M 2.475 Vertragsgestaltung bei Bestellung eines externen IT-Sicherheitsbeauftragten

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: Behörden-/Unternehmensleitung

Falls ein externer IT -Sicherheitsbeauftragter bestellt wird, sind die folgenden Hinweise zu beachten.

Insbesondere in kleinen Unternehmen oder Behörden kann es unter Umständen zweckmäßig sein, die Rolle des IT-Sicherheitsbeauftragten nicht durch einen eigenen Mitarbeiter zu besetzen, sondern auf die Dienstleistung eines externen IT-Sicherheitsbeauftragten zurückzugreifen. Hierzu muss zunächst ein geeigneter, qualifizierter Experte für Informationssicherheit ausgewählt werden. Hinweise zu den notwendigen Qualifikationen, zur Funktion und zu den Aufgaben eines IT-Sicherheitsbeauftragten finden sich im BSI -Standard 100-2 sowie in der Maßnahme M 2.193 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit .

Bevor ein externer IT-Sicherheitsbeauftragter bestellt wird, ist zwischen dem Dienstleister und der eigenen Institution ein Vertrag zu schließen, in dem die Aufgaben des externen IT-Sicherheitsbeauftragten sowie die gegenseitigen Rechte und Pflichten möglichst präzise geregelt werden müssen. Die Beauftragung eines externen IT-Sicherheitsbeauftragten ist somit eine besondere Form des Outsourcings.

Folgende Aspekte sollten in dem Vertrag mindestens geregelt werden:

Durch den Vertrag muss der externe IT-Sicherheitsbeauftragte in die Pflicht und in die Lage versetzt werden, seine Aufgaben mindestens so gut wie ein interner IT-Sicherheitsbeauftragter zu erfüllen.

Falls auf die Dienstleistung eines externen IT-Sicherheitsbeauftragten zurückgegriffen wird, ist auch der Baustein B 1.11 Outsourcing anzuwenden. Zu beachten ist insbesondere die Maßnahme M 2.226 Regelungen für den Einsatz von Fremdpersonal .

Prüffragen: