Handbuch IT-Outsourcing. Joachim Schrey
Читать онлайн.| Название | Handbuch IT-Outsourcing |
|---|---|
| Автор произведения | Joachim Schrey |
| Жанр | |
| Серия | C.F. Müller Wirtschaftsrecht |
| Издательство | |
| Год выпуска | 0 |
| isbn | 9783811438064 |
295
Informationssicherheit ist der Oberbegriff zu IT-Sicherheit und versteht sich als Teil der Unternehmenssicherheit. Sie steht in Wechselwirkung mit anderen sicherheitsrelevanten Themen – insbesondere mit dem Datenschutz und Objektschutz.
296
Verletzungen der Informationssicherheit stellen keine Bagatell-Verletzung dar, sondern sind erhebliche Vertragsverletzungen und können in letzter Konsequenz eine außerordentliche Kündigung rechtfertigen.
297
Die Geschäftsprozesse der Kunden sind u.a. abhängig von:
| – | Informationen/Daten (elektronisch und papiergebunden), |
| – | IT-Prozessen (Kommunikations- und Datenverarbeitungsprozesse) und |
| – | IT-Systemen (Kommunikations- und Datenverarbeitungssysteme). |
298
Diese beeinflussen maßgeblich den unternehmerischen Erfolg. Deren Sicherheit ist daher ein kritischer Erfolgsfaktor im Wettbewerb und somit ein wichtiges Unternehmensziel.
bb) Informationssicherheits-Managementsystem (ISMS) des Kunden
299
Für ein ISMS gibt es verschiedene Rahmenwerke. Ein sehr bedeutsames Rahmenwerk ist das Rahmenwerk „Sicherer IT-Betrieb“ des Informatikzentrums der Sparkassenorganisation (SIZ, Bonn). Dieses Rahmenwerk orientiert sich hauptsächlich an der ISO/IEC 27001 und 27002 der International Organization of Standardization (ISO, Genf) sowie den IT-Grundschutz-Standards des BSI.
300
Beim Outsourcing von bestimmten IT-Services muss der Provider in das ISMS des Kunden durch den Outsourcing-Vertrag wirksam eingebunden werden. Hierzu muss das ISMS des Kunden mit dem des Providers sinnvoll verbunden werden.
cc) ISMS des Providers
301
Der Provider muss selbst ein ISMS, welches sich z.B. am „Sicheren IT-Betrieb“, der ISO/IEC 27001 und 27002 oder dem IT-Grundschutz-Standard 100-1 orientiert. Eine echte Zertifizierung des Providers erfolgt i.d.R. nach diesem Standard nicht, sondern er verpflichtet sich vertraglich dazu, diese Standards einzuhalten. Diese Vorgehensweise wird vor allem von Providern präferiert, da diese die hohen Kosten und organisatorischen Aufwendungen scheuen.
302
Natürlich sollte dem Kunden (nach einer Nachbesserungsfrist) die Möglichkeit eingeräumt werden, den Outsourcing-Vertrag sofort zu kündigen (außerordentliches Kündigungsrecht), wenn der Provider diese Sicherheitsstandards nicht einhält.
dd) IT-Sicherheitsbeauftragter
303
Der Provider sollte einen geeigneten IT-Sicherheitsbeauftragten einsetzen, der das ISMS des Providers für die dem Kunden erbrachten IT-Services betreibt. Der IT-Sicherheitsbeauftragte des Providers sollte sich dabei mindestens einmal pro Woche zu einem Jour fixe mit dem Kunden treffen.
304
Der Provider sollte bei sicherheitsrelevanten Angelegenheiten den IT-Sicherheitsbeauftragten des Kunden – und soweit relevant zusätzlich den Datenschutzbeauftragten des Kunden – in seine Informations- und Entscheidungsprozesse mit einbeziehen.
305
Auch sollte der Provider akzeptierten, dass der IT-Sicherheitsbeauftragte des Kunden – bei Gefahr im Verzuge – gegenüber den Mitarbeitern des Providers in sicherheitsrelevanten Angelegenheiten, die den Kunden betreffen, weisungsbefugt ist. Dadurch sollte aber weder ein Arbeitsverhältnis begründet werden noch ein Fall der Arbeitnehmerüberlassung i.S.v. §§ 1 ff. AÜG vorliegen.
ee) Berichte und Prüfungen
306
Der Provider sollte den Kunden durch regelmäßige Berichte informieren und bei Bedarf im Einzelfall den IT-Sicherheitsbeauftragten des Kunden, um diesem jederzeit einen aktuellen, umfassenden und detaillierten Überblick über die Sicherheitslage zu geben.
307
Der Provider sollte dabei dem Kunden gestatten (ggf. durch einen beauftragten Dritten), Sicherheitsüberprüfungen beim Provider durchzuführen. Der Provider sollte dem Kunden die relevanten Berichte, die die interne Revision des Kunden benötigt, auch zur Verfügung stellen. Falls der Provider über Zertifizierungen verfügt (z.B. ISO/IEC 27001, SAS70 etc.), sollte er Kopien der Zertifikate und Zertifizierungsberichte (Audit Reports) dem Kunden auch zur Verfügung stellen.
ff) Sicherheitsmaßnahmen
308
Die durch den Provider umzusetzenden Sicherheitsmaßnahmen (was ist zu tun) sowie deren Ausgestaltung (wie ist es zu tun) können sich z.B. aus den aktuellen Versionen des Rahmenwerks „Sicherer IT-Betrieb“ des SIZ ergeben. Die dort empfohlenen Maßnahmen einschließlich der Empfehlungen für erhöhten und hohen Schutzbedarf (z.B. Maßnahmen der Qualifizierungsstufe A, B, C und Z des IT-Grundschutz-Katalogs) sollten auch wesentlicher Vertragsbestandteil sein.
309
Eventuell sind ergänzende oder abweichende Sicherheitsmaßnahmen durch den Provider umzusetzen, insofern sie sich aus den nachfolgenden Verpflichtungen ergeben:
| – | individuelle Vereinbarungen (z.B. Aufträge), |
| – | interne Vorgaben des Kunden (z.B. Organisationsanweisungen, OPDV), |
| – | externe Vorgaben (z.B. BDSG, GoBS, KWG) und |
| – | Sicherheitsmaßnahmen gemäß individueller Risikoanalyse bei sehr hohem Schutzbedarf. |
310
Dabei können die nachfolgenden aufgeführten Sicherheitsmaßnahmen und Services als Beispiele dienen, welche IT-Security Leistungen der Provider zu erbringen hat und welche man dazu im Outsourcing-Vertrag vereinbaren kann:
| – | mehrstufiges Firewall-System sowie kontinuierliche Überwachung der Firewall-Systeme, um bei Angriffen verzugslos steuernd reagieren zu können, |
| – | mehrstufiges Anti-Spam Verfahren, |
| – | zentrales System zur Verschlüsselung von E-Mails mit verschiedenen Verfahren (einschließlich S/Mime, PGP, HTTPS und StartTLS). |
| – | automatisches Provisioning von beantragten Benutzerberechtigungen an die IT Systeme um sicherzustellen, dass die genehmigten Berechtigungen (Soll-Zustand) mit dem in den IT-Systemen tatsächlich bestehenden (Ist-Zustand) übereinstimmt. |
gg) Notfallbehandlung