Diskussion zu einer gemeinsamen Antwort zur eidgenössischen Vernehmlassung 2021/61: Änderung der Verordnung über die politischen Rechte (VPR) und der Verordnung der BK über die elektronische Stimmabgabe (VEleS)
Creative Commons Zero v1.0 Universal
13
stars
1
forks
source link
VEleS Art. 15 Aufgaben der auf kantonaler Ebene verantwortlichen Stelle #30
Art. 15 Aufgaben der auf kantonaler Ebene verantwortlichen Stelle
Der Kanton bestimmt eine Stelle, die die Gesamtverantwortung trägt und insbeson-dere die folgenden Aufgaben wahrnimmt:
a. Festlegung einer übergeordneten Informationssicherheitsrichtlinie;
b. Festlegung einer Informationsklassifizierungs- und Verarbeitungsrichtlinie für die identifizierten Informationsbestände;
c. Festlegung einer Risikomanagementrichtlinie;
d. Definition und Umsetzung von Massnahmen zur Einhaltung der Richtlinien nach den Buchstaben a–c;
e. Beauftragung eines Systembetreibers und Festlegung der Anforderungen an dessen Überwachung und Überprüfung;
f. Festlegung von Fristen für die Durchführung von kritischen Handlungen und Operationen;
g. Überwachung und Überprüfung der Arbeiten des Systembetreibers;
h. Bestimmung und Instruktion der Prüferinnen oder Prüfer;
i. Beurteilung und Kommunikation der Korrektheit des Ergebnisses des Urnengangs gestützt auf die Beweise nach Artikel 5 (#20) und weitere Indikatoren.
Art. 15 Aufgaben der auf kantonaler Ebene verantwortlichen Stelle
Die Aufgaben der auf kantonaler Ebene verantwortlichen Stelle wurden bisher im Anhang geregelt. Neu werden die Aufgaben im Hauptteil der VEleS geregelt.
Bst. a: Die übergeordnete Informationssicherheitsrichtlinie definiert die Ziele, den Rahmen und die Verantwortlichkeiten für die Informationssicherheit. Sie stellt auch einen Katalog von Richtlinien für die Informationssicherheit auf unterer Ebene bereit und legt deren Verwaltung fest. Sie wird allen Mitarbeitenden kommuniziert und muss in geplanten Zeitintervallen überprüft und angepasst werden.
Bst. b: Die Informationsklassifizierungs- und Verarbeitungsrichtlinie definiert einen verbindlichen Sicherheitsrahmen für den gesamten Betrieb des Systems. Sie wird den betroffenen Mitarbeitenden kommuniziert und muss in geplanten Zeitintervallen überprüft und angepasst werden.
Bst. c: Die Risikomanagementrichtlinie definiert insbesondere den Geltungsbereich und die Grenzen für das Management von Informationssicherheitsrisiken, die Organisation des Risikomanagements, die Risikoakzeptanzkriterien und die Methode für die Durchführung der Risikobeurteilung. Sie muss in geplanten Zeitintervallen überprüft und angepasst werden.
Bst. d: Beispiele für Massnahmen: Durchführung der Risikobeurteilung, Überprüfung der Einhaltung von Informationssicherheitsrichtlinien, Überarbeitung von Informationssicherheitsrichtlinien, Bereitstellung von geeigneten Werkzeugen.
Bst. f: Als «kritische Handlungen und Operationen» gelten insbesondere die Vorbereitung des Urnen-gangs (Anhang Ziff. 5), das Öffnen und Schliessen des elektronischen Stimmkanals (Anhang Ziff. 9), die Auszählung der elektronischen Urne (Anhang Ziff. 11) und die Vernichtung der Daten nach der Erwahrung der Abstimmungs- und Wahlergebnisse (Anhang Ziff. 12.9).
Bst. g: Die konkrete Organisation und Ausgestaltung des Einsatzes von Prüferinnen und Prüfern richtet sich nach kantonalem Recht. Zur Instruktion der Prüferinnen und Prüfer gehört neben einer Ausbildung auch die Durchführung von Übungen.
Bst. h: Mit weiteren Indikatoren sind gemäss Anhang Ziffer 11.10 insbesondere auch die Zahl und die Art von Anomalien, die durch Stimmberechtigte beim Kanton gemeldet wurden, den Prüferinnen und Prüfern zu unterbreiten.
dune73
commented
3 years ago
Wortlaut der Vorlage
Art. 15 Aufgaben der auf kantonaler Ebene verantwortlichen Stelle Der Kanton bestimmt eine Stelle, die die Gesamtverantwortung trägt und insbeson-dere die folgenden Aufgaben wahrnimmt: a. Festlegung einer übergeordneten Informationssicherheitsrichtlinie; b. Festlegung einer Informationsklassifizierungs- und Verarbeitungsrichtlinie für die identifizierten Informationsbestände; c. Festlegung einer Risikomanagementrichtlinie; d. Definition und Umsetzung von Massnahmen zur Einhaltung der Richtlinien nach den Buchstaben a–c; e. Beauftragung eines Systembetreibers und Festlegung der Anforderungen an dessen Überwachung und Überprüfung; f. Festlegung von Fristen für die Durchführung von kritischen Handlungen und Operationen; g. Überwachung und Überprüfung der Arbeiten des Systembetreibers; h. Bestimmung und Instruktion der Prüferinnen oder Prüfer; i. Beurteilung und Kommunikation der Korrektheit des Ergebnisses des Urnengangs gestützt auf die Beweise nach Artikel 5 (#20) und weitere Indikatoren.
Referenzen
Art. 15 Aufgaben der auf kantonaler Ebene verantwortlichen Stelle Die Aufgaben der auf kantonaler Ebene verantwortlichen Stelle wurden bisher im Anhang geregelt. Neu werden die Aufgaben im Hauptteil der VEleS geregelt. Bst. a: Die übergeordnete Informationssicherheitsrichtlinie definiert die Ziele, den Rahmen und die Verantwortlichkeiten für die Informationssicherheit. Sie stellt auch einen Katalog von Richtlinien für die Informationssicherheit auf unterer Ebene bereit und legt deren Verwaltung fest. Sie wird allen Mitarbeitenden kommuniziert und muss in geplanten Zeitintervallen überprüft und angepasst werden. Bst. b: Die Informationsklassifizierungs- und Verarbeitungsrichtlinie definiert einen verbindlichen Sicherheitsrahmen für den gesamten Betrieb des Systems. Sie wird den betroffenen Mitarbeitenden kommuniziert und muss in geplanten Zeitintervallen überprüft und angepasst werden. Bst. c: Die Risikomanagementrichtlinie definiert insbesondere den Geltungsbereich und die Grenzen für das Management von Informationssicherheitsrisiken, die Organisation des Risikomanagements, die Risikoakzeptanzkriterien und die Methode für die Durchführung der Risikobeurteilung. Sie muss in geplanten Zeitintervallen überprüft und angepasst werden. Bst. d: Beispiele für Massnahmen: Durchführung der Risikobeurteilung, Überprüfung der Einhaltung von Informationssicherheitsrichtlinien, Überarbeitung von Informationssicherheitsrichtlinien, Bereitstellung von geeigneten Werkzeugen. Bst. f: Als «kritische Handlungen und Operationen» gelten insbesondere die Vorbereitung des Urnen-gangs (Anhang Ziff. 5), das Öffnen und Schliessen des elektronischen Stimmkanals (Anhang Ziff. 9), die Auszählung der elektronischen Urne (Anhang Ziff. 11) und die Vernichtung der Daten nach der Erwahrung der Abstimmungs- und Wahlergebnisse (Anhang Ziff. 12.9). Bst. g: Die konkrete Organisation und Ausgestaltung des Einsatzes von Prüferinnen und Prüfern richtet sich nach kantonalem Recht. Zur Instruktion der Prüferinnen und Prüfer gehört neben einer Ausbildung auch die Durchführung von Übungen. Bst. h: Mit weiteren Indikatoren sind gemäss Anhang Ziffer 11.10 insbesondere auch die Zahl und die Art von Anomalien, die durch Stimmberechtigte beim Kanton gemeldet wurden, den Prüferinnen und Prüfern zu unterbreiten.