Читать книгу Handbuch IT-Outsourcing - Joachim Schrey - Страница 105
ff) Sicherheitsmaßnahmen
Оглавление308
Die durch den Provider umzusetzenden Sicherheitsmaßnahmen (was ist zu tun) sowie deren Ausgestaltung (wie ist es zu tun) können sich z.B. aus den aktuellen Versionen des Rahmenwerks „Sicherer IT-Betrieb“ des SIZ ergeben. Die dort empfohlenen Maßnahmen einschließlich der Empfehlungen für erhöhten und hohen Schutzbedarf (z.B. Maßnahmen der Qualifizierungsstufe A, B, C und Z des IT-Grundschutz-Katalogs) sollten auch wesentlicher Vertragsbestandteil sein.
309
Eventuell sind ergänzende oder abweichende Sicherheitsmaßnahmen durch den Provider umzusetzen, insofern sie sich aus den nachfolgenden Verpflichtungen ergeben:
| – | individuelle Vereinbarungen (z.B. Aufträge), |
| – | interne Vorgaben des Kunden (z.B. Organisationsanweisungen, OPDV), |
| – | externe Vorgaben (z.B. BDSG, GoBS, KWG) und |
| – | Sicherheitsmaßnahmen gemäß individueller Risikoanalyse bei sehr hohem Schutzbedarf. |
310
Dabei können die nachfolgenden aufgeführten Sicherheitsmaßnahmen und Services als Beispiele dienen, welche IT-Security Leistungen der Provider zu erbringen hat und welche man dazu im Outsourcing-Vertrag vereinbaren kann:
| – | mehrstufiges Firewall-System sowie kontinuierliche Überwachung der Firewall-Systeme, um bei Angriffen verzugslos steuernd reagieren zu können, |
| – | mehrstufiges Anti-Spam Verfahren, |
| – | zentrales System zur Verschlüsselung von E-Mails mit verschiedenen Verfahren (einschließlich S/Mime, PGP, HTTPS und StartTLS). |
| – | automatisches Provisioning von beantragten Benutzerberechtigungen an die IT Systeme um sicherzustellen, dass die genehmigten Berechtigungen (Soll-Zustand) mit dem in den IT-Systemen tatsächlich bestehenden (Ist-Zustand) übereinstimmt. |
