Bundesamt für Sicherheit in der Informationstechnik

M 2.475 Vertragsgestaltung bei Bestellung eines externen IT-Sicherheitsbeauftragten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung

Falls ein externer IT -Sicherheitsbeauftragter bestellt wird, sind die folgenden Hinweise zu beachten.

Insbesondere in kleinen Unternehmen oder Behörden kann es unter Umständen zweckmäßig sein, die Rolle des IT-Sicherheitsbeauftragten nicht durch einen eigenen Mitarbeiter zu besetzen, sondern auf die Dienstleistung eines externen IT-Sicherheitsbeauftragten zurückzugreifen. Hierzu muss zunächst ein geeigneter, qualifizierter Experte für Informationssicherheit ausgewählt werden. Hinweise zu den notwendigen Qualifikationen, zur Funktion und zu den Aufgaben eines IT-Sicherheitsbeauftragten finden sich im BSI -Standard 100-2 sowie in der Maßnahme M 2.193 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit .

Bevor ein externer IT-Sicherheitsbeauftragter bestellt wird, ist zwischen dem Dienstleister und der eigenen Institution ein Vertrag zu schließen, in dem die Aufgaben des externen IT-Sicherheitsbeauftragten sowie die gegenseitigen Rechte und Pflichten möglichst präzise geregelt werden müssen. Die Beauftragung eines externen IT-Sicherheitsbeauftragten ist somit eine besondere Form des Outsourcings.

Folgende Aspekte sollten in dem Vertrag mindestens geregelt werden:

  • Anforderungen an die Qualifikation des externen IT-Sicherheitsbeauftragten
  • Vertretungsregelungen und Mindest-Ressourcen
  • Aufgaben, die der externe IT-Sicherheitsbeauftragte übernehmen muss
  • Melde-, Berichts- und Eskalationswege, Ansprechpartner (Rollen)
  • Einbindung in Kommunikationskanäle der beauftragenden Institution
  • Arbeitsorte, Räumlichkeiten und Anwesenheits- bzw. Erreichbarkeitszeiten
  • Zutritts-, Zugangs- und Zugriffsrechte
  • Vortragsrechte und Berichtspflichten gegenüber der Leitungsebene der beauftragenden Institution
  • Mitwirkungspflichten des Auftraggebers
  • Vertraulichkeitsvereinbarung
  • Interessenskonflikte
  • Folgen bei Vertragsverstößen
  • Regelungen zur Beendigung des Vertragsverhältnisses, z. B. Übergabe von Aufgaben und Unterlagen
  • Kosten

Durch den Vertrag muss der externe IT-Sicherheitsbeauftragte in die Pflicht und in die Lage versetzt werden, seine Aufgaben mindestens so gut wie ein interner IT-Sicherheitsbeauftragter zu erfüllen.

Falls auf die Dienstleistung eines externen IT-Sicherheitsbeauftragten zurückgegriffen wird, ist auch der Baustein B 1.11 Outsourcing anzuwenden. Zu beachten ist insbesondere die Maßnahme M 2.226 Regelungen für den Einsatz von Fremdpersonal .

Prüffragen:

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Umfasst der hierzu geschlossene Dienstleistungsvertrag alle Aufgaben des IT -Sicherheitsbeauftragten sowie die damit verbundenen Rechte und Pflichten?

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Verfügt der IT -Sicherheitsbeauftragte über die notwendigen Qualifikationen?

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Ermöglicht der hierzu geschlossene Dienstleistungsvertrag eine kontrollierte Beendigung des Vertragsverhältnisses einschließlich Übergabe der Aufgaben an den Auftraggeber?

  • Falls ein externer IT -Sicherheitsbeauftragter bestellt wurde: Umfasst der hierzu geschlossene Dienstleistungsvertrag eine geeignete Vertraulichkeitsvereinbarung?

Stand: 12. EL Stand 2011