M 2.256 Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-Betrieb
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT
Nachdem ein Outsourcing-Vorhaben umgesetzt wurde, muss die IT-Sicherheit auch im laufenden Betrieb gewährleistet werden. Dazu ist für das Outsourcing-Vorhaben ein Betriebskonzept zu planen, in dem auch die Sicherheitsaspekte berücksichtigt werden. Dabei unterscheiden sich die IT-bezogenen Einzelaufgaben generell nicht von denen, die zu planen und durchzuführen sind, wenn kein Outsourcing betrieben wird (siehe M 2.199 Aufrechterhaltung der Informationssicherheit).
Besonderheiten ergeben sich jedoch dadurch, dass die Aufgaben auf mehrere Parteien verteilt sind und daher zusätzliche Aufgaben (z. B. Abstimmungen und Kontrollen) anfallen. Diese sind unter anderem:
- Dokumentationen und Richtlinien müssen regelmäßig aktualisiert werden.
- Die geltenden Sicherheitskonzepte aller Beteiligten müssen daraufhin geprüft werden, ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten. Insbesondere sollte der Outsourcing-Dienstleister den Auftraggeber über wichtige Änderungen in seinem Einflussbereich informieren.
- Regelmäßige Kontrollen zu folgenden Aspekten sind durchzuführen:
- Durchführung der vereinbarten Audits
- Umsetzungsstand der vereinbarten IT-Sicherheitsmaßnahmen
- Wartungszustand von Systemen und Anwendungen
- Rechtezuweisung durch den Dienstleister (Missbrauch von Rechten)
- Einsatz von Mitarbeitern, die dem Auftraggeber nicht gemeldet wurden, z. B. bei Vertretungen
- Performance, Verfügbarkeit, Qualitätsniveau
- Datensicherung
- Regelmäßige Abstimmungsrunden zu folgenden Punkten sind abzuhalten:
- Informationen müssen zwischen den Partnern ausgetauscht werden (z. B. Personalnachrichten, organisatorische Regelungen, Gesetzesänderungen, geplante Projekte, vorgesehene Tests und Systemänderungen, die zu Beeinträchtigungen der Dienstleistungsqualität führen können).
- Probleme müssen identifiziert und analysiert werden.
- Wichtig sind gegenseitiges Feedback und das Aufspüren von Verbesserungspotentialen. Zur Motivation der Mitarbeiter können besonders positive Beispiele einer gelungenen Kooperation dargestellt werden.
- Änderungsmanagement: Änderungswünsche (Hardware, Software, Ausweitung des Dienstleistungsportfolios, gestiegener Ressourcenbedarf etc.) sollten frühzeitig besprochen werden.
- Es müssen regelmäßige Übungen und Tests zu folgenden Themen durchgeführt werden:
- Reaktion auf Systemausfälle (Teilausfall, Totalausfall)
- Wiedereinspielen von Datensicherungen
- Beherrschung von Sicherheitsvorfällen
Ergänzende Kontrollfragen:
- Wurde ein Betriebskonzept für das Outsourcing-Vorhaben festgelegt?
- Enthält das Betriebskonzept Verfahren und Maßnahmen, die das gewünschte Sicherheitsniveau im laufenden Betrieb sicher stellen?
- Werden regelmäßig die notwendigen Kontrollen durchgeführt?
- Sind alle Sicherheitskonzepte noch aktuell?
- Gibt es eine regelmäßige Kommunikation zwischen den Vertragspartnern?