Bundesamt für Sicherheit in der Informationstechnik

M 2.256 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Nachdem ein Outsourcing-Vorhaben umgesetzt wurde, muss die Informationssicherheit auch im laufenden Betrieb gewährleistet werden. Dazu ist für das Outsourcing-Vorhaben ein Betriebskonzept zu planen, in dem auch die Sicherheitsaspekte berücksichtigt werden. Dabei unterscheiden sich die IT-bezogenen Einzelaufgaben generell nicht von denen, die zu planen und durchzuführen sind, wenn kein Outsourcing betrieben wird (siehe M 2.199 Aufrechterhaltung der Informationssicherheit ).

Besonderheiten ergeben sich jedoch dadurch, dass die Aufgaben auf mehrere Parteien verteilt sind und daher zusätzliche Aufgaben (z. B. Abstimmungen und Kontrollen) anfallen. Diese sind unter anderem:

  • Dokumentationen und Richtlinien müssen regelmäßig aktualisiert werden.
  • Die geltenden Sicherheitskonzepte aller Beteiligten müssen daraufhin geprüft werden, ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten. Insbesondere sollte der Outsourcing-Dienstleister den Auftraggeber über wichtige Änderungen in seinem Einflussbereich informieren.
  • Regelmäßige Kontrollen zu folgenden Aspekten sind durchzuführen:
    • Durchführung der vereinbarten Audits
    • Umsetzungsstand der vereinbarten Sicherheitsmaßnahmen
    • Wartungszustand von Systemen und Anwendungen
    • Rechtezuweisung durch den Dienstleister (Missbrauch von Rechten)
    • Einsatz von Mitarbeitern, die dem Auftraggeber nicht gemeldet wurden, z. B. bei Vertretungen
    • Performance, Verfügbarkeit, Qualitätsniveau
    • Datensicherung
  • Regelmäßige Abstimmungsrunden zu folgenden Punkten sind abzuhalten:
    • Informationen müssen zwischen den Partnern ausgetauscht werden (z. B. Personalnachrichten, organisatorische Regelungen, Gesetzesänderungen, geplante Projekte, vorgesehene Tests und Systemänderungen, die zu Beeinträchtigungen der Dienstleistungsqualität führen können).
    • Probleme müssen identifiziert und analysiert werden.
    • Wichtig sind gegenseitiges Feedback und das Aufspüren von Verbesserungspotentialen. Zur Motivation der Mitarbeiter können besonders positive Beispiele einer gelungenen Kooperation dargestellt werden.
    • Änderungsmanagement: Änderungswünsche (Hardware, Software, Ausweitung des Dienstleistungsportfolios, gestiegener Ressourcenbedarf etc.) sollten frühzeitig besprochen werden.
  • Es müssen regelmäßige Übungen und Tests zu folgenden Themen durchgeführt werden:
    • Reaktion auf Systemausfälle (Teilausfall, Totalausfall)
    • Wiedereinspielen von Datensicherungen
    • Beherrschung von Sicherheitsvorfällen

Prüffragen:

  • Existiert ein Betriebskonzept für das Outsourcing-Vorhaben, das auch die Sicherheitsaspekte berücksichtigt?

  • Werden die Sicherheitskonzepte der Outsourcing-Partner regelmäßig auf Aktualität und Konsistenz zueinander geprüft?

  • Wird der Status der vereinbarten Sicherheitsmaßnahmen regelmäßig kontrolliert?

  • Findet zwischen den Outsourcing-Partnern eine regelmäßige Kommunikation einschließlich Abstimmung zu Änderungen und Verbesserungen statt?

  • Führen die Outsourcing-Partner regelmäßig gemeinsame Übungen und Tests zur Aufrechterhaltung des Sicherheitsniveaus durch?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK