Im Berichtsjahr wurden weitere, gesamtheitliche Sicherheitskontrollen und -prozesse implementiert und formalisiert. Die implementierten Kontrollen und Prozesse wurden mit den Schnittstellenpartnern abgestimmt und gemäss den neuen übergeordneten Methodiken im Risikomanagement und der Serviceintegration gesteuert und dokumentiert. Schwachstellen werden über einen etablierten Schwachstellenmanagement-Prozess systematisch identifiziert, bewertet und zeitnah behoben. Durch die umgesetzten Massnahmen konnte die technische Sicherheitslage des Projekts weiter verbessert werden.
Im Hinblick auf die geplante Zertifizierung nach ISO 27001 der öffentlich-rechtlichen Körperschaft justitia.swiss wird ein holistisches Informationssicherheits-Managementsystem (ISMS) gemäss ISO 27001 implementiert und durch die Zielorganisation gesteuert. Dadurch wird die Informationssicherheitsorganisation weiter formalisiert.
Im Jahr 2025 standen insbesondere die Implementierung einer Softwarelösung für das Sicherheitsinformations- und Ereignismanagement und eines Sicherheitslagezentrums (SIEM/SOC) sowie der Aufbau eines ganzheitlichen Prozesses für das Management von Informationssicherheitsvorfällen für die Plattform justitia.swiss im Fokus. Diese Massnahmen ermöglichen eine kontinuierliche Überwachung und Steuerung von Sicherheitsereignissen. Die formelle Abnahme der SIEM/SOC-Implementierung erfolgte durch das Plattform-Team in Zusammenarbeit mit dem Service-Dienstleister ELCA. Die gewonnenen Erkenntnisse sollen künftig als Best Practice für die JAA wiederverwendet werden.
Weitere Schwerpunkte im Berichtsjahr waren unter anderem das Bug-Bounty-Programm, die Durchführung mehrerer Technical-Security-Assessments, das Schwachstellenmanagement sowie der sichere Softwareentwicklungsprozess. Die kontinuierliche Verbesserung des Informationssicherheitslagebilds wird durch weitere geplante Massnahmen im Jahr 2026 konsequent fortgeführt.
Für das Jahr 2026 plant die Informationssicherheitsorganisation von Justitia 4.0 den Informationssicherheitsreifegrad für die Projekte Plattform justitia.swiss, JAA und öffentlich-rechtliche Körperschaft entlang der Projektfortschritte zu verbessern sowie die implementierten technischen und organisatorischen Sicherheitsmassnahmen durch externe Audits zu überprüfen.
Yannick Vesper, Chief Information Security Officer (CISO)