M 2.256 Planung und Aufrechterhaltung der IT-Sicherheit im laufenden Outsourcing-Betrieb
Verantwortlich für Initiierung: IT-Sicherheitsmanagement, Leiter IT
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Leiter IT, Administrator
Nachdem ein Outsourcing-Vorhaben umgesetzt wurde, muss die IT-Sicherheit auch im laufenden Betrieb gewährleistet werden. Dazu ist für das Outsourcing-Vorhaben ein Betriebskonzept zu planen, in dem auch die Sicherheitsaspekte berücksichtigt werden. Dabei unterscheiden sich die IT-bezogenen Einzelaufgaben generell nicht von denen, die zu planen und durchzuführen sind, wenn kein Outsourcing betrieben wird (siehe M 2.199 Aufrechterhaltung der IT-Sicherheit).
Besonderheiten ergeben sich jedoch dadurch, dass die Aufgaben auf mehrere Parteien verteilt sind und daher zusätzliche Aufgaben (z. B. Abstimmungen und Kontrollen) anfallen. Diese sind unter anderem:
- Dokumentationen und Richtlinien müssen regelmäßig aktualisiert werden.
- Die geltenden Sicherheitskonzepte aller Beteiligten müssen daraufhin geprüft werden, ob sie noch aufeinander abgestimmt sind und das gewünschte Sicherheitsniveau gewährleisten. Insbesondere sollte der Outsourcing-Dienstleister den Auftraggeber über wichtige Änderungen in seinem Einflussbereich informieren.
-
Regelmäßige Kontrollen zu folgenden Aspekten sind durchzuführen:
- Durchführung der vereinbarten Audits
- Umsetzungsstand der vereinbarten IT-Sicherheitsmaßnahmen
- Wartungszustand von Systemen und Anwendungen
- Rechtezuweisung durch den Dienstleister (Missbrauch von Rechten)
- Einsatz von Mitarbeitern, die dem Auftraggeber nicht gemeldet wurden, z. B. bei Vertretungen
- Performance, Verfügbarkeit, Qualitätsniveau
- Datensicherung
-
Regelmäßige Abstimmungsrunden zu folgenden Punkten sind abzuhalten:
- Informationen müssen zwischen den Partnern ausgetauscht werden (z. B. Personalnachrichten, organisatorische Regelungen, Gesetzesänderungen, geplante Projekte, vorgesehene Tests und Systemänderungen, die zu Beeinträchtigungen der Dienstleistungsqualität führen können).
- Probleme müssen identifiziert und analysiert werden.
- Wichtig sind gegenseitiges Feedback und das Aufspüren von Verbesserungspotentialen. Zur Motivation der Mitarbeiter können besonders positive Beispiele einer gelungenen Kooperation dargestellt werden.
- Änderungsmanagement: Änderungswünsche (Hardware, Software, Ausweitung des Dienstleistungsportfolios, gestiegener Ressourcenbedarf etc.) sollten frühzeitig besprochen werden.
- Es müssen regelmäßige Übungen und Tests zu folgenden Themen durchgeführt werden:
- Reaktion auf Systemausfälle (Teilausfall, Totalausfall)
- Wiedereinspielen von Datensicherungen
- Beherrschung von Sicherheitsvorfällen
Ergänzende Kontrollfragen:
- Wurde ein Betriebskonzept für das Outsourcing-Vorhaben festgelegt?
- Enthält das Betriebskonzept Verfahren und Maßnahmen, die das gewünschte Sicherheitsniveau im laufenden Betrieb sicher stellen?
- Werden regelmäßig die notwendigen Kontrollen durchgeführt?
- Sind alle Sicherheitskonzepte noch aktuell?
- Gibt es eine regelmäßige Kommunikation zwischen den Vertragspartnern?