Bundesamt für Sicherheit in der Informationstechnik

M 2.475 Vertragsgestaltung bei Bestellung eines externen IT-Sicherheitsbeauftragten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung

Falls ein externer IT -Sicherheitsbeauftragter bestellt wird, sind die folgenden Hinweise zu beachten.

Insbesondere in kleinen Unternehmen oder Behörden kann es unter Umständen zweckmäßig sein, die Rolle des IT-Sicherheitsbeauftragten nicht durch einen eigenen Mitarbeiter zu besetzen, sondern auf die Dienstleistung eines externen IT-Sicherheitsbeauftragten zurückzugreifen. Hierzu muss zunächst ein geeigneter, qualifizierter Experte für Informationssicherheit ausgewählt werden. Hinweise zu den notwendigen Qualifikationen, zur Funktion und zu den Aufgaben eines IT-Sicherheitsbeauftragten finden sich im BSI -Standard 100-2 sowie in der Maßnahme M 2.193 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit .

Bevor ein externer IT-Sicherheitsbeauftragter bestellt wird, ist zwischen dem Dienstleister und der eigenen Institution ein Vertrag zu schließen, in dem die Aufgaben des externen IT-Sicherheitsbeauftragten sowie die gegenseitigen Rechte und Pflichten möglichst präzise geregelt werden müssen. Die Beauftragung eines externen IT-Sicherheitsbeauftragten ist somit eine besondere Form des Outsourcings.

Folgende Aspekte sollten in dem Vertrag mindestens geregelt werden:

  • Anforderungen an die Qualifikation des externen IT-Sicherheitsbeauftragten
  • Vertretungsregelungen und Mindest-Ressourcen
  • Aufgaben, die der externe IT-Sicherheitsbeauftragte übernehmen muss
  • Melde-, Berichts- und Eskalationswege, Ansprechpartner (Rollen)
  • Einbindung in Kommunikationskanäle der beauftragenden Institution
  • Arbeitsorte, Räumlichkeiten und Anwesenheits- bzw. Erreichbarkeitszeiten
  • Zutritts-, Zugangs- und Zugriffsrechte
  • Vortragsrechte und Berichtspflichten gegenüber der Leitungsebene der beauftragenden Institution
  • Mitwirkungspflichten des Auftraggebers
  • Vertraulichkeitsvereinbarung
  • Interessenskonflikte
  • Folgen bei Vertragsverstößen
  • Regelungen zur Beendigung des Vertragsverhältnisses, z. B. Übergabe von Aufgaben und Unterlagen
  • Kosten

Durch den Vertrag muss der externe IT-Sicherheitsbeauftragte in die Pflicht und in die Lage versetzt werden, seine Aufgaben mindestens so gut wie ein interner IT-Sicherheitsbeauftragter zu erfüllen.

Falls auf die Dienstleistung eines externen IT-Sicherheitsbeauftragten zurückgegriffen wird, ist auch der Baustein B 1.11 Outsourcing anzuwenden. Zu beachten ist insbesondere die Maßnahme M 2.226 Regelungen für den Einsatz von Fremdpersonal .

Prüffragen:

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Umfasst der hierzu geschlossene Dienstleistungsvertrag alle Aufgaben des IT -Sicherheitsbeauftragten sowie die damit verbundenen Rechte und Pflichten?

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Verfügt der IT -Sicherheitsbeauftragte über die notwendigen Qualifikationen?

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Ermöglicht der hierzu geschlossene Dienstleistungsvertrag eine kontrollierte Beendigung des Vertragsverhältnisses einschließlich Übergabe der Aufgaben an den Auftraggeber?

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Umfasst der hierzu geschlossene Dienstleistungsvertrag eine geeignete Vertraulichkeitsvereinbarung?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK