Empfehlungen für die Zusammenarbeit mit IT-Providern

Während insbesondere grössere Unternehmen häufig über eigene IT-Abteilungen verfügen, lagern viele kleinere Unternehmen diese Aufgaben aus. Stellen Sie sicher, dass die Zuständigkeiten zwischen Ihnen und dem IT-Dienstleistungsunternehmen bezüglich IT-Sicherheit klar geregelt sind. Dies betrifft insbesondere die technischen und organisatorischen Massnahmen. Legen Sie vertraglich fest, wie die Haftung in einem Schadenfall geregelt ist, wenn vereinbarte Sicherheitsmassnahmen nicht eingehalten wurden.

Orientieren Sie sich an den Mindestanforderungen

  • Bereits bei der Abnahme integrierter IT-Systeme sind Sicherheitsprüfungen durchzuführen.
  • Informieren Sie sich über relevante AGB und Vorgaben bei Inanspruchnahme von Informatikleistungen. Diese Vorgaben sollten Bestandteil der Vertragsverhältnisse zwischen Ihnen und den externen IT-Dienstleistungsunternehmen sein.
  • Die Geheimhaltungspflichten für Wartung und Betreuung von IKT-Systemen durch Dritte sind zu regeln und unnötiger Zugang zu besonders schützenswerten Personendaten ist nicht zu gestatten.
  • Abklärungen und Vereinbarungen sind auch mit dem jeweiligen Unternehmen für die Datenspeicherung (Cloudunternehmen) vorzunehmen und zu treffen.

Wahl des IKT-Dienstleistungsunternehmen

Zertifizierungen nach anerkannten Datenschutz- und Informationssicherheitsstandards oder Kontrollberichte von unabhängigen Dritten können bei der Auswahl des Unternehmens behilflich sein. Sie müssen nicht zwingend zertifizierte Partner auswählen. Empfehlenswert ist es, wenn IKT-Dienstleistungsunternehmen aufzeigen können, dass sie Ihren gestellten Anforderungen entsprechen sowie die von Ihnen geforderte Verfügbarkeit und Sicherheit gewährleisten können. Lassen Sie dies durch eine unabhängige Stelle prüfen oder bestätigen.

Führen Sie Sicherheitsaudits durch

Die Umsetzung der im Vertrag festgehaltenen Leistungen muss periodisch nach anerkannten Auditstandards, beispielsweise auf Basis COBIT (Control Objectives for Information and Related Technology, https://www.isaca.org/resources/cobit) der Information Systems Audit and Control Association (ISACA, https://www.isaca.org/), kontrolliert werden. Nehmen Sie dafür die Dienste unabhängiger Prüfstellen in Anspruch. Das IKT Dienstleistungsunternehmen kann auch ein sogenanntes ISAE 3402 Type 2 (International Standard on Assurance Engagements) machen lassen – auch bekannt als SOC-2-Bericht (Service Organization Control). Die Prüfstelle bewertet Aspekte von Sicherheit, Verfügbarkeit, Integrität und Vertraulichkeit.

Letzte Änderung 13.01.2021

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-unternehmen/aktuelle-themen/zusammenarbeit-it-provider.html