computerwoche.de

IT-Services

Outsourcing

Die IT-Sicherheit obliegt dem Anwender

18.05.2009
Von Alexander Hoffmann

Sicher in acht Schritten

1. Sicherheitsanalyse

  • Abgrenzung des auszulagernden Gegenstandes;

  • Erhebung von projektrelevanten Basisinformationen;

  • Business Impact Analyse (BIA);

  • Risikoanalyse der aktuellen Sourcing-Situation;

  • Definition der Sicherheitsstrategie.

2. Sicherheitsanforderungen:

  • IT-Strukturanalyse des Outsourcing-Gegenstands;

  • kKassifikation des Schutzbedarfs für alle IT-Komponenten;

  • Definition der Sicherheitsanforderungen.

3. Auswahl des Outsourcers

  • Request For Information (RFI) und Request For Proposal (RFP);

  • Due Diligence Audit für Informationssicherheit;

  • Risikoanalyse für bestimmte Outsourcing-Situationen;

  • Auswahl des Dienstleisters.

4. Vertragsgestaltung

  • Definition der Security-SLAs und geregelten Vertragsbeendigung;

  • Formulierung der Leistungsanforderungen und deren Kontrolle;

  • Vertragsverhandlungen und -abschluss.

5. Sicherheitskonzept

  • Konzept und Abstimmung der Absicherungsmaßnahmen.

6. Migration gemäß Sicherheitskonzept

  • Bildung eines Teams zum Management der Informationssicherheit;

  • Umsetzung der organisatorischen und technischen Vorgaben;

  • Abnahmetest und Übergang zum Regelbetrieb.

7. Aufrechterhaltung des sicheren Betriebs

  • Messparameter und Kontrollindikatoren;

  • regelmäßiges Monitoring und Audits;

  • Sicherheitskontrolle im Change-Management;

  • Analyse, Eskalation und Verbesserung von Schwachstellen.

8. Sichere Beendigung des -Projekts

  • Aufrechterhalten des Sicherheitsniveaus beim Übergang auf einen anderen Dienstleister oder beim Insourcing.

(sp)