Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -



Ähnliche Dokumente
Sicherheitshinweise für Administratoren. - Beispiel -

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Informationssicherheit als Outsourcing Kandidat

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Der Schutz von Patientendaten

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Taxifahrende Notebooks und andere Normalitäten. Frederik Humpert

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Datenschutz-Vereinbarung

IT-Controlling als notwendiges Instrument für die Leitung eines Krankenhauses. Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Datenschutz-Politik der MS Direct AG

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Datenschutzbeauftragte

Sozial Konzept. der MoHr Spielhallen GmbH

Checkliste zum Datenschutz

Homebanking-Abkommen

Jugendschutzgesetz (JuSchG) Die Besonderheit der "erziehungsbeauftragten" Person am Beispiel Diskotheken- und Gaststättenbesuch

Einkaufsführer Hausverwaltung Was Sie bei Suche und Auswahl Ihres passenden Verwalters beachten sollten

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Der betriebliche Datenschutzbeauftragte

Fernwartung ist sicher. Sicher?

ITIL & IT-Sicherheit. Michael Storz CN8

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Rechtssichere -Archivierung

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Checkliste. Erfolgreich Delegieren

Was ist zu beachten, damit Jugendliche unter 18 Jahren zu Ausbildungszwecken zum Steuern von Flurförderzeugen beauftragt werden dürfen?

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Drei Wege zur sicheren Luftfracht Alternativen nach Einführung des zertifizierten bekannten Versenders

Weisung 2: Technische Anbindung

BSI Technische Richtlinie

GPP Projekte gemeinsam zum Erfolg führen

Weisung 2: Technische Anbindung

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

Weisung 2: Technische Anbindung

Hilfedatei der Oden$-Börse Stand Juni 2014

Verwendung des IDS Backup Systems unter Windows 2000

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

Bedingungen für die Überlassung von Freeware-Software-Produkten von HIPPSOFT

AUFFORDERUNG ZUR ABGABE EINES ANGEBOTS

Online Data Protection

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Kirchlicher Datenschutz

Das Pflichtenheft. Dipl.- Ing. Dipl.-Informatiker Dieter Klapproth Ains A-Systemhaus GmbH Berlin

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Der Datenschutzbeauftragte

5. Regelungen zur Arbeitssicherheit. 5.1 Patenregelung für Fremdfirmen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

BSI Technische Richtlinie

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Die Gesellschaftsformen

Kooperationsvereinbarung für den Fernstudiengang B.A. Bildung & Erziehung (dual)

Dienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München

AQUA-TERRA SAAR-LOR-LUX

1. Allgemeine Bestimmungen Arbeitszeit Schwankungen in der wöchentlichen Arbeitszeit Überstunden Überzeit...

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Berufsqualifikationen und Ethik der Steuerberater in Europa

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

D i e n s t e D r i t t e r a u f We b s i t e s

GDD-Erfa-Kreis Berlin

DIE ZUKUNFT BEGINNT JETZT: ELEKTRONISCHE UNTERSCHRIFT

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.


Leistungsbeschreibung

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

Datenschutzvereinbarung

Öffentliche Ausschreibung Nr. 132/2015/003 des Statistischen Landesamtes Rheinland-Pfalz über die Innenreinigung der Dienstgebäude

Treuhand Dialogik Cloud

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Führung im Callcenter. und warum in Callcentern manch moderner Führungsansatz scheitert

Vereinbarung zur Mediation mit Vergütungsvereinbarung

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

Vertrag Individualberatung

10. Keine Annahme weiterer Arbeiten

Internes Web-Portal der AK-Leiter

StuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.

Nutzung dieser Internetseite

K. Hartmann-Consulting. Schulungsunterlage Outlook 2013 Kompakt Teil 1

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

SICHTBETONT. Easy Lens Sichtbetonte Linsen

Einrichten des Elektronischen Postfachs

Markenvertrag. zwischen der. Gebäudereiniger-Innung Berlin. - Innung - und. dem Innungsmitglied. - Markenmitglied - 1 Zweck der Kollektivmarke

Voraussetzungen für die Nutzung der Format Rechenzentrumslösung (Hosting)

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Netzanschlussvertrag Gas (Entnahme hinter Druckregelung in Mittel- oder Hochdruck)

Muster für Ausbildungsverträge mit Auszubildenden nach dem Tarifvertrag für Auszubildende des öffentlichen Dienstes (TVAöD) - Besonderer Teil BBiG -

Servicedienstleistungen von Kanzleibibliotheken

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Zwischen Deutschland, Liechtenstein, Österreich und der Schweiz abgestimmte deutsche Übersetzung

Transkript:

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004

INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE REGELUNGEN... 3 5 ORGANISATION... 3 6 ZUTRITTS-, ZUGANGS- UND ZUGRIFFSRECHTE EXTERNER MITARBEITER... 4 7 SICHERHEITSMAßNAHMEN... 4 7.1 ALLGEMEINE REGELUNGEN... 4 7.2 ARBEITEN DURCH EXTERNES PERSONAL IM HAUSE... 4 7.3 ARBEITEN DURCH EXTERNE DIENSTLEISTER AUßERHALB DES HAUSES... 4 7.4 EXTERNE ARBEITEN ÜBER FERNZUGRIFF... 5 7.5 REGELUNGEN ZUM ENDE DER TÄTIGKEITEN... 5 1 Einleitung Diese Sicherheitsrichtlinie umfasst Regelungen zur Sicherstellung der IT- Sicherheit im Falle des Outsourcings von IT-Leistungen. Diese Sicherheitsrichtlinie basiert auf dem IT-Grundschutzhandbuch des BSI. In der rechten Spalte befinden sich Verweise zu Hintergrundinformationen und zu Maßnahmenvorschlägen innerhalb des IT-Grundschutzhandbuchs. Hinweis: Bemerkungen und Hinweise, an welchen Stellen sich eine individuelle Anpassung oder Ergänzung der Musterrichtlinie besonders empfiehlt, sind gelb hinterlegt. Beispielsweise wird in dieser Beispielrichtlinie für verschiedene Tätigkeiten eine verantwortliche Person benannt, was natürlich an die eigne Organisationsstruktur angepasst werden sollte. 2 Geltungsbereich Diese Sicherheitsrichtlinie gilt für alle Betriebsteile und ist bei der Gestaltung von Outsourcing-Vorhaben zugrunde zu legen, wenn Dienstleistungen im Bereich Informationsverarbeitung betroffen sind. Bereits vor jeder Outsourcing-Entscheidung sind IT-Sicherheitsaspekte zu bedenken und bei einer Ausschreibung zu berücksichtigen. Die Richtlinie ist gegenüber dem Outsourcing-Dienstleister als Prüfungsgrundlage zu nutzen und den Verträgen mit Dienstleistern zugrunde zu legen. Für die inhaltliche Bearbeitung sowie für die Pflege und Änderung der Texte ist der IT-Sicherheitsbeauftragte in Zusammenarbeit mit dem Leitungsstab zuständig und verantwortlich. M x.xx M 2.250, M 2.251 2/5

3 Auswahl eines Outsourcing-Dienstleisters Es ist selten Erfolg versprechend, eine Geschäftsbeziehung lediglich auf Verträge und Regressansprüche zu begründen. Daher ist der Outsourcing- Dienstleister sorgfältig auszuwählen und eine vertrauensvolle und kooperative Zusammenarbeit anzustreben. Bei der Auswahl ist zu prüfen, ob der Auftragnehmer als makellos, unbescholten und unbestechlich einzuschätzen ist (Zuverlässigkeit) und ob ein ernsthaftes und fachkundiges Betreiben der Dienstleistung gewährleistet ist (Seriosität). Zu diesem Zweck sind folgende Punkte zu hinterfragen: Referenzen Kompetenz und Verfügbarkeit des Ansprechpartners Vertrauenswürdigkeit der Mitarbeiter Notfallplanung Zertifizierungen garantierte Verfügbarkeit (maximale Ausfallzeit) IT-Sicherheitskonzept und Sicherheitsrichtlinien. Für die Beurteilung sollte bei größeren Vorhaben eine Besichtigung des Outsourcing-Dienstleisters erfolgen. 4 Vertragsspezifische Regelungen Externen darf generell erst dann Zugang zu IT-Systemen und Anwendungen gewährt werden, wenn ein Vertrag unterschrieben wurde, der die Bedingungen für die Verbindung oder den Zugang definiert. Im Vertrag ist schriftlich zu vereinbaren: Weisungsgebundenheit des Outsourcing-Dienstleisters Einhaltung der einschlägigen Gesetze, Vorschriften und internen Regelungen Stillschweigen über alle bekannt werdenden Informationen technische und organisatorische Maßnahmen im Einflussbereich des Outsourcing-Dienstleisters und deren Kontrolle Melde- und Kommunikationswege Notfallvorsorgemaßnahmen Personaleinsatz durch den Outsourcing-Dienstleister Zutritts- und Zugangsrechte Regelungen für den Fall der Nicht- oder mangelhaften Erfüllung Verfügbarkeitsanforderungen Rechte und Pflichten des externen Personals Regelungen zur Haftung Verfahren bei Beendigung des Vertrags (siehe Kapitel 7.5). 5 Organisation Es sind auf beiden Seiten Verantwortliche zu benennen. Es ist sicherzustellen, dass diese ausreichende Befugnisse besitzen. Externe Mitarbeiter sind vor Beginn ihrer Tätigkeit einzuweisen und über hausinterne Regelungen und Vorschriften zur IT-Sicherheit sowie die organisationsweite IT-Sicherheitsleitlinie zu unterrichten. Externe Mitarbeiter, die (eventuell) Zugang zu vertraulichen Unterlagen und Daten bekommen könnten, sind schriftlich auf die Einhaltung der geltenden einschlägigen Gesetze, Vorschriften und internen Regelungen und zur Verschwiegenheit zu verpflichten. Der Outsourcing-Dienstleister hat die Weisungen des Auftragnehmers zu 3/5 M 2.252 M 2.252 M 2.26 M 3.33 M 6.9, M 6.83 M 2.66, M 2.252 M 6.1 M 2.192, M 2.195 M 2.253 M 3.2 M 3.6 M 2.192, M 2.195 M 2.182, M 2.251 M 2.42 M 6.83 M 6.1 M 2.4, M 2.193 M 3.11 M 3.2, M 3.5 M 3.2 M 3.6

befolgen. Dies ist regelmäßig zu überprüfen. Aufträge an Subunternehmer durch den Outsourcing-Dienstleister bedürfen einer Genehmigung. Subunternehmer unterliegen den gleichen Anforderungen wie der Hauptauftragnehmer. 6 Zutritts-, Zugangs- und Zugriffsrechte externer Mitarbeiter Externe müssen sich ausweisen. Sofern ein Zutritt zu Sicherheitszonen zwingend erforderlich ist, sind externe Mitarbeiter zu beaufsichtigen. Kurzfristig oder einmalig zum Einsatz kommendes Fremdpersonal ist wie Besucher zu begleiten oder zu beaufsichtigen. Der Zugriff auf Daten durch Externe ist soweit wie möglich zu vermeiden. Externen kann sofern dies zwingend erforderlich ist ein zeitlich begrenzter Zugang gewährt werden, wenn entsprechende Sicherheitsmaßnahmen eingerichtet worden sind. Sofern ein dauerhafter Zugang notwendig ist, sind einer namentlich benannten Person restriktive Zugangsrechte zu gewähren. Es ist sicherzustellen, dass die externen Mitarbeiter keinen Zugriff auf Systeme außerhalb ihres Tätigkeitsbereiches erhalten. Regelungen zum Ende der Tätigkeiten (siehe Kapitel 7.5) sind zu beachten. 7 Sicherheitsmaßnahmen 7.1 Allgemeine Regelungen Für umfangreiche oder komplexe Outsourcing-Vorhaben muss ein eigenes IT-Sicherheitskonzept erstellt werden. Es ist seitens des externen Outsourcing-Dienstleisters ein Sicherheitsprozess zu etablieren, der zu kontrollieren ist. Die durchgeführten Arbeiten sind zu dokumentieren (Umfang, Ergebnisse, Zeitpunkt, evtl. Name des externen Mitarbeiters). Eine Fehlerbeseitigung im Betriebssystem und in systemnaher Software darf durch das externe Personal nur nach Genehmigung erfolgen. Es sind Regelungen zur Kommunikation und dem Datenaustausch zwischen uns als Auftraggeber und dem Dienstleister zu schaffen. Hierbei ist auch die "Sicherheitsrichtlinie für die Internetnutzung" (siehe Musterdokument des BSI) zu beachten. In Sicherheitszonen kann das Mitbringen tragbarer IT-Systeme, Mobiltelefone, Kameras etc. vom IT-Sicherheitsbeauftragten verboten werden. M 2.182, M 2.222 M 4.16 M 2.220 M 2.220, M 4.16 M 2.32 M 2.191 M 2.182, M 2.256 M 2.34 M 2.215 M 5.88 M 1.49 7.2 Arbeiten durch externes Personal im Hause Arbeiten, die von Externen innerhalb der Räumlichkeiten des Auftragnehmers stattfinden, sind falls möglich in separaten Räumlichkeiten durchzuführen. Bei Arbeiten an sensitiven Systemen bzw. Systemen mit sensitiven Daten hat eine fachkundige Kraft die Arbeiten zu beaufsichtigen. 7.3 Arbeiten durch externe Dienstleister außerhalb des Hauses Wird Hardware zur Wartung oder Reparatur außer Haus gegeben, sind sofern möglich alle sensitiven Daten, die sich auf Datenträgern befinden, vorher sicher zu löschen. Der Transport von Datenträgern hat sicher zu erfolgen. M 2.218 7, M 2.3 4/5

7.4 Externe Arbeiten über Fernzugriff Generell ist der Zugriff vor Ort dem Fernzugriff vorzuziehen. Die sichere Anbindung an das interne Netz ist zu regeln. Es ist die "Sicherheitsrichtlinie zur IT-Nutzung" (Musterdokument des BSI) zu beachten. 7.5 Regelungen zum Ende der Tätigkeiten Bei Beendigung des Auftragsverhältnisses muss eine geregelte Übergabe der Arbeitsergebnisse und der erhaltenen Unterlagen und Betriebsmittel erfolgen. Es ist die ordnungsgemäße Funktion von gewarteten IT-Systemen zu überprüfen. Bei entsprechend gefährdeten IT-Systemen ist eine Virenüberprüfung durchzuführen. Es sind außerdem sämtliche eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen bzw. zu löschen. Außerdem sind ausscheidende Mitarbeiter explizit darauf hinzuweisen, dass die Verschwiegenheitsverpflichtung auch nach Beendigung der Tätigkeit bestehen bleibt. Daten, die im Rahmen des Outsourcings extern gespeichert wurden, sind nach Abschluss des Auftrags vollständig und sicher zu löschen. Dies ist zu kontrollieren. M 2.102 M 5.87 M 2.4 M 2.9, M 2.4, M 2.62 0 M 4.17 M 3.2, M 3.6 7, M 2.18 M 2.256 5/5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback