1
Verordnung
über den Schutz von Informationen des Bundes (Informationsschutzverordnung, ISchV) vom 4. Juli 2007 (Stand am 1. August 2010) Der Schweizerische Bundesrat, gestützt auf die Artikel 8 Absatz 1 und 43 Absatz 2 des Regierungs- und
Verwaltungsorganisationsgesetzes vom 21. März 19971 (RVOG) sowie auf Artikel 150 Absatz 3 des Militärgesetzes vom 3. Februar 19952 (MG), verordnet: 1. Abschnitt: Allgemeine Bestimmungen
Art. 1
Gegenstand 1 Diese Verordnung regelt den Schutz von Informationen des Bundes und der Armee, soweit er im Interesse des Landes geboten ist. Sie legt insbesondere deren Klassifizierung und Bearbeitung fest.
2
Vorbehalten bleiben spezialgesetzliche Bestimmungen.
Art. 2
Geltungsbereich Diese Verordnung gilt für: a. die Bundesverwaltung nach Artikel 6 der Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 19983;
b. die Angehörigen der Armee; c. Organisationen und Personen des öffentlichen oder privaten Rechts, die klassifizierte Informationen bearbeiten, soweit dies im Bundesrecht vorgesehen ist oder entsprechend vereinbart wurde; d. eidgenössische und kantonale Gerichte, die klassifizierte Informationen bearbeiten, soweit dies im Bundesrecht vorgesehen ist.
AS 2007 3401 1 SR
172.010
2 SR
510.10
3 SR
172.010.1
510.411
Organisation und Verwaltung 2
510.411
Art. 3
Begriffe In dieser Verordnung bedeuten: a. Informationen:
Aufzeichnungen auf Informationsträgern und mündliche Äusserungen; b. Informationsträger: Träger von Informationen irgendwelcher Art, namentlich Schriftstücke und Träger von Text-, Bild-, Ton- oder andern Daten; Zwischenmaterial, namentlich Entwürfe, gelten ebenfalls als Informationsträger; c. Bearbeiten:
jeder Umgang mit Informationen, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Erstellen, Benützen, Verarbeiten, Kopieren, Zugänglichmachen, Bekanntgeben, Übermitteln, Zur-Kenntnis-Nehmen, Aufbewahren, Archivieren und Vernichten; d. Verfasserin oder Verfasser: Person, Verwaltungseinheit, Kommandostelle oder Auftragnehmer, der oder die klassifizierte Informationen erstellt; e. Geheimnisträgerin oder Geheimnisträger: Person, der klassifizierte Informationen anvertraut wurden; f. Klassifizieren:
eine konkrete Information dem Klassifizierungskatalog (Art. 8) entsprechend beurteilen und mit dem Klassifizierungsvermerk formell kennzeichnen; g. Entklassifizieren: den Klassifizierungsvermerk nach Wegfall der Schutzwürdigkeit streichen; h. Informatikund
Telekommunikationssysteme: Systeme und die auf ihnen vorhandenen Anwendungen und Datensammlungen; i. Informatiksicherheit: die Informatiksicherheit stellt die Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit bei der elektronischen Bearbeitung von Informationen sicher; j. Codierung:
Anwendung von Umschreibungen und Decknamen; k. Verschlüsselung:
technische Umformung von Klartext, welche eine dem Stand der Technik entsprechende Qualität aufweist.
Informationsschutzverordnung 3
510.411
2. Abschnitt: Klassifizierungen
Art. 4
Klassifizierungsstufen 1 Wer schutzwürdige Informationen verfasst oder herausgibt, weist sie entsprechend dem Grad ihrer Schutzwürdigkeit einer der folgenden Klassifizierungsstufen zu: a. GEHEIM; b. VERTRAULICH; c. INTERN.
2
Werden Informationsträger physisch zu einem Sammelwerk zusammengefasst, ist zu überprüfen, ob dieses klassifiziert oder einer höheren Klassifizierungsstufe zugeordnet werden muss.
Art. 5
GEHEIME Informationen
1
Als GEHEIM werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte den Landesinteressen einen schweren Schaden zufügen kann. Dabei handelt es sich namentlich um Informationen, deren Bekanntwerden: a. die Handlungsfähigkeit der Bundesversammlung oder des Bundesrats schwerwiegend gefährden kann; b. die Sicherheit der Bevölkerung schwerwiegend gefährden kann; c. die wirtschaftliche Landesversorgung oder die Sicherheit von landeswichtigen Führungs- und Infrastrukturanlagen schwerwiegend gefährden kann;
d. die Aufgabenerfüllung der Bundesverwaltung, der Armee oder wesentlicher Teile davon schwerwiegend gefährden kann; e. die aussenpolitischen Interessen oder die internationalen Beziehungen der Schweiz schwerwiegend gefährden kann; f. den Quellen- oder den Personenschutz oder die Geheimhaltung von operativen Mitteln und Methoden der Nachrichtendienste schwerwiegend gefährden kann.
2
Träger von als GEHEIM klassifizierten Informationen sind zu nummerieren.
Art. 6
VERTRAULICHE Informationen
1
Als VERTRAULICH werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte den Landesinteressen Schaden zufügen kann. Dabei handelt es sich namentlich um Informationen, deren Bekanntwerden: a. die freie Meinungs- und Willensbildung der Bundesversammlung oder des Bundesrats beeinträchtigen kann; b. die zielkonforme Durchführung konkreter behördlicher Massnahmen beeinträchtigen kann;
c. die Sicherheit der Bevölkerung beeinträchtigen kann;
Organisation und Verwaltung 4
510.411
d. die wirtschaftliche Landesversorgung oder die Sicherheit von wichtigen Infrastrukturanlagen beeinträchtigen kann;
e. die Aufgabenerfüllung von Teilen der Bundesverwaltung oder von Teilen der Armee beeinträchtigen kann; f. die aussenpolitischen Interessen oder internationalen Beziehungen der Schweiz beeinträchtigen kann; g. die Beziehungen zwischen Bund und Kantonen oder zwischen Kantonen beeinträchtigen kann;
h. wirtschafts-, geld- und währungspolitische Interessen der Schweiz beeinträchtigen kann.
2
Informationsträger mit als VERTRAULICH klassifizierten Informationen können nummeriert werden.
Art. 7
INTERNE Informationen
1
Als INTERN werden Informationen klassifiziert: a. deren Kenntnisnahme durch Unberechtigte den Landesinteressen einen Nachteil zufügen kann; und b. die weder als GEHEIM noch als VERTRAULICH klassifiziert werden müssen.4
2
Als «RESTRICTED» oder gleichwertig klassifizierte Informationen aus dem Ausland werden wie als INTERN klassifizierte Informationen bearbeitet.
Art. 8
5 Klassifizierungskatalog Die Generalsekretärenkonferenz legt in einem Klassifizierungskatalog fest, wie gewisse häufig anfallende schutzwürdige Informationen des Bundes zu klassifizieren sind.
Art. 9
Befristete Klassifizierung
Die Klassifizierung ist zu befristen, wenn voraussehbar ist, wann die Schutzwürdigkeit dahinfallen wird.
4
Fassung gemäss Ziff. I der V vom 30. Juni 2010, in Kraft seit 1. Aug. 2010 (AS 2010 3207).
5
Fassung gemäss Ziff. I der V vom 30. Juni 2010, in Kraft seit 1. Aug. 2010 (AS 2010 3207).
Informationsschutzverordnung 5
510.411
3. Abschnitt: Geheimnisträgerinnen und Geheimnisträger
Art. 10
Anforderungen
1
Personen, die aufgrund ihres Aufgabenbereiches Zugang zu klassifizierten Informationen erhalten sollen, sind:
a. sorgfältig
auszuwählen;
b. zur Geheimhaltung zu verpflichten; und c. entsprechend aus- und weiterzubilden.
2
Ob sich Geheimnisträgerinnen und Geheimnisträger, die Zugang zu als GEHEIM oder als VERTRAULICH klassifizierten Informationen erhalten sollen, einer Personensicherheitsprüfung unterziehen müssen, richtet sich nach der Verordnung vom 19. Dezember 20016 über die Personensicherheitsprüfungen.
Art. 11
Aus- und Weiterbildung Die Fachkenntnisse von Geheimnisträgerinnen und Geheimnisträgern im Bereich des Informationsschutzes und der Informatiksicherheit sind sicherzustellen und periodisch zu aktualisieren.
Art. 12
Verantwortung 1 Wer klassifizierte Informationen bearbeitet, ist für die Einhaltung der Informationsschutzvorschriften verantwortlich.
2
Die Vorgesetzten überprüfen regelmässig die Einhaltung dieser Vorschriften.
4. Abschnitt: Bearbeitung von klassifizierten Informationen
Art. 13
Grundsätze 1 Die Erstellung, die Bekanntgabe und das Zugänglichmachen klassifizierter Informationen sind auf ein Minimum zu beschränken; dabei sind Lage, Auftrag, Zweck und Zeit zu berücksichtigen.
2
Klassifizierte Informationen dürfen nur jenen Personen bekannt gegeben oder zugänglich gemacht werden, die davon Kenntnis haben müssen.
3
Bei Gesuchen um Zugang zu amtlichen Dokumenten überprüft die zuständige Stelle, unabhängig von einem allfälligen Klassifizierungsvermerk, ob der Zugang nach dem Bundesgesetz vom 17. Dezember 20047 über das Öffentlichkeitsprinzip der Verwaltung zu gewähren, zu beschränken, aufzuschieben oder zu verweigern ist.
6 SR
120.4
7 SR
152.3
Organisation und Verwaltung 6
510.411
4
Die Bearbeitung klassifizierter Informationen aus dem Ausland richtet sich nach dem entsprechenden Informationsschutzabkommen. Liegt kein solches vor, so richtet sich die Bearbeitung nach den Bearbeitungsvorschriften der mit der ausländischen Klassifizierungsstufe äquivalenten schweizerischen Klassifizierung.
Art. 14
Überprüfung von Schutzwürdigkeit und Verteiler Die Verfasserin oder der Verfasser einer als VERTRAULICH klassifizierten und nummerierten oder einer als GEHEIM klassifizierten Information überprüft deren Schutzwürdigkeit und den Verteiler mindestens alle fünf Jahre und immer im Rahmen der Anbietepflicht an das Bundesarchiv.
Art. 15
Schutz bei falscher oder fehlender Klassifizierung 1
Wer vermutet oder feststellt, dass Informationen offensichtlich falsch oder fälschlicherweise nicht klassifiziert sind, hat deren Schutz bis zur Änderung der Klassifizierung sicherzustellen.
2
Sie oder er benachrichtigt unverzüglich die Verfasserin oder den Verfasser. Diese oder dieser trifft sofort die erforderlichen Massnahmen.
Art. 16
Meldung bei Verlust, Missbrauch oder Gefährdung 1
Wer feststellt, dass klassifizierte Informationen gefährdet, abhanden gekommen oder missbraucht worden sind, trifft Schutzmassnahmen und informiert unverzüglich die vorgesetzte Person, die Verfasserin oder den Verfasser und die zuständigen Sicherheitsorgane.
2
Die Verfasserin oder der Verfasser trifft in Absprache mit den zuständigen Sicherheitsorganen sofort die erforderlichen Massnahmen.
Art. 17
Archivierung Die Archivierung klassifizierter Informationen richtet sich nach den Vorschriften der Archivierungsgesetzgebung.
Art. 18
Bearbeitungsvorschriften 1
Die Bearbeitung klassifizierter Informationen und der Umgang mit entsprechenden Informationsträgern sind im Anhang geregelt.
2
Die Generalsekretärenkonferenz erlässt Bearbeitungsvorschriften.8 3 Sie regelt die vereinfachte Handhabung im Bereich von Informationen der Nachrichtendienste und der Polizei nach deren Bedürfnissen; dabei wahrt er einen hinreichenden Informationsschutz nach dieser Verordnung.9 8
Fassung gemäss Ziff. I der V vom 30. Juni 2010, in Kraft seit 1. Aug. 2010 (AS 2010 3207).
9
Fassung gemäss Ziff. I der V vom 30. Juni 2010, in Kraft seit 1. Aug. 2010 (AS 2010 3207).
Informationsschutzverordnung 7
510.411
5. Abschnitt: Sicherheitsorgane
Art. 19
Informationsschutzbeauftragte 1 Die Departemente und die Bundeskanzlei bezeichnen je eine Informationsschutzbeauftragte oder einen Informationsschutzbeauftragten.
2
Die Informationsschutzbeauftragten nehmen insbesondere folgende Aufgaben wahr:
a. Sie sorgen für die Umsetzung des Informationsschutzes in ihrem Zuständigkeitsbereich.
b. Sie kontrollieren periodisch das Vorhandensein und die Vollständigkeit der als GEHEIM klassifizierten Informationsträger.
Art. 20
10
Die Informationsschutzbeauftragten der Departemente und der Bundeskanzlei bilden den Koordinationsausschuss für den Informationsschutz im Bund (Koordinationsausschuss).
2
Der Koordinationsausschuss hat die folgenden Aufgaben: a. Er bereitet zuhanden der Generalsekretärenkonferenz den Klassifizierungskatalog, die Bearbeitungsvorschriften und die Regelung für die vereinfachte Handhabung im Bereich von Informationen der Nachrichtendienste und der Polizei vor.
b. Er sorgt für einen einheitlichen Vollzug des Informationsschutzes im Bund.
c. Er koordiniert seine Tätigkeiten mit dem Ausschuss Informatiksicherheit.
d. Er stellt die Information der Generalsekretärenkonferenz sicher.
e. Er erstattet dem Sicherheitsausschuss des Bundesrats jährlich Bericht.
f.
Er kann weitere Dienststellen beibeziehen.
3
Er gibt sich und der Koordinationsstelle im Einvernehmen mit den Departementen und der Bundeskanzlei ein Geschäftsreglement.
a11 Koordinationsstelle für den Informationsschutz im Bund 1
Der Koordinationsausschuss wird unterstützt von der Koordinationsstelle. Diese hat die folgenden Aufgaben: a. Sie führt das Sekretariat des Koordinationsausschusses.
b. Sie ist zentrale Ansprechstelle für Kontakte mit inländischen, ausländischen und internationalen Stellen im Bereich des Informationsschutzes.
10 Fassung gemäss Ziff. I der V vom 30. Juni 2010, in Kraft seit 1. Aug. 2010 (AS 2010 3207).
11 Eingefügt durch Ziff. I der V vom 30. Juni 2010, in Kraft seit 1. Aug. 2010 (AS 2010 3207).
Organisation und Verwaltung 8
510.411
c. Sie unterstützt die Informationsschutzbeauftragten der Departemente und der Bundeskanzlei in deren Bereich.
d. Sie erstellt die notwendigen Ausbildungshilfsmittel.
e. Sie kann die in völkerrechtlichen Verträgen vorgesehenen Sicherheitsinspektionen und im Einvernehmen mit den Departementen und der Bundeskanzlei weitere Kontrollen durchführen.
2
Die Koordinationsstelle ist der Informations- und Objektsicherheit im Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport administrativ zugeordnet.
6. Abschnitt: Schlussbestimmungen
Art. 21
Vollzug Die Departemente und die Bundeskanzlei vollziehen diese Verordnung.
Art. 22
Aufhebung und Änderung bisherigen Rechts 1
Es werden aufgehoben: a. die Verordnung vom 10. Dezember 199012 über die Klassifizierung und Behandlung von Informationen im zivilen Verwaltungsbereich;
b. die Verordnung vom 1. Mai 199013 über den Schutz militärischer Informationen (Informationsschutzverordnung).
2
…14
Art. 23
Übergangsbestimmungen 1 Der Klassifizierungsvermerk INTERN ist nur auf Informationsträgern anzubringen, welche nach dem Inkrafttreten dieser Verordnung erstellt werden.
2
Technische Anpassungen für die Gewährleistung des Schutzes von Informationen, insbesondere für deren Klassifizierung und Bearbeitung, sind bis zum 31. Dezember 2009 vorzunehmen.
Art. 24
Inkrafttreten 1 Diese Verordnung tritt am 1. August 2007 in Kraft und gilt längstens bis zum 31. Dezember 2011.
2
Die Geltungsdauer dieser Verordnung wird bis zum 31. Dezember 2014 verlängert.15
12 [AS
1991 44, 1999 2424 Art. 27 Ziff. 1] 13 [AS
1990 887, 1999 2424 Art. 27 Ziff. 3] 14 Die
Änderungen
können unter AS 2007 3401 konsultiert werden.
15 Eingefügt durch Ziff. I der V vom 30. Juni 2010, in Kraft seit 1. Aug. 2010 (AS 2010 3207).
Informationss
chutzverordnung
9
510.411
Anhang
(Art. 18 Abs. 1)
16
Bearbeitungsvorschriften GEHEI
M
VERTRAULICH
INTERN
Zuständig
Erstellun
g
Mittel (vorbehalten bleiben die im Rahmen des Vollzuges der V vom 29. Aug. 1990 17
über das Geheimschutzverfahren bei Aufträgen mit militärisch klas
sifizi
ertem I
nhalt ver
ei
nbart
en
Re
gel
un
gen
)
elektronisch: nur mit von der Koordinationsstelle bewilligten Mitteln elektronisch: nur mit von der Koordinationsstelle bewilligten Mitteln (Ausnahme: Armee) beli
ebi
g
V
erf
as
se
r
Klassifizierungsvermerk Vermerk GEHEIM
auf jeder Seite
V
ermerk VERTRAULICH auf jeder S
eit
e
Vermerk INTERN auf jeder Seite Nummeri
erun
g zwi
ng
en
d fakultativ
keine
Re
gistrierun
g Formular
e
der
Koor
dinationsst
elle
Vert
eile
r
fakultativ
16
Vgl. auch die detaillierten Bearbe itungsvorschriften der Koordina tionsstelle (Art. 18 Abs. 2).
17
SR
510.413
Organisation und Verwaltung 10
510.411
GEHEI
M
VERTRAULICH
INTERN
Zuständig
S
p
eicherun
g bzw. Aufbewahrun g
elektronisch Nur
auf
vo
n der Koordinationsstelle bewilligten Mitteln; ver- schlüs
sel
t auf Arbeitspl
atzs
ystemen oder vers
chl
üss
elt auf
entf
er
nbaren Datenträ
ger
n
Verschlüsselt auf Arbeitsplatz- systemen oder auf entfernbaren Dat enträgern
dar
f nur Ber
echti
gten
zugänglich sein
Verfasser bzw. Gehei m
nisträger
Schlüssel sind getrennt von der ver schlüsselten Information und unter Verschluss aufzubew
ah
re
n
physis
ch Tres
or
Sicherheitsbehältnis darf nur Berechtigten zu gän
glich sein
Übermit
tlun
g bzw. Versand und Em p
fan
g
Telefon, Mobiltelefon Versch
lüsselung oder
geschützter
Übertr
agungs
weg oder Si
cherheitskonze
pt
Codiert oder verschlüsselt Codiert bzw. Bundesn
et
z Verf
as
ser
bzw.
Gehei
m
nisträger
Fax Verschlüsselung oder geschützter
Übertr
agungs
weg oder Si
cherheitskonze
pt
Verschlüsselung od
er geschützter
Übertr
agungs
weg oder Si
cherheitskonze
pt
zulässig
E-Mail (bzw. Anhang dersel ben) Verschlüsselt
un
d nachvollziehba
r
Verschlüsselt
Zulässig,
Schutz notwendig,
z. B. Bundesnetz
Datenübertragung Verschlüsse lung oder geschützter Übertra
gun
gswe
g
Verschlüsselung od
er geschützter
Übertra
gun
gswe
g
Zulässig, Schutz notwendig, z. B. Bundesnetz Mündliche
Ä
uss
erun
gen Nur
g
eg
enüber Berechti
gten, in abhörsic
he
ren
Be
re
ich
en
Informationss
chutzverordnung
11
510.411
GEHEI
M
VERTRAULICH
INTERN
Zuständig
Übermit
tlun
g bzw. Versand und Em p
fan
g
Persönliche
Ü
berga
be
nur gegen Quittung zul ässi
g
zul
ässi
g, bei
nummeri
ert
en
Exem
plaren nur
ge
gen Quittun
g
zul
ässi
g
V
erf
as
ser
bzw.
Gehei
m
nist
rä
ge
r
Post, Kurie
r
eingeschränkt und nu r m
it Sp
ez
ia
lkurier des Bundes zulässig
eingeschr
änkt zulässig,
bei
nummeri
ert
en Exempl
aren
ein
geschrieben
eingeschränkt zulässig Benützun
g
Bearbeitung mit Informatikmitteln (vorbehalten bleiben die im Rahmen von Geheims chut
zverf
ahren
vereinbarten Regelungen) Nur
mit von der Koor
dinations
stelle bewilligten Mitteln und unter Verwendung von Sicherheitssoft- ware gemäss Bundesstandard
Nur
mit von der Koor
dinations
stelle bewilligten Mitteln (Aus- nahme: Armee) und unter Ver- wendung von Sicherheitssoftware gemäss Bundesstandar
d
Zulässig Verfasser
bzw.
Gehei
m
nisträger
Drucken Ein
geschränkt zulässi
g Ein
geschränkt zulässi
g
Zulässi
g
Kopieren
Eingeschränkt und nur mit Bewil- lig un
g des Verfassers zulässi g
Eingeschränkt zulässig Z
ulässig
Mitnahme ab dauerndem Stan dort
Ein
geschränkt zulässi
g Ein
geschränkt zulässi
g
Zulässi
g
Informationsverwaltun g
Regelmässige
Ü
berprüfung der
Klassi
fizi
erung und des Ver
teilers
mindestens alle f
ünf J
ahr
e und
immer im Rahmen der Anbietepflicht an das Bundes- archiv (Art. 14) nur für nummerie
rte E
xemplar
e:
mindestens alle f
ünf J
ahr
e und
immer im Rahmen der Anbiete- pflicht an das Bundesarchiv (Art. 14 )
ke
ine
V
er
fa
sse
r
Organisation und Verwaltung 12
510.411
GEHEI
M
VERTRAULICH
INTERN
Zuständig
Rückzug und Rückgab epflicht zwingen
d
zwingend wenn nummeriert keine
V
erfasser bzw.
Gehei
m
nist
rä
ge
r
Archivierung Anbietepflicht gem
äss Archivierungsgesetzgebung (Art. 17
).
Ve
rfa
sse
r bz
w.
Gehei
m
nist
rä
ge
r
Ver
nicht
ung bzw. Lös
ch
ung (soweit
nach Archivieru
ngsgesetzgebung
keine Ablieferun
gs
pflicht besteht
)
Ver
nicht
ung nur durch Ver
fass
er
und ei
ngeschr
änkt
zuläs
sig
Eingeschränkt zulässig, bei nummeri erten E
xempl
ar
en nur
durch den Verf
as
se
r
Eingeschränkt zulässig