Die Flughafen Zürich AG (FZAG) zertifiziert sich in einem definierten Geltungsbereich nach der ISO Norm 27001:2013 und verpflichtet sich zur Erfüllung dieser Anforderungen. Dabei umfasst der Geltungsbereich der Zertifizierung die ICT Infrastruktur.

Die FZAG hat sich folgende Ziele gesetzt:

• Unterstützung der ICT in der Erreichung ihres Auftrages.
• Angemessener Schutz von Informationen in Bezug auf Verfügbarkeit, Vertraulichkeit sowie Integrität, gemäss den akzeptierten Anforderungen aller Stakeholder und "Kunden" der ICT Organisation.
• Auswirkung und Häufigkeit von erfolgreichen Angriffen auf die Informationen der FZAG innerhalb des Risikoappetits der Unternehmung halten.
• Die für einen sicheren, im Sinne der Aviation Safety und Aviation Security, Flugbetrieb kritischen Informations- und Kommunikationstechnologiesysteme und -daten vor Cyberangriffen schützen und damit eine Beeinträchtigung der Sicherheit der Zivilluftfahrt verhindern.

Im Informationssicherheits-Managementsystem werden alle Verfahren und Regeln dokumentiert, welche dazu dienen, die Informationssicherheit gegenüber ihren Anspruchsgruppen zu gewährleisten. Das ISMS wird laufend kommuniziert und stufengerecht geschult. Die Anwendung dieser Regelungen ist zwingend und verbindlich. Das ISMS hat einen Geltungsbereich, der im Scope beschrieben ist.

Das ISMS bezweckt den Schutz von Informationen und informationsverarbeitenden Anwendungen und Systemen vor Angriffen und Schadensereignissen. Informationen sind unabhängig von deren Repräsentation und können somit elektronisch, physisch oder als gesprochenes Wort auftreten.

Im Sinne des Datenschutzes (gemäss Datenschutzgesetzes (DSG) oder der Datenschutzgrundverordnung der EU) regelt das ISMS die Datensicherheit und berücksichtigt die Anforderungen des Datenschutzes in Bezug auf Datensicherheit. Im Übrigen wird der Datenschutz nicht im ISMS geregelt.

Im regulierten Bereich untersteht die FZAG u.a. dem NASP. Zum Integrierten Managementsystem (IMS) (Security und Safety aus dem Bereich Aviation) erfolgt folgende Abgrenzung: Die Dokumentationssysteme sind reguliert, Datensicherheitsregeln gelten nur subsidiär. Im Areal des SIL Perimeters gelten die Vorschriften zur physischen Sicherheit gemäss der Regulierung.

Das ISMS der FZAG wird laufend überprüft und den aktuellen Gegebenheiten angepasst. Im Sinn einer kontinuierlichen Verbesserung werden die Kompetenzen aller beteiligten Stellen laufend weiterentwickelt.

ISMS Delegierter der Geschäftsleitung (CFO)

Aus den Vorgaben des NASP Chapter 19 sowie aus der Organisation der FZAG ergibt sich folgende Verantwortung:

Der CFO verantwortet letztlich das Thema "Information Security" und aus dem Gremium verabschiedete Vorgaben in der GL oder dem VR und beantragt notwendige Ressourcen.

Information Security Steering Committee (ISSC)

Unterstützt den CFO in Entscheidungsfindung und Umsetzung. Es ist Teil des Management Reviews aus Sicht des ISO Zertifikates. Das Steering Committee soll durch folgende Mitglieder besetzt sein:

• CFO (Vorsitz)
• COO
• Head ICT
• Information Security Officer (berichtend)
• Bereichsvertreter O (Head Flight Operations)
• Bereichsvertreter M (Leiter Gebäudetechnik)
• Bereichsvertreter C (Head Parking & Mobility).

Interne Mitarbeitende / generell

Alle Mitarbeitenden der FZAG, die dem ISMS unterstellt sind, halten sich an die Regeln des ISMS und sind im betrieblichen Rahmen für die Informationssicherheit in ihrem Bereich zuständig.

Die Vorgesetzten aller Hierarchiestufen sind verpflichtet, für Informationssicherheit angemessene Ressourcen mit angemessenen Fähigkeiten zur Verfügung zu stellen. Sie sind verpflichtet, sämtliche notwendigen Sicherheitsmassnahmen im Rahmen ihres Verantwortungsbereiches nachhaltig umzusetzen. Sie leiten ihre Mitarbeitenden an und schulen sie bedarfsgerecht.

Information Security Officer

Verantwortung

Stellt sicher, dass eine auf die Geschäftsziele ausgerichtete Information-Security-Strategie unter Berücksichtigung der erhobenen Sicherheitsanforderungen umgesetzt wird.

Stellt sicher, dass ein Information Security Management Systems (ISMS) unter Berücksichtigung der gesetzlichen und regulatorischen Vorgaben umgesetzt, betrieben und verbessert wird.

Stellt sicher, dass das ISMS und seine Policies angemessen innerhalb der FZAG und zu den Stakeholdern des ISMS kommuniziert werden.

Verantwortet die Umsetzung der regulatorischen Vorgaben in Bezug auf Information Security.

Kompetenzen

Die Rolle ISO bekommt folgende Kompetenzen:

• Setzt Entscheide der GL und des CFO (in Bezug auf ISMS) selbständig um.
• Weisungskompetenz im Rahmen des ISMS.

Abläufe und Prozesse im Rahmen des ISMS gestalten.

Asset Owner

Asset Owner legen Regeln für den zulässigen Gebrauch von ihnen zugeteilten Informationen und Werten fest, dokumentieren diese und wenden sie an.

Risk Owner

Risk Owner führen den Prozess zur Informationssicherheitsrisikobeurteilung und –Behandlung für ihre zugeteilten Risiken. Sie analysieren und bewerten die Risiken und legen entsprechende Massnahmen fest.

Service Verantwortlicher (SV)

Service Verantwortliche verantworten das Management der ihnen übertragenen IT Services über den gesamten Lebenszyklus.

Fachverantwortliche (FV)

Fachverantwortliche verantworten das reibungslose, ökonomischen und zweckorientierte Funktionieren der von ihnen verantwortenden Prozesse. Sie verantworten die Interessen der Nutzergruppe und sorgen für eindeutige und abgestimmte fachlichen Anforderungen.

Applikationsverantwortliche (AV)

Applikationsverantwortliche verantworten die technische Lösung der Applikation im Gesamten und nimmt diese in Betrieb.

Internes ISMS Audit

Das interne Audit des ISMS prüft periodisch, ob das ISMS gemäss der Vorgabe der Geschäftsleitung umgesetzt worden ist und effektiv betrieben wird. Die Audits werden nach anerkannten Auditmethoden durchgeführt und dokumentiert. Dabei kann in Betracht gezogen werden, dass der zertifizierte Teil des ISMS jährlich durch eine externe Instanz rezertifiziert wird.

Organisatorisch kann das interne ISMS Audit der Funktion des ISO angegliedert werden, sofern die Durchführung und Rapportierung der Audits mit dem internen Audit der FZAG abgestimmt ist.

Externe Mitarbeitende / Mitarbeitende von Dritten

Die Regelungen der FZAG im Kontext Informationssicherheit gelten entsprechend auf für Personen, welche als Externe oder Mitarbeitende von Dritten im Geltungsbereich des ISMS Tätigkeiten verrichten und sind durch diese einzuhalten.

Angestellte der FZAG unterliegen dem internen Sanktionsprozess.
Bei Externen sind Sanktionen gemäss den vertraglichen Vereinbarungen vorzusehen.

Informationssicherheit

Unter der Informationssicherheit werden alle Massnahmen verstanden, die zur Aufrechterhaltung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen angeordnet, durchgeführt, überprüft und kontinuierlich verbessert werden. Diese Massnahmen können u. a. organisatorischer, technischer oder baulicher Natur sein.

• Vertraulichkeit: Gewährleistung des Zugangs zu Informationen nur für die Zugangsberechtigten.
• Integrität: Sicherstellen der Unversehrtheit und Vollständigkeit von Informationen und deren Verarbeitungsmethoden.
• Verfügbarkeit: Gewährleistung des bedarfsorientierten Zugangs zu Informationen und den zugehörigen Werten für berechtigte Benutzer.

Informationssicherheits-Managementsystem (ISMS)

Unter einem ISMS wird verstanden:

• Sämtliche Regeln, Verfahren und Prozesse innerhalb des Anwendungsbereichs, welche die Informationssicherheit definieren, steuern, durchführen, überprüfen, aufrechterhalten und kontinuierlich verbessern.
• Die Dokumentation erfolgt mittels ISMS Framework, den Controls der SOA (Anwendbarkeitserklärung) und mit entsprechenden Policies, Prozessübersichten und weiteren Nachweisdokumenten.