorgaben und der entsprechenden Vorschriften;

b.

Sicherstellen der Umsetzung der Entscheide des IRB durch ein geeignetes Controlling und Überprüfen der Informatikportfolios der Leistungsbezüger auf ihre Konformität mit den Informatikvorgaben;

c.

Leiten von Informatikprogrammen, das heisst, koordinierten Informatikprojekten mit gemeinsamer Zielsetzung.

2. Abschnitt: Die Leistungsbezüger Art. 8

Aufgaben der Leistungsbezüger

1

Die Leistungsbezüger bestimmen den Informatikeinsatz in ihrem Bereich im Rahmen der Informatikvorgaben und der Beschlüsse des IRB. Sie entscheiden über Planung, Budgetierung, Bezug und Überwachung des Einsatzes der Informatik.

2

Im Rahmen ihrer strategischen Informatikplanung erstellen sie ein Informatikportfolio ihrer Studien, Projekte und Anwendungen.

2855

Informatikweisungen Bundesrat

3 Die Bundeskanzlei bezieht ihre Leistungen grundsätzlich beim Bundesamt für Informatik und Telekommunikation (BIT).

3. Abschnitt: Die Leistungserbringer Art. 9

Aufgaben der Leistungserbringer

1

Die Leistungserbringer erbringen im Rahmen der Informatikvorgaben Informatikleistungen für die departements- bzw. amtsspezifischen Fachanwendungen und die Büroautomation (exklusive Querschnittsleistungen nach Art. 10). Sie: a.

evaluieren und entwickeln Lösungen gemäss Auftrag der Leistungsbezüger;

b.

stellen die nötige Infrastruktur und die Anwendungen bereit und betreiben sie;

c.

setzen in Zusammenarbeit mit den Leistungsbezügern und gegebenenfalls anderen zuständigen Stellen (Art. 6 BInfV) die Sicherheitsmassnahmen um;

d.

unterstützen die Benutzer ihrer Fachanwendungen.

2

Departementale Leistungserbringer können Leistungen, im Einverständnis mit dem Leistungsbezüger, beim BIT oder extern beziehen.

3 Die Leistungserbringer können ihre Leistungen auf Wunsch und im Einvernehmen mit den Departementen und der Bundeskanzlei auch anderen Verwaltungseinheiten anbieten.

4 Im Rahmen von Artikel 18 budgetieren die Leistungserbringer ihre finanziellen Bedürfnisse für die Anschaffung, den Betrieb, die Wartung und den Unterhalt ihrer Infrastruktur.

Art. 10

Querschnittsleistungen des BIT

Das BIT erbringt im Einzelnen folgende Querschnittsleistungen: a.

Planung, Bereitstellung, Betrieb und Unterhalt der zivilen Daten- und Sprachkommunikation; die Datenkommunikation für Teile des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS), sowie die Daten- und Sprachkommunikation der Armee einschliesslich der davon betroffenen lokalen Netzwerke, obliegt dem VBS;

b.

Planung, Bereitstellung, Betrieb und Unterhalt von Querschnittsanwendungen;

c.

umfassende und ganzheitliche Informatikdienstleistungen in Informatikkompetenzzentren (Beratung, Konzeption, Realisierung, Betrieb und Support);

d.

Organisation von Kursen im Rahmen der Informatikausbildung;

e.

Sicherstellen der bundesweiten technischen Interoperabilität in der Bürokommunikation;

f.

Querschnittsleistungen im Bereich der operativen Sicherheit;

2856

Informatikweisungen Bundesrat

g.

Katastrophenvorsorge und Betrieb von Notrechenzentren hoher und mittlerer Verfügbarkeit für die Bundesverwaltung.

Art. 11

Aufgaben der IBK

1

Die IBK stellt die für die Leistungserbringung notwendigen technischen Abstimmungen sicher.

2

Sie koordiniert die Betriebsschnittstellen, das Konfigurations- und Release-Management sowie andere betriebsrelevante Aspekte unter Vorbehalt von Artikel 4 Absatz 2 Buchstabe g.

Art. 12

Entscheidfindung in der IBK

1

Die IBK entscheidet mit einfachem Mehr der anwesenden Mitglieder (ohne Vorsitz); bei Stimmengleichheit gibt der Vorsitz den Stichentscheid.

2

Die Bundeskanzlei, das ISB und das Bundesamt für Bauten und Logistik sind ständige Mitglieder der IBK mit beratender Stimme. Die IBK kann weitere Mitglieder mit beratender Stimme beiziehen.

3

Für Einzelheiten betreffend die Organisation und die Arbeit der IBK erlässt diese ein Geschäftsreglement.

3. Kapitel: Informatiksicherheit Art. 13

Vorgaben und Verfahren zur Informatiksicherheit

1

Das ISB erarbeitet die Vorgaben und Verfahren zur Informatiksicherheit unter Einbezug der Departemente und der Bundeskanzlei sowie der folgenden zuständigen Stellen: Eidgenössische Finanzkontrolle, Eidgenössischer Datenschutzbeauftragter, Bundesarchiv, Sicherheitsdienst der Bundesverwaltung, BIT sowie Bundesamt für Bauten und Logistik.

2

Departemente und Dienststellen können zur Verbesserung des Schutzes für Objekte ihres Bereichs weitergehende Sicherheitsmassnahmen anordnen, wenn sie dies für erforderlich halten.

Art. 14

Zuständigkeiten des ISB im Bereich der Informatiksicherheit

Das ISB: a.

stellt eine Datenbank der schützenswerten Informatikmittel und Daten (Schutzobjekte) sowie der Personen zur Verfügung, denen die Verantwortung für die ständige Kontrolle der Einhaltung und Wirksamkeit von Sicherheitsmassnahmen obliegt;

b.

ordnet auf der Grundlage des mit den Verwaltungseinheiten gemeinsam ermittelten Schutzbedarfs die zu ergreifenden konkreten Sicherheitsmassnahmen an;

2857

Informatikweisungen Bundesrat

c.

unterstützt und berät Verwaltungseinheiten und weitere Einheiten, wenn schützenswerte Informatikmittel und Daten betroffen sind, und zieht dabei allenfalls die zuständigen Stellen bei;

d.

klärt als Sachverständigenorgan im Auftrag des IRB bei vermuteten oder erfolgten Sicherheitsvorfällen ab.

Art. 15

Berichts- und Meldewesen

1

Alle Verwaltungseinheiten, Organisationen und Personen im Geltungsbereich dieser Weisungen melden dem ISB Ereignisse, welche die Sicherheit von Informatikmitteln oder Daten betreffen.

2 Die Departemente und die Bundeskanzlei berichten dem ISB zum Jahresende über den Stand der Umsetzung von Sicherheitsmassnahmen. Das ISB orientiert den IRB jeweils im darauffolgenden ersten Quartal.

4. Kapitel: Finanzielle Führung Art. 16

Verpflichtungskredite

1

Begehren für Verpflichtungskredite im Bereich der Bundesinformatik werden den eidgenössischen Räten mit besonderer Botschaft unterbreitet.

2

Die Vorbereitung der Botschaft über die Verpflichtungskredite erfolgt zentral durch das ISB. Die Eidgenössische Finanzverwaltung regelt, in Absprache mit dem IRB, das Nähere in einer Weisung.

Art. 17

Investitionsplanung

Die vierjährige rollende Investitionsplanung erfolgt dezentral in den Departementen und wird durch das ISB auf Stufe Bund konsolidiert.

Art. 18

Zahlungskredite

1

Leistungsbezüger und Leistungserbringer legen im Rahmen des Budgetierungsprozesses ihre finanziellen Bedürfnisse fest. Dazu gehören Kreditbegehren für Personal-, Sach- und Investitionsausgaben.

2

Die Kreditmittel für die Büroautomation und für die Entwicklung von Fachanwendungen werden grundsätzlich den Leistungsbezügern zugeteilt.

3

Kredite für die Realisierung departementsübergreifender Investitionsprojekte und bundesweiter Anwendungen können zentral beim IRB eingestellt werden.

4 Die Kreditmittel zur Finanzierung von Grossanlagen, Servern und Netzwerken, sowie die damit zusammenhängenden Ausgaben für den Betrieb, die Wartung und den Unterhalt werden grundsätzlich bei den Leistungserbringern eingestellt.

5

Die Eidgenössische Finanzverwaltung regelt im Einvernehmen mit dem IRB das Nähere, insbesondere auch die Steuerung einer strategischen Reserve.

2858

Informatikweisungen Bundesrat

5. Kapitel: Schlussbestimmungen Art. 19

Unverändert gültige Weisungen

Folgende Dokumente bleiben bis zu einem entsprechenden Beschluss des IRB in Kraft: a.

Technische Weisungen über den Einsatz der Informatik;

b.

vom Bundesamt für Informatik erlassene Weisungen zur Informatiksicherheit;

c.

von der Informatikkonferenz des Bundes erteilte Ausnahmebewilligungen in der Anwendung Technischer Weisungen;

d.

von der Informatikkonferenz des Bundes gefasste allgemeinverbindliche Beschlüsse in Einzelfällen;

e.

die gestützt auf die Verordnung vom 10. Juni 19913 über den Schutz der Informatiksysteme und -anwendungen in der Bundesverwaltung (VINFS) vom BFI erlassenen Technischen Weisungen und Richtlinien.

Art. 20

Inkrafttreten

Diese Weisungen treten am 1. April 2000 in Kraft.

23. Februar 2000

Im Namen des Schweizerischen Bundesrates

10915

Der Bundespräsident: Adolf Ogi Die Bundeskanzlerin: Annemarie Huber-Hotz

3

SR 172.010.59

2859