FAQ
Häufig gestellte Fragen
Alles, was Sie über unsere Dienstleistungen und Richtlinien wissen müssen.
Wie spart SCMC im Alltag konkret Zeit? +
Welches Problem löst SCMC besser als Excel oder manuelle Dokumentation? +
Wie unterstützt SCMC eine auditfähige und nachvollziehbare Arbeitsweise? +
Wie verbessert SCMC die Zusammenarbeit zwischen Fachbereich, Security und Management? +
Braucht es eine Schulung? +
Was ist der konkrete Mehrwert für Beratungsunternehmen? +
Ist SCMC auch für kleinere Organisationen sinnvoll? +
Können mehrere Personen am selben Projekt arbeiten? +
Wie entsteht mit SCMC langfristiger Nutzen und nicht nur ein einmaliger Projekteffekt? +
Wie verhindert SCMC, dass frühere Arbeit verloren geht? +
Wie werden unsere Daten geschützt? +
Wie viele Projekte kann ich erstellen? +
Wie oft kann ich Antworten auf dieselben Fragenbogen geben? +
Kann ich meine Antworten mit zuvor gegebenen Antworten vergleichen? +
Wenn ich versuche, einen zweiten Passkey hinzuzufügen, passiert nichts. Ist das ein Fehler? +
Glossar
Was bedeuten die wichtigsten Begriffe?
Kompakte Definitionen rund um Informationssicherheit, Compliance, AI-Governance und Datenschutz — direkt nutzbar als Nachschlagewerk.
- ISMS
- Information Security Management System. Strukturiertes Rahmenwerk aus Richtlinien, Prozessen und Kontrollen, das Informationssicherheit systematisch steuert. Kern von ISO/IEC 27001.
- ISO/IEC 27001:2022
- Internationale Norm für ISMS. Aktuelle Version (2022) definiert 93 Annex-A-Kontrollen in vier Themengruppen: Organisatorisch, Personen, Physisch, Technologisch.
- Annex A
- Anhang von ISO/IEC 27001 mit dem Kontrollkatalog. In der Version 2022 enthält Annex A 93 Kontrollen, die in Risk Treatment Plans referenziert werden.
- SoA (Statement of Applicability)
- Pflichtdokument bei ISO 27001. Listet alle Annex-A-Kontrollen auf, gibt für jede an, ob sie anwendbar ist und begründet die Auswahl.
- Reifegrad
- Quantitative Messung des Umsetzungsstands einer Sicherheitskontrolle, typischerweise auf einer Skala von 0 (nicht umgesetzt) bis 4 (optimiert/durchgängig wirksam).
- Gap-Analyse
- Vergleich des Ist-Zustands mit dem Soll-Zustand einer Norm oder eines Frameworks. Liefert eine Liste konkreter Lücken und Handlungsfelder.
- Audit-Bereitschaft
- Zustand, in dem alle Nachweise, Prozessdokumentationen und Kontrollbewertungen so vorliegen, dass ein interner oder externer Audit ohne längere Vorbereitung durchgeführt werden kann.
- IKT-Minimalstandard
- Schweizer Standard für IKT-Sicherheit, herausgegeben vom BACS. Strukturiert nach den fünf NIST-Funktionen (Identify, Protect, Detect, Respond, Recover). Für kritische Infrastrukturen unter dem ISG verbindlich.
- ISG
- Schweizer Informationssicherheitsgesetz. Revidierte Fassung in Kraft seit 2025. Verpflichtet bestimmte Betreiber kritischer Infrastrukturen zur Umsetzung des IKT-Minimalstandards.
- BACS
- Bundesamt für Cybersicherheit (Schweiz). Herausgeber des IKT-Minimalstandards und nationale Anlaufstelle für Cybersicherheitsvorfälle.
- NIST CSF 2.0
- Cybersecurity Framework des US-National Institute of Standards and Technology, Version 2.0 (2024). Sechs Funktionen: Govern, Identify, Protect, Detect, Respond, Recover.
- NIS2
- EU-Richtlinie über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau (Network and Information Security Directive 2). Art. 21(2) listet zehn verbindliche Massnahmenbereiche.
- ICS / IKS
- Internes Kontrollsystem. Strukturierter Rahmen aus Kontrollen, Verantwortlichkeiten und Nachweisen, der Geschäftsziele absichert und Risiken steuert — über Finanz, IT, Operations und Compliance hinweg.
- TOMs
- Technische und organisatorische Massnahmen. Im Datenschutzkontext: konkrete Vorkehrungen zum Schutz personenbezogener Daten, gefordert in DSGVO Art. 32 und revDSG.
- DSFA
- Datenschutz-Folgenabschätzung. Pflicht-Assessment vor Verarbeitungstätigkeiten mit hohem Risiko für die Rechte und Freiheiten von Betroffenen (DSGVO Art. 35, revDSG Art. 22).
- revDSG
- Revidiertes Schweizer Datenschutzgesetz, in Kraft seit 1. September 2023. Bringt das Schweizer Datenschutzrecht weitgehend auf DSGVO-Niveau, mit Schweizer Besonderheiten.
- DSGVO
- Datenschutz-Grundverordnung der EU (2016/679). Reguliert die Verarbeitung personenbezogener Daten in der EU, anwendbar auf Schweizer Unternehmen mit EU-Bezug.
- AVV
- Auftragsverarbeitungsvertrag (englisch DPA). Vertrag nach DSGVO Art. 28 zwischen Verantwortlichem und Auftragsverarbeiter, der die Verarbeitung personenbezogener Daten regelt.
- Verarbeitungsverzeichnis
- Pflichtverzeichnis nach DSGVO Art. 30 / revDSG Art. 12. Dokumentiert alle Verarbeitungstätigkeiten einer Organisation mit Zweck, Datenkategorien, Empfängern und Aufbewahrungsdauer.
- ISO/IEC 42001:2023
- Erste internationale Norm für AI-Managementsysteme (AIMS). Definiert Anforderungen an Governance, Risikomanagement und Lebenszyklus von AI-Systemen.
- EU AI Act
- Erste umfassende AI-Regulierung der EU (Verordnung 2024/1689). Risikobasierter Ansatz mit Verboten, Pflichten für GPAI-Modelle und Hochrisiko-AI-Systeme. Schrittweise Inkraftsetzung 2025–2027.
- GPAI
- General Purpose AI. Im EU AI Act: AI-Modelle mit breiter Einsetzbarkeit (z.B. grosse Sprachmodelle). Eigene Pflichten ab August 2025, verschärfte für GPAI mit systemischem Risiko.
- Hochrisiko-AI
- Im EU AI Act klassifizierte AI-Systeme in sensiblen Anwendungsfeldern (z.B. Recruiting, Bonität, Strafverfolgung, kritische Infrastrukturen). Anforderungen ab August 2026 verbindlich.
- AI Literacy (Art. 4 EU AI Act)
- Pflicht ab Februar 2025: Anbieter und Betreiber von AI-Systemen müssen sicherstellen, dass beteiligte Personen über ausreichende AI-Kompetenz verfügen — angemessen zu Kontext und Risiko.
- NIST AI RMF 1.0
- AI Risk Management Framework des NIST (USA). Strukturierter Ansatz zur Identifikation, Bewertung und Steuerung von AI-Risiken über vier Kernfunktionen: Govern, Map, Measure, Manage.
- Threat Intelligence (A.5.7)
- Neue Kontrolle in ISO/IEC 27001:2022 Annex A. Fordert das Sammeln, Analysieren und Verbreiten von Bedrohungsinformationen, um proaktiv auf Cyber-Risiken zu reagieren.
- Cloud-Sicherheit (A.5.23)
- Neue Kontrolle in ISO/IEC 27001:2022 Annex A. Reguliert Auswahl, Nutzung, Management und Kündigung von Cloud-Diensten unter Sicherheitsgesichtspunkten.
- 72-Stunden-Meldung
- Pflicht nach DSGVO Art. 33 / revDSG: Datenschutzvorfälle mit Risiko für Betroffene müssen binnen 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde gemeldet werden.
- Self-Assessment
- Strukturierte Selbstbewertung der eigenen Sicherheits- oder Compliance-Reife. Liefert eine dokumentierte Baseline und Massnahmenliste — ersetzt aber keinen externen Audit oder ein Zertifikat.
- BSI-Standard
- Standards des deutschen Bundesamts für Sicherheit in der Informationstechnik (z.B. BSI 200-2 für IT-Grundschutz, 200-3 für Risikoanalyse). Praxisnahes Risikomanagement-Framework, in der Schweiz häufig adaptiert.