Des Weiteren ist der Commercial und Contract Manager Schnittstelle und Ansprechpartner für den Information Security Manager auf Seiten des Kunden.
ee) Gremien und Zuständigkeiten
284
Die Gremien im Rahmen der Vertragsbeziehung sollten von der Anzahl, vom Turnus und der Teilnehmerzahl im vertretbaren Rahmen gehalten werden. Eine effektive, zielgerichtete und pragmatische Durchführung sollte dabei im Vordergrund stehen.
285
Die für die Zusammenarbeit der Vertragsparteien maßgeblichen Gremien können sein:
| – |
IT Strategie Board, |
| – |
IT Management Board, |
| – |
Commercial und Contract Management Board, |
| – |
das Application und Release Management Board und |
| – |
Service Management Board. |
286
Das IT Strategie Board behandelt strategische Aspekte der Geschäftsbeziehung der beiden Vertragsparteien. Die Vertragsparteien benennen jeweils entscheidungsbefugte Vertreter zur Besetzung des Business und IT Strategie Boards. Die Vertreter gehören jeweils der entscheidungsbefugten Führungsebene der jeweiligen Vertragspartei an (Ebene Bereichsleitung und Geschäftsführung).
287
Das IT Management Board behandelt alle funktionalen und somit alle wirtschaftlichen und beziehungsrelevanten Fragen zur Serviceerbringung, Finanzen, Budgets, Innovationen, Technologie und Standards.
288
Das Commercial Management Board ist für die transparente Abrechnung der Services zwischen dem Kunden und dem Provider zuständig und liefert die finanziellen und vertraglichen Eckpunkte der Serviceplanung.
289
Das Application und Release Management Board ist das Leitungsorgan für alle Themen, Entscheidungen sowie erste Eskalationsinstanz bezüglich aller betriebenen Anwendungen und Applikationen des Providers und Eigenentwicklungen des Kunden. Es dient weiterhin der Abstimmung und des Verständnisses der Vertragsparteien hinsichtlich Release-Planung, Projektlandschaft, Systeme und Anwendungen sowie Architektur und Entwicklungsprozesse.
290
Das Service Management Board ist für die operative Steuerung und Abstimmung der Leistungserbringung, die Überwachung der ordnungsgemäßen Vertragsdurchführung sowie die mittel bis langfristige Abstimmung zwischen den Vertragsparteien zuständig.
291
Das Operational Meeting überwacht und steuert die operative Leistungserbringung. Im Rahmen des Operational Meetings sollte der aktuelle Status der Serviceerbringung dargestellt und bei Bedarf entsprechende Maßnahmen eingeleitet werden. Die Sicherstellung der definierten IT Service Prozesse (Standardprozesse) zur Erbringungen der einzelnen Services des Vertrags steht dabei im Vordergrund. Im Rahmen der Meetings sollten aufgetretene Incidents, nicht gelöste Probleme, Kapazitätsengpässe und anstehende Changes analysiert sowie entsprechende Lösungsmaßnahmen abgeleitet werden. Die terminliche Durchführung orientiert sich an den Bedürfnissen des Kunden. Generell sollte das Operational Meeting stattfinden, wenn eine Vertragspartei dies wünscht oder dies im Rahmen des Eskalationsverfahrens erforderlich werden sollte. Das Operational Meeting stellt die Eskalationsebene für Incident, Problem und Change Management dar.
292
Die IT-Sicherheit (englisch IT-Security) gewinnt bei zunehmender Informatisierung von Geschäftsprozessen im Unternehmen immer größere Bedeutung. Ihre Vernachlässigung führt zu Haftungsrisiken für das Unternehmen, für die Unternehmensleitung und für alle, die mit der IT-Security befasst sind – daher spielt die IT-Security eine wichtige Rolle auch in Outsourcing-Projekten.
293
IT-Security beschreibt den Zustand des Sicherseins vor Gefahren oder Schäden im Bereich der Informations- und Kommunikationstechnik. Um IT-Security herbeizuführen, müssen Risiken identifiziert und gemanagt werden. Ein Risiko ist eine Schadenserwartung, die sich mit gewisser Wahrscheinlichkeit realisieren kann. Die Größe des Risikos ist abhängig von dem Ausmaß des möglichen Schadensumfanges und der Eintrittswahrscheinlichkeit des zum Schaden führenden Ereignisses. Zur Erreichung der IT-Security kommt eine Vielzahl technischer, organisatorischer und rechtlicher Einzelmaßnahmen in Betracht. Maßnahmen wie auch Vorgehensmodelle zum IT-Risikomanagement sind beispielsweise im Grundschutzhandbuch des BSI (www.bsi.de/gshb) oder in dem Britischen Standard BS 7799 festgelegt.[298]
294
Informationssicherheit zielt auf den Schutz der Informationen und Daten, IT-Prozesse und IT-Systeme mittels Sicherheitsmaßnahmen. Diese können technischer, organisatorischer, personeller und infrastruktureller Natur sein. Informationssicherheit ist als integraler Bestandteil der Unternehmenspolitik aufzufassen und in geeigneter Weise in die Geschäftsprozesse zu integrieren.
295
Informationssicherheit ist der Oberbegriff zu IT-Sicherheit und versteht sich als Teil der Unternehmenssicherheit. Sie steht in Wechselwirkung mit anderen sicherheitsrelevanten Themen – insbesondere mit dem Datenschutz und Objektschutz.
296
Verletzungen der Informationssicherheit stellen keine Bagatell-Verletzung dar, sondern sind erhebliche Vertragsverletzungen und können in letzter Konsequenz eine außerordentliche Kündigung rechtfertigen.
297
Die Geschäftsprozesse der Kunden sind u.a. abhängig von:
| – |
Informationen/Daten (elektronisch und papiergebunden), |
| – |
IT-Prozessen (Kommunikations- und Datenverarbeitungsprozesse) und |
| – |
IT-Systemen (Kommunikations- und Datenverarbeitungssysteme). |
298
Diese beeinflussen maßgeblich den unternehmerischen Erfolg. Deren Sicherheit ist daher ein kritischer Erfolgsfaktor im Wettbewerb und somit ein wichtiges Unternehmensziel.
bb) Informationssicherheits-Managementsystem (ISMS) des Kunden
299
Für ein ISMS gibt es verschiedene Rahmenwerke. Ein sehr bedeutsames Rahmenwerk ist das Rahmenwerk „Sicherer IT-Betrieb“ des Informatikzentrums der Sparkassenorganisation (SIZ, Bonn). Dieses Rahmenwerk orientiert sich hauptsächlich an der ISO/IEC 27001 und 27002 der International Organization of Standardization (ISO, Genf) sowie den IT-Grundschutz-Standards des BSI.
300
Beim Outsourcing von bestimmten IT-Services muss der Provider in das ISMS des Kunden durch den Outsourcing-Vertrag wirksam eingebunden werden. Hierzu muss das ISMS des Kunden mit dem des Providers sinnvoll verbunden werden.
301
Der Provider muss selbst ein ISMS, welches sich z.B. am „Sicheren IT-Betrieb“, der ISO/IEC 27001 und 27002 oder dem IT-Grundschutz-Standard 100-1 orientiert. Eine echte Zertifizierung des Providers erfolgt i.d.R. nach diesem Standard nicht, sondern er verpflichtet sich vertraglich dazu, diese Standards einzuhalten. Diese Vorgehensweise wird vor allem von Providern präferiert, da diese die hohen Kosten und organisatorischen Aufwendungen scheuen.
302
Natürlich sollte dem Kunden (nach einer Nachbesserungsfrist) die Möglichkeit eingeräumt werden, den Outsourcing-Vertrag sofort zu kündigen (außerordentliches Kündigungsrecht), wenn der Provider diese Sicherheitsstandards nicht einhält.
dd) IT-Sicherheitsbeauftragter
303
Der Provider sollte einen geeigneten IT-Sicherheitsbeauftragten einsetzen, der das ISMS des Providers für die dem Kunden erbrachten IT-Services betreibt. Der IT-Sicherheitsbeauftragte des Providers sollte sich dabei mindestens einmal pro Woche zu einem Jour fixe mit dem Kunden treffen.
304
Der Provider sollte bei sicherheitsrelevanten Angelegenheiten den IT-Sicherheitsbeauftragten des Kunden – und soweit relevant zusätzlich den Datenschutzbeauftragten des Kunden – in seine Informations- und Entscheidungsprozesse mit einbeziehen.
Читать дальше