Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

Ihr Inhalt

10000:14

14 IT-Outsourcing und Cloud Computing

VdS 10000
T1 Wenn IT-Ressourcen ausgelagert werden, ist es notwendig, dass die Sicherheitsinteressen der Organisation berücksichtigt werden.

14.1 IS-Richtlinie

VdS 10000
G1 In Ergänzung zu Abschnitt 6.2 MÜSSEN in einer IS-Richtlinie die Bedingungen, unter welchen IT-Ressourcen ausgelagert werden dürfen, festgelegt werden.

14.2 Vorbereitung

VdS 10000
G1 Für jedes Vorhaben, das zur Auslagerung von IT-Ressourcen führt, MÜSSEN folgende Punkte dokumentiert werden:
G1.1 1. welche IT-Ressourcen ausgelagert werden sollen
G1.2 2. welche betrieblichen, gesetzlichen und vertraglichen Bestimmungen, insbesondere in Bezug auf die Vertraulichkeit, Verfügbarkeit und Integrität der ausgelagerten IT-Ressourcen, erfüllt werden müssen
G1.3 3. ob die auszulagernden IT-Ressourcen kritisch sind
G2 Wenn IT-Ressourcen ausgelagert werden, MUSS die Organisation darauf vorbereitet werden:
G2.1 1. Kompetenzen für die Steuerung der auszulagernden IT-Ressourcen werden aufgebaut.
G2.2 2. Die IT-Infrastruktur wird auf das Zusammenspiel mit den auszulagernden IT-Ressourcen vorbereitet.

14.3 Vertragsgestaltung

VdS 10000
G1 Wenn IT-Ressourcen ausgelagert werden sollen, so MUSS mit dem Anbieter ein Vertrag geschlossen werden, der die Anforderungen aus Abschnitt 14.1 enthält und den Anbieter zu deren Erfüllung verpflichtet.
E1 Darüber hinaus SOLLTEN folgende Punkte sichergestellt sein:
E1.1 1. Ansprüche aus Vertragsverletzungen können durchgesetzt werden, auch wenn sich der Anbieter nicht im gleichen Rechtsraum wie die Organisation befindet.
E1.2 2. Die Mitwirkungspflichten des Anbieters im Falle einer Vertragsauflösung oder Insolvenz sind vereinbart, insbesondere die vollständige Herausgabe der IT-Ressourcen der Organisation sowie die aktive Unterstützung des Migrationsprozesses durch den Anbieter.

14.4 Zusätzliche Maßnahmen für kritische IT-Ressourcen

VdS 10000
Z1 Wenn kritische IT-Ressourcen ausgelagert werden, MÜSSEN die Anforderungen aus Abschnitt 14.1 an ihre Vertraulichkeit, Verfügbarkeit und Integrität im Rahmen einer Risikoanalyse (siehe Anhang A 2.1) ermittelt und folgende Punkte vertraglich geregelt werden:
Z1.1 1. Leistungen
Z1.1.a a. Die vom Anbieter zu erbringenden Leistungen werden definiert und deren Messung und Überwachung werden vereinbart.
Z1.1.b b. Die Standorte, an denen Leistungen erbracht werden, werden festgelegt.
Z1.1.c c. Die Sicherheitsmaßnahmen, die der Anbieter zum Schutz der ausgelagerten IT-Ressourcen treffen muss, werden vereinbart.
Z1.1.d d. Eine Beschreibung der Schnittstellen zwischen der IT-Infrastruktur der Organisation und den ausgelagerten IT-Ressourcen wird definiert.
E1.1 Es SOLLTEN Konsequenzen bei Nichteinhaltung der vertraglich vereinbarten Leistungen vereinbart werden.
Z1.2 2. Kommunikation
Z1.2.a a. Die Ansprechpartner auf Seiten der Organisation und des Anbieters werden benannt.
Z1.2.b b. Eine Vertraulichkeitsvereinbarung wird getroffen.
Z1.2.c c. Es wird vereinbart, ob und unter welchen Bedingungen der Anbieter dazu berechtigt ist, Daten an Dritte weiterzugeben.
Z1.2.d d. Eine Informationspflicht des Anbieters bei Sicherheitsvorfällen, die die ausgelagerten IT-Ressourcen betreffen, wird vereinbart.
Z1.3 3. Leistungsänderungen und Vertragsauflösung
Z1.3.a a. Die Mitwirkungspflichten des Anbieters im Falle einer Vertragsauflösung oder Insolvenz werden vereinbart, insbesondere die vollständige Herausgabe der IT-Ressourcen der Organisation sowie die aktive Unterstützung des Migrationsprozesses durch den Anbieter.
Z1.3.b b. Eine schriftliche Dokumentation und Meldung bei Änderungen an einem der oben genannten Punkte wird vereinbart.
Z2 Es MUSS sichergestellt sein, dass Ansprüche aus Vertragsverletzungen durchgesetzt werden können, auch wenn sich der Anbieter nicht im gleichen Rechtsraum wie die Organisation befindet.
10000/14.txt · Zuletzt geändert: 24.01.2020 16:52 (Externe Bearbeitung)

Hier finden Sie unser Impressum und unsere Datenschutzerklärung.