dfch/Firmenbeschreibung_Fallsimulation_OfficePro_2025.txt

## Firmenbeschreibung_Fallsimulation_OfficePro_2025.txt
Höhere Fachprüfung ICT Security Expert: Prüfungsteil Fallsimulation	*?
ICT Berufsbildung Formation prafessionnelle Formazione professionale
Fallsimulation: Firmenbeschreibung
Firma «OfficePro AG»
Allgemein
Die OfficePro AG ist ein führender Hersteller und Anbieter von Bürozubehör mit Hauptsitz in der Schweiz. Das Unternehmen hat sich auf die Entwicklung und Produktion hochwertiger Büroartikel spezialisiert und bedient Kunden in ganz Europa. Neben der Eigenproduktion verfügt die OfficePro über eine ganze Reihe von Zuliefern in der ganzen Welt, welche Teile der Produktpalette von OfficePro in deren Auftrag herstellen. OfficePro ist mehrheitlich selbst für die Entwicklung und das Design der Produkte verantwortlich. OfficePro legt grossen Wert auf Qualität, Innovation und Nachhaltigkeit, um den steigenden Anforderungen der modernen Arbeitswelt gerecht zu werden. Mit einem umfassenden Sortiment, das von Schreibwaren über Büromöbel bis hin zu technischen Geräten reicht, bietet OfficePro massgeschneiderte Lösungen für Unternehmen jeder Grösse.
Das Unternehmen beschäftigt weltweit über 2500 Mitarbeitende. Die Mitarbeitenden verteilen sich auf folgende Standorte:
■	Hauptsitz Schweiz (ca. 400 MA)
Geschäftsleitung, Einkauf, Design, Vertrieb, Zentrale Services, IT
■	Produktion Schweiz (ca. 1800 MA)
Herstellung von Büroartikeln, Qualitätskontrolle, Logistik
■	Vertriebsbüros in 13 europäischen Ländern (ca. 300 MA)
Verkaufs- und Kundenservice, Marketing, Regionale Logistik
IT Setup
Die OfficePro AG hat den Betrieb ihrer Datacenter und Server an einen externen IT-Provider ausgelagert. Applikationsengineering und -betrieb sowie das Client Management erfolgen intern am Hauptsitz mit ca. 50 Mitarbeitenden. Ein Team ist für die Entwicklung und den Betrieb der unternehmenseigene Business-Applikationen sowie die firmeneigene Webseite zuständig. Die Entwicklung erfolgt dabei teilweise In-House, aber einige Applikationen w sowie die Webseite werden durch externe Firmen im Auftrag der OfficePro entwickelt. OfficePro hat diverse Partner für die Softwareentwicklung. An den Produktionsstandorten in der Schweiz sind je ca. 10 Mitarbeitende für den Vor-Ort-Support zuständig. Alle Business-Applikationen und Daten werden zentral im Datacenter in der Schweiz betrieben und betreut.
Die Vertriebsbüros verfügen über eine minimale IT-Infrastruktur mit Laptops und Druckern. Alle zentralen Business-Applikationen werden ebenfalls in der Schweiz gehostet. Der Leiter des Service Managements ist für die Koordination, Beauftragung und Überwachung aller Leistungen des externen IT-Providers verantwortlich.
Der Vertrieb erfolgt hauptsächlich über Business-to-Business-Kanäle sowie den Fachhandel. Ein direkter Vertrieb an Endkunden über einen Online-Shop wird derzeit geprüft, wurde aber bisher nicht umgesetzt.
Cloudservices werden noch nicht systematisch und kontrolliert genutzt. Es werden jedoch immer wieder Services direkt von den Fachabteilungen eingekauft, ohne die IT-Abteilung einzubeziehen.
Seite 1 von 3
Höhere Fachprüfung ICT Security Expert
Fallsimulation
Insbesondere die Vertriebsstandorte agieren oft autonom. Generell ist die Belegschaft mit der Performance der internen IT eher unzufrieden. Sie gilt als träge und nicht auf dem neuesten Stand. Die IT-Organisation klagt wiederum über mangelnde Ressourcen und stetig steigende Anforderungen.
Organisation
Die OfficePro AG legt grossen Wert auf eine flache Hierarchie und fördert eine offene Kommunikationskultur. Durch regelmässige Schulungen und Weiterbildungsprogramme wird sichergestellt, dass alle Mitarbeitenden stets auf dem neuesten Stand der Technik und der Branchentrends sind.
Zukunftsperspektiven
OfficePro plant, ihre Marktpräsenz in Europa weiter auszubauen und neue Vertriebswege zu erschliessen. Besonders im Bereich der Digitalisierung und Automatisierung von Büroprozessen sieht das Unternehmen grosses Wachstumspotenzial. Langfristig strebt OfficePro an, sich als führender Anbieter von nachhaltigem Bürozubehör auf dem europäischen Markt zu etablieren.
Organisation
Marketing und Verkauf
Marketing
Vertrieb
Produkte
Logistik
Seite 2 von 3
Höhere Fachprüfung ICT Security Expert
Fallsimulation
Seite 3 von 3

## Firmenbeschreibung_Fallsimulation_SwissSoftSolutions_2025.txt
Höhere Fachprüfung ICT Security Expert: Prüfungsteil Fallsimulation	*?
ICT Berufsbildung
Formation prafessionnelle Formazione professionale
Fallsimulation: Firmenbeschreibung
Firma «SwissSoft Solutions AG»
Allgemein
Die SwissSoft Solutions AG ist ein führendes Softwareentwicklungsunternehmen mit Hauptsitz in der Schweiz. Das Unternehmen hat sich auf die Entwicklung massgeschneiderter BusinessApplikationen spezialisiert und bedient vornehmlich Schweizer Industrieunternehmen mit mehr als 500 Mitarbeitenden. SwissSoft Solutions bietet innovative Softwarelösungen, die exakt auf die Bedürfnisse ihrer Kunden zugeschnitten sind, um deren Geschäftsprozesse zu optimieren und die Effizienz zu steigern. Seit kurzem bietet SwissSoft auch eine Mobile-App für Service-Techniker an. Diese Standardlösung kann online als SaaS-Lösung bezogen werden und die Mobile-App ist für iPhone und Android verfügbar.
Das Unternehmen beschäftigt rund 300 interne Mitarbeitende. Die Mitarbeitenden verteilen sich auf folgende Standorte:
■	Hauptsitz Schweiz (ca. 100 MA)
Geschäftsleitung, Entwicklung, Design, Vertrieb, Zentrale Services, IT
■	Near-Shoring-Standort Rumänien (ca. 200 MA)
Softwareentwicklung, Qualitätssicherung, Technischer Support
Für die Entwicklung der Mobile-App hat die SwissSoft einen Entwicklungspartner beauftragt. Da intern kein Know-How für die App-Entwicklung besteht. Dieser ist ebenfalls in Rumänien ansässig. Dieser stellt aktuell 10 Entwickler als Ressource der SwissSoft zur Verfügung, es ist geplant den App-Bereich auszubauen und in Zukunft weitere Entwickler vom Partner einzusetzen. Der Partner kümmert sich um die Rekrutierung, Anstellung, das Onboarding und die Bereitstellung der persönlichen Arbeitsinfrastruktur. Der Product Owner der App-Lösung ist ein interner Mitarbeiter am Standort in Rumänien, der die Entwickler des Partners direkt führt.
IT Setup
Die SwissSoft Solutions AG betreibt ihre IT-Infrastruktur sowohl in Datacenter in der Schweiz als auch in der Cloud. Der Hauptsitz in der Schweiz übernimmt das Applikationsengineering und -betrieb sowie das Client Management mit einem Team von etwa 25 Mitarbeitenden. Diese Teams entwickeln und betreuen unternehmenseigene Business-Applikationen sowie die Entwicklungsinfrastruktur. Ebenso befindet sich ein Teil der Entwickler und Architekten in der Schweiz. Der Near-Shoring-Standort in Rumänien ist für die umfangreiche Softwareentwicklung und das Testing zuständig. Hier arbeiten etwa 200 hochqualifizierte Softwareentwickler und Tester an den diversen Kundenprojekten, um sicherzustellen, dass die Produkte höchsten Qualitätsstandards entsprechen.
Die SwissSoft Solutions AG setzt bei der Entwicklung vermehrt auch auf Cloud-Lösungen, insbesondere für ihre Continuous Integration/Continuous Deployment (CI/CD) Pipeline. Durch den Einsatz moderner Cloud-Technologien kann SwissSoft Solutions eine hohe Flexibilität und Skalierbarkeit in der Entwicklung und Bereitstellung ihrer Softwarelösungen gewährleisten. Die
Seite 1 von 3
Höhere Fachprüfung ICT Security Expert
Fallsimulation
Cloud-Infrastruktur unterstützt zudem die Zusammenarbeit der internationalen Teams, indem sie einen nahtlosen Zugang zu den Entwicklungsressourcen und -werkzeugen ermöglicht.
Auf dieser cloud-basierten Entwicklungsumgebung arbeiten auch die Entwickler des externen Partners. Sie nutzen die zentral bereitgestellte Cloud-Infrastruktur (CI/CD-Pipeline, Code Repositories, Betriebsumgebung) welche von der SwissSoft aus der Schweiz betreut wird.
Kundenspektrum
Die Kunden der SwissSoft Solutions AG sind vornehmlich Schweizer Industrieunternehmen mit mehr als 500 Mitarbeitenden. Die massgeschneiderten Softwarelösungen unterstützen diese Unternehmen dabei, ihre Geschäftsprozesse zu digitalisieren und zu optimieren. SwissSoft Solutions legt grossen Wert auf eine enge Zusammenarbeit mit ihren Kunden, um deren spezifische Anforderungen und Bedürfnisse zu verstehen und entsprechend umzusetzen.
Mit den neuen App-Lösungen sollen auch neuen Kundegruppen angesprochen werden.
Vornehmlich kleinere Unternehmen, welche weniger hohe Ansprüche an die Individualisierung der Lösungen haben. Da diese Unternehmen kostensensitiv sind, wird stark auf Automatisierung und Self-Service gesetzt.
Dienstleistungsportfolio
■	Prozessanalyse und Beratung
■	Entwicklung massgeschneiderter Business-Applikationen
■	Weiterentwicklung bestehender Softwarelösungen
■	Mobile-App als Standardserver für Servicetechniker
■	Technische Implementierung und Integration
■	Support und Wartung
Organisationsstruktur
Die SwissSoft Solutions AG verfolgt eine agile Organisationsstruktur, die eine flexible und effiziente Projektumsetzung ermöglicht. Die Entwickler sind nicht in klassischen Teams organisiert, sondern arbeiten für die Kundenprojekte in agilen Teams zusammen. Regelmässige Schulungen und Weiterbildungsprogramme stellen sicher, dass alle Mitarbeitenden stets auf dem neuesten Stand der Technik und Branchentrends sind.
Bezüglich des Informationssicherheitsmanagements gibt es keine zentrale Verantwortlichkeit. Das Thema Sicherheit wird primär aus einer technischen Perspektive behandelt. Der Leiter Network & Security fungiert in diesem Sinne als IT Security Manager und verantwortet die technische Sicherheit der Infrastruktur inkl. der CI/CD Infrastruktur welche für die Entwickler bereitgestellt wird.
Zukunftsperspektiven
SwissSoft Solutions plant, ihre Marktpräsenz in der Schweiz weiter auszubauen und ihre Dienstleistungen auch auf andere europäische Länder auszuweiten. Im Fokus steht die kontinuierliche Verbesserung und Erweiterung des Dienstleistungsportfolios, um den steigenden Anforderungen der Kunden gerecht zu werden.
Seite 2 von 3
Höhere Fachprüfung ICT Security Expert
Fallsimulation
HR
Finanzen
Legal und Compliance
Management Services
Sales
Marketing
Network & Security
Server, Storage und Backup
Client Management
CI/CD
Agile Teams
Interne agile Teams
Externes agile Team
Seite 3 von 3

## P4_Prüfungsaufgabe_2025.txt
Höhere Fachprüfung Information Security Manager: Fallsimulation	•y
ICT Berufsbildung Formation professionnelle Formazione professionale
Fallsimulation Posten 4: Third Party Risk Management
Kandidatendokument
Postenbeschreibung
Name der Firma:
SwissSoft Solutions AG
Vorabunterlagen
■	Firmenbeschreibung SwissSoft Solutions AG
■	Anhang: Auszug Vertragsklauseln
Rolle der Kandidatin / des Kandidaten
Teamleiter Network & Security
Rolle(n) des Experten / der Expertin
■	Leiter Sales & Marketing
■	Leiter Entwicklung
Ausgangslage
SwissSoft steckt in der Vertragsverhandlung mit einem neuen, strategisch wichtigen Kunden. Dieser will in Zukunft sowohl die Entwicklung von Individual-Software bei SwissSoft beauftragen, als auch SaaS-Lösungen nutzten. Im Rahmen der Vertragsverhandlung hat der Kunde SwissSoft einen Vertragsentwurf zukommen lassen. Dieser beinhaltet auch Klauseln zum Thema Sicherheit. Der Accountmanager ist mit diesen Klauseln auf sie zu gekommen. Er möchte von ihnen eine Stellungnahme aus Sicht der Security wie die SwissSoft bzgl. dieser Vertragsanforderungen aufgestellt ist. Die Klauseln wurden auch anderen Abteilungen zur Stellungnahme weitergegeben. Die Antworten der anderen Abteilungen liegen noch nicht vor.
Auftrag
Sie nehmen die Rolle des Teamleiters Network & Security ein. Prüfen Sie die Vertragsklauseln im Anhang anhand der Informationen aus der Firmenbeschreibung der SwissSoft Solutions AG. Identifizieren Sie mögliche Problemfelder. Wo Sie nicht über genügend Informationen verfügen benennen Sie was aus Ihrer Sicht noch geklärt werden muss. Erstellen Sie eine Einschätzung bezgl. Des Erfüllungsgrads der SwissSoft in Bezug auf die Vertragsklauseln. Definieren Sie mögliche kurz-und langfristige Massnahmen. Bereiten Sie Ihre Analyse und Erkenntnisse als 15- bis 20-minütige Präsentation für das Management auf. An der Sitzung werden der Leiter Sales & Marketing sowie der Leiter Entwicklung, beide Mitglied der Geschäftsleitung teilnehmen.
Hilfsmittel
■	Notebook
Zeitplan
■	Einführung und aktuelle Informationen 5 min
■	Vorbereitung 25 min
■	Präsentation & Diskussion 30 min
Seite 1 von 2
Höhere Fachprüfung ICT Security Expert
Fallsimulation
Anhang: Auszug Vertragsklauseln
Informationssicherheitsmanagement
Der Auftragnehmer ist verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) zu unterhalten, das dem Umfang und der Kritikalität der zu erbringenden Dienstleistungen entspricht. Dieses System muss aktuellen technologischen Standards sowie etablierten Normen, wie beispielsweise ISO/IEC 27001 oder vergleichbaren Standards und Frameworks, genügen. Der Auftragnehmer hat auf Verlangen des Auftraggebers die vollständige Dokumentation seines ISMS vorzulegen.
Leistungserbringung im Ausland
Jegliche Erbringung von Vertragsleistungen oder die Beauftragung von Subunternehmern ausserhalb der Schweiz erfordert die vorgängige schriftliche Genehmigung durch den Auftraggeber. Der Auftragnehmer gewährleistet, dass dem Auftraggeber, dessen externen Auditoren sowie den zuständigen regulatorischen Instanzen uneingeschränkte Prüf- und Kontrollrechte bezüglich der im Ausland erbrachten Leistungen eingeräumt werden. Ferner stellt der Auftragnehmer sicher, dass ein jederzeitiger Zugriff auf alle relevanten Informationen und Daten von einem Standort in der Schweiz aus möglich ist.
Schulung des Personals
Der Auftragnehmer trägt die Verantwortung dafür, dass sämtliches Personal und alle externen Beauftragten, die an der Erbringung der vertraglichen Leistungen beteiligt sind, regelmässig und nachweislich in den Bereichen Informationssicherheit, Datenschutz und Cyberrisiken geschult und sensibilisiert werden. Es ist sicherzustellen, dass diese Personen die geltenden gesetzlichen und vertraglichen Bestimmungen kennen und einhalten. Der Auftragnehmer verpflichtet sich zudem, die persönliche und fachliche Eignung sowie die Integrität seines Personals und der von ihm beauftragten Dritten vor deren Einsatz sorgfältig zu überprüfen und diese Überprüfungen in regelmässigen Abständen zu wiederholen. Der Zugriff auf Systeme und Daten des Auftraggebers ist dem Personal des Auftragnehmers ausschliesslich zur Erfüllung der vertraglich vereinbarten Aufgaben gestattet.
Sichere Softwareentwicklung
Im Rahmen der Entwicklung von Software und Produkten verpflichtet sich der Auftragnehmer zur Anwendung von Prozessen, die darauf abzielen, Sicherheitslücken und andere Cyberrisiken systematisch zu minimieren. Die Entwicklung muss den Grundsätzen von "Security by Design" und "Secure by Default" folgen. Werden personenbezogene Daten verarbeitet, ist zusätzlich das Prinzip "Privacy by Design" zu beachten. Der Auftragnehmer orientiert sich dabei an anerkannten Industriestandards und Vorgehensmodellen, wie beispielsweise NIST SP 800-218 oder vergleichbaren Standards. Des Weiteren ist die Einhaltung sämtlicher Rechte an geistigem Eigentum und Geschäftsgeheimnissen Dritter während des gesamten Entwicklungsprozesses zu gewährleisten.
Seite 2 von 2
	Höhere Fachprüfung ICT Security Expert: Prüfungsteil Fallsimulation *?
	ICT Berufsbildung Formation prafessionnelle Formazione professionale
	Fallsimulation: Firmenbeschreibung
	Firma «OfficePro AG»
	Allgemein
	Die OfficePro AG ist ein führender Hersteller und Anbieter von Bürozubehör mit Hauptsitz in der Schweiz. Das Unternehmen hat sich auf die Entwicklung und Produktion hochwertiger Büroartikel spezialisiert und bedient Kunden in ganz Europa. Neben der Eigenproduktion verfügt die OfficePro über eine ganze Reihe von Zuliefern in der ganzen Welt, welche Teile der Produktpalette von OfficePro in deren Auftrag herstellen. OfficePro ist mehrheitlich selbst für die Entwicklung und das Design der Produkte verantwortlich. OfficePro legt grossen Wert auf Qualität, Innovation und Nachhaltigkeit, um den steigenden Anforderungen der modernen Arbeitswelt gerecht zu werden. Mit einem umfassenden Sortiment, das von Schreibwaren über Büromöbel bis hin zu technischen Geräten reicht, bietet OfficePro massgeschneiderte Lösungen für Unternehmen jeder Grösse.
	Das Unternehmen beschäftigt weltweit über 2500 Mitarbeitende. Die Mitarbeitenden verteilen sich auf folgende Standorte:
	■ Hauptsitz Schweiz (ca. 400 MA)
	Geschäftsleitung, Einkauf, Design, Vertrieb, Zentrale Services, IT
	■ Produktion Schweiz (ca. 1800 MA)
	Herstellung von Büroartikeln, Qualitätskontrolle, Logistik
	■ Vertriebsbüros in 13 europäischen Ländern (ca. 300 MA)
	Verkaufs- und Kundenservice, Marketing, Regionale Logistik
	IT Setup
	Die OfficePro AG hat den Betrieb ihrer Datacenter und Server an einen externen IT-Provider ausgelagert. Applikationsengineering und -betrieb sowie das Client Management erfolgen intern am Hauptsitz mit ca. 50 Mitarbeitenden. Ein Team ist für die Entwicklung und den Betrieb der unternehmenseigene Business-Applikationen sowie die firmeneigene Webseite zuständig. Die Entwicklung erfolgt dabei teilweise In-House, aber einige Applikationen w sowie die Webseite werden durch externe Firmen im Auftrag der OfficePro entwickelt. OfficePro hat diverse Partner für die Softwareentwicklung. An den Produktionsstandorten in der Schweiz sind je ca. 10 Mitarbeitende für den Vor-Ort-Support zuständig. Alle Business-Applikationen und Daten werden zentral im Datacenter in der Schweiz betrieben und betreut.
	Die Vertriebsbüros verfügen über eine minimale IT-Infrastruktur mit Laptops und Druckern. Alle zentralen Business-Applikationen werden ebenfalls in der Schweiz gehostet. Der Leiter des Service Managements ist für die Koordination, Beauftragung und Überwachung aller Leistungen des externen IT-Providers verantwortlich.
	Der Vertrieb erfolgt hauptsächlich über Business-to-Business-Kanäle sowie den Fachhandel. Ein direkter Vertrieb an Endkunden über einen Online-Shop wird derzeit geprüft, wurde aber bisher nicht umgesetzt.
	Cloudservices werden noch nicht systematisch und kontrolliert genutzt. Es werden jedoch immer wieder Services direkt von den Fachabteilungen eingekauft, ohne die IT-Abteilung einzubeziehen.
	Seite 1 von 3
	Höhere Fachprüfung ICT Security Expert
	Fallsimulation
	Insbesondere die Vertriebsstandorte agieren oft autonom. Generell ist die Belegschaft mit der Performance der internen IT eher unzufrieden. Sie gilt als träge und nicht auf dem neuesten Stand. Die IT-Organisation klagt wiederum über mangelnde Ressourcen und stetig steigende Anforderungen.
	Organisation
	Die OfficePro AG legt grossen Wert auf eine flache Hierarchie und fördert eine offene Kommunikationskultur. Durch regelmässige Schulungen und Weiterbildungsprogramme wird sichergestellt, dass alle Mitarbeitenden stets auf dem neuesten Stand der Technik und der Branchentrends sind.
	Zukunftsperspektiven
	OfficePro plant, ihre Marktpräsenz in Europa weiter auszubauen und neue Vertriebswege zu erschliessen. Besonders im Bereich der Digitalisierung und Automatisierung von Büroprozessen sieht das Unternehmen grosses Wachstumspotenzial. Langfristig strebt OfficePro an, sich als führender Anbieter von nachhaltigem Bürozubehör auf dem europäischen Markt zu etablieren.
	Organisation
	Marketing und Verkauf
	Marketing
	Vertrieb
	Produkte
	Logistik
	Seite 2 von 3
	Höhere Fachprüfung ICT Security Expert
	Fallsimulation
	Seite 3 von 3
	Höhere Fachprüfung ICT Security Expert: Prüfungsteil Fallsimulation *?
	ICT Berufsbildung
	Formation prafessionnelle Formazione professionale
	Fallsimulation: Firmenbeschreibung
	Firma «SwissSoft Solutions AG»
	Allgemein
	Die SwissSoft Solutions AG ist ein führendes Softwareentwicklungsunternehmen mit Hauptsitz in der Schweiz. Das Unternehmen hat sich auf die Entwicklung massgeschneiderter BusinessApplikationen spezialisiert und bedient vornehmlich Schweizer Industrieunternehmen mit mehr als 500 Mitarbeitenden. SwissSoft Solutions bietet innovative Softwarelösungen, die exakt auf die Bedürfnisse ihrer Kunden zugeschnitten sind, um deren Geschäftsprozesse zu optimieren und die Effizienz zu steigern. Seit kurzem bietet SwissSoft auch eine Mobile-App für Service-Techniker an. Diese Standardlösung kann online als SaaS-Lösung bezogen werden und die Mobile-App ist für iPhone und Android verfügbar.
	Das Unternehmen beschäftigt rund 300 interne Mitarbeitende. Die Mitarbeitenden verteilen sich auf folgende Standorte:
	■ Hauptsitz Schweiz (ca. 100 MA)
	Geschäftsleitung, Entwicklung, Design, Vertrieb, Zentrale Services, IT
	■ Near-Shoring-Standort Rumänien (ca. 200 MA)
	Softwareentwicklung, Qualitätssicherung, Technischer Support
	Für die Entwicklung der Mobile-App hat die SwissSoft einen Entwicklungspartner beauftragt. Da intern kein Know-How für die App-Entwicklung besteht. Dieser ist ebenfalls in Rumänien ansässig. Dieser stellt aktuell 10 Entwickler als Ressource der SwissSoft zur Verfügung, es ist geplant den App-Bereich auszubauen und in Zukunft weitere Entwickler vom Partner einzusetzen. Der Partner kümmert sich um die Rekrutierung, Anstellung, das Onboarding und die Bereitstellung der persönlichen Arbeitsinfrastruktur. Der Product Owner der App-Lösung ist ein interner Mitarbeiter am Standort in Rumänien, der die Entwickler des Partners direkt führt.
	IT Setup
	Die SwissSoft Solutions AG betreibt ihre IT-Infrastruktur sowohl in Datacenter in der Schweiz als auch in der Cloud. Der Hauptsitz in der Schweiz übernimmt das Applikationsengineering und -betrieb sowie das Client Management mit einem Team von etwa 25 Mitarbeitenden. Diese Teams entwickeln und betreuen unternehmenseigene Business-Applikationen sowie die Entwicklungsinfrastruktur. Ebenso befindet sich ein Teil der Entwickler und Architekten in der Schweiz. Der Near-Shoring-Standort in Rumänien ist für die umfangreiche Softwareentwicklung und das Testing zuständig. Hier arbeiten etwa 200 hochqualifizierte Softwareentwickler und Tester an den diversen Kundenprojekten, um sicherzustellen, dass die Produkte höchsten Qualitätsstandards entsprechen.
	Die SwissSoft Solutions AG setzt bei der Entwicklung vermehrt auch auf Cloud-Lösungen, insbesondere für ihre Continuous Integration/Continuous Deployment (CI/CD) Pipeline. Durch den Einsatz moderner Cloud-Technologien kann SwissSoft Solutions eine hohe Flexibilität und Skalierbarkeit in der Entwicklung und Bereitstellung ihrer Softwarelösungen gewährleisten. Die
	Seite 1 von 3
	Höhere Fachprüfung ICT Security Expert
	Fallsimulation
	Cloud-Infrastruktur unterstützt zudem die Zusammenarbeit der internationalen Teams, indem sie einen nahtlosen Zugang zu den Entwicklungsressourcen und -werkzeugen ermöglicht.
	Auf dieser cloud-basierten Entwicklungsumgebung arbeiten auch die Entwickler des externen Partners. Sie nutzen die zentral bereitgestellte Cloud-Infrastruktur (CI/CD-Pipeline, Code Repositories, Betriebsumgebung) welche von der SwissSoft aus der Schweiz betreut wird.
	Kundenspektrum
	Die Kunden der SwissSoft Solutions AG sind vornehmlich Schweizer Industrieunternehmen mit mehr als 500 Mitarbeitenden. Die massgeschneiderten Softwarelösungen unterstützen diese Unternehmen dabei, ihre Geschäftsprozesse zu digitalisieren und zu optimieren. SwissSoft Solutions legt grossen Wert auf eine enge Zusammenarbeit mit ihren Kunden, um deren spezifische Anforderungen und Bedürfnisse zu verstehen und entsprechend umzusetzen.
	Mit den neuen App-Lösungen sollen auch neuen Kundegruppen angesprochen werden.
	Vornehmlich kleinere Unternehmen, welche weniger hohe Ansprüche an die Individualisierung der Lösungen haben. Da diese Unternehmen kostensensitiv sind, wird stark auf Automatisierung und Self-Service gesetzt.
	Dienstleistungsportfolio
	■ Prozessanalyse und Beratung
	■ Entwicklung massgeschneiderter Business-Applikationen
	■ Weiterentwicklung bestehender Softwarelösungen
	■ Mobile-App als Standardserver für Servicetechniker
	■ Technische Implementierung und Integration
	■ Support und Wartung
	Organisationsstruktur
	Die SwissSoft Solutions AG verfolgt eine agile Organisationsstruktur, die eine flexible und effiziente Projektumsetzung ermöglicht. Die Entwickler sind nicht in klassischen Teams organisiert, sondern arbeiten für die Kundenprojekte in agilen Teams zusammen. Regelmässige Schulungen und Weiterbildungsprogramme stellen sicher, dass alle Mitarbeitenden stets auf dem neuesten Stand der Technik und Branchentrends sind.
	Bezüglich des Informationssicherheitsmanagements gibt es keine zentrale Verantwortlichkeit. Das Thema Sicherheit wird primär aus einer technischen Perspektive behandelt. Der Leiter Network & Security fungiert in diesem Sinne als IT Security Manager und verantwortet die technische Sicherheit der Infrastruktur inkl. der CI/CD Infrastruktur welche für die Entwickler bereitgestellt wird.
	Zukunftsperspektiven
	SwissSoft Solutions plant, ihre Marktpräsenz in der Schweiz weiter auszubauen und ihre Dienstleistungen auch auf andere europäische Länder auszuweiten. Im Fokus steht die kontinuierliche Verbesserung und Erweiterung des Dienstleistungsportfolios, um den steigenden Anforderungen der Kunden gerecht zu werden.
	Seite 2 von 3
	Höhere Fachprüfung ICT Security Expert
	Fallsimulation
	HR
	Finanzen
	Legal und Compliance
	Management Services
	Sales
	Marketing
	Network & Security
	Server, Storage und Backup
	Client Management
	CI/CD
	Agile Teams
	Interne agile Teams
	Externes agile Team
	Seite 3 von 3
	Höhere Fachprüfung Information Security Manager: Fallsimulation •y
	ICT Berufsbildung Formation professionnelle Formazione professionale
	Fallsimulation Posten 4: Third Party Risk Management
	Kandidatendokument
	Postenbeschreibung
	Name der Firma:
	SwissSoft Solutions AG
	Vorabunterlagen
	■ Firmenbeschreibung SwissSoft Solutions AG
	■ Anhang: Auszug Vertragsklauseln
	Rolle der Kandidatin / des Kandidaten
	Teamleiter Network & Security
	Rolle(n) des Experten / der Expertin
	■ Leiter Sales & Marketing
	■ Leiter Entwicklung
	Ausgangslage
	SwissSoft steckt in der Vertragsverhandlung mit einem neuen, strategisch wichtigen Kunden. Dieser will in Zukunft sowohl die Entwicklung von Individual-Software bei SwissSoft beauftragen, als auch SaaS-Lösungen nutzten. Im Rahmen der Vertragsverhandlung hat der Kunde SwissSoft einen Vertragsentwurf zukommen lassen. Dieser beinhaltet auch Klauseln zum Thema Sicherheit. Der Accountmanager ist mit diesen Klauseln auf sie zu gekommen. Er möchte von ihnen eine Stellungnahme aus Sicht der Security wie die SwissSoft bzgl. dieser Vertragsanforderungen aufgestellt ist. Die Klauseln wurden auch anderen Abteilungen zur Stellungnahme weitergegeben. Die Antworten der anderen Abteilungen liegen noch nicht vor.
	Auftrag
	Sie nehmen die Rolle des Teamleiters Network & Security ein. Prüfen Sie die Vertragsklauseln im Anhang anhand der Informationen aus der Firmenbeschreibung der SwissSoft Solutions AG. Identifizieren Sie mögliche Problemfelder. Wo Sie nicht über genügend Informationen verfügen benennen Sie was aus Ihrer Sicht noch geklärt werden muss. Erstellen Sie eine Einschätzung bezgl. Des Erfüllungsgrads der SwissSoft in Bezug auf die Vertragsklauseln. Definieren Sie mögliche kurz-und langfristige Massnahmen. Bereiten Sie Ihre Analyse und Erkenntnisse als 15- bis 20-minütige Präsentation für das Management auf. An der Sitzung werden der Leiter Sales & Marketing sowie der Leiter Entwicklung, beide Mitglied der Geschäftsleitung teilnehmen.
	Hilfsmittel
	■ Notebook
	Zeitplan
	■ Einführung und aktuelle Informationen 5 min
	■ Vorbereitung 25 min
	■ Präsentation & Diskussion 30 min
	Seite 1 von 2
	Höhere Fachprüfung ICT Security Expert
	Fallsimulation
	Anhang: Auszug Vertragsklauseln
	Informationssicherheitsmanagement
	Der Auftragnehmer ist verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) zu unterhalten, das dem Umfang und der Kritikalität der zu erbringenden Dienstleistungen entspricht. Dieses System muss aktuellen technologischen Standards sowie etablierten Normen, wie beispielsweise ISO/IEC 27001 oder vergleichbaren Standards und Frameworks, genügen. Der Auftragnehmer hat auf Verlangen des Auftraggebers die vollständige Dokumentation seines ISMS vorzulegen.
	Leistungserbringung im Ausland
	Jegliche Erbringung von Vertragsleistungen oder die Beauftragung von Subunternehmern ausserhalb der Schweiz erfordert die vorgängige schriftliche Genehmigung durch den Auftraggeber. Der Auftragnehmer gewährleistet, dass dem Auftraggeber, dessen externen Auditoren sowie den zuständigen regulatorischen Instanzen uneingeschränkte Prüf- und Kontrollrechte bezüglich der im Ausland erbrachten Leistungen eingeräumt werden. Ferner stellt der Auftragnehmer sicher, dass ein jederzeitiger Zugriff auf alle relevanten Informationen und Daten von einem Standort in der Schweiz aus möglich ist.
	Schulung des Personals
	Der Auftragnehmer trägt die Verantwortung dafür, dass sämtliches Personal und alle externen Beauftragten, die an der Erbringung der vertraglichen Leistungen beteiligt sind, regelmässig und nachweislich in den Bereichen Informationssicherheit, Datenschutz und Cyberrisiken geschult und sensibilisiert werden. Es ist sicherzustellen, dass diese Personen die geltenden gesetzlichen und vertraglichen Bestimmungen kennen und einhalten. Der Auftragnehmer verpflichtet sich zudem, die persönliche und fachliche Eignung sowie die Integrität seines Personals und der von ihm beauftragten Dritten vor deren Einsatz sorgfältig zu überprüfen und diese Überprüfungen in regelmässigen Abständen zu wiederholen. Der Zugriff auf Systeme und Daten des Auftraggebers ist dem Personal des Auftragnehmers ausschliesslich zur Erfüllung der vertraglich vereinbarten Aufgaben gestattet.
	Sichere Softwareentwicklung
	Im Rahmen der Entwicklung von Software und Produkten verpflichtet sich der Auftragnehmer zur Anwendung von Prozessen, die darauf abzielen, Sicherheitslücken und andere Cyberrisiken systematisch zu minimieren. Die Entwicklung muss den Grundsätzen von "Security by Design" und "Secure by Default" folgen. Werden personenbezogene Daten verarbeitet, ist zusätzlich das Prinzip "Privacy by Design" zu beachten. Der Auftragnehmer orientiert sich dabei an anerkannten Industriestandards und Vorgehensmodellen, wie beispielsweise NIST SP 800-218 oder vergleichbaren Standards. Des Weiteren ist die Einhaltung sämtlicher Rechte an geistigem Eigentum und Geschäftsgeheimnissen Dritter während des gesamten Entwicklungsprozesses zu gewährleisten.
	Seite 2 von 2