Mikael’s Expertenwissen zur Sicherheit in der Informationstechnik im Outsourcing

Wenn Sie ein neues System beschaffen, denken Sie bei der Auswahl logischerweise an Benutzerfreundlichkeit, Anpassungsfähigkeit und Übereinstimmung mit Ihren internen Prozessen. Was für zukünftige Systembenutzer möglicherweise nicht so offensichtlich ist, ist der Aspekt der Sicherheit. Bevor Sie mit der Beschaffung beginnen, müssen Sie die Anforderungen an die Informationssicherheit definieren und sicherstellen, dass ein potenzieller Systemanbieter diese erfüllen kann.

Mikael Söderberg arbeitet bei Telia im Bereich Informationssicherheit und leitet das CIS-Sicherheitsteam. Er verfügt über fundierte Erfahrung mit Anforderungen an die Informationssicherheit sowohl aus Beschaffungs- als auch aus Lieferantensicht. Jetzt hat er einen Gast-Blogbeitrag geschrieben, um herauszufinden, wie wir die Sicherheit bei der Beschaffung eines Systems wie Telia ACE am besten angehen können.

Beginnen Sie mit der Klassifizierung und Risikoanalyse

Vereinfacht gesagt, geht es bei der Informationssicherheit darum, sicherzustellen, dass Sie das richtige Schutzniveau für Ihre verschiedenen Informationstypen haben. Der vollumfängliche Schutz jedweder Informationen in einem Unternehmen wäre kaum möglich und sicherlich wirtschaftlich nicht sinnvoll. Vielmehr geht es darum herauszufinden, welche Informationen geschützt werden müssen. In der Praxis bedeutet dies, dass nur befugte Personen auf die Informationen zugreifen können, dass die Daten immer korrekt sind und dass sie verfügbar sind, wenn sie benötigt werden. Um zu bewerten, welches Schutzniveau das Richtige ist, müssen Sie zunächst Ihre Informationen klassifizieren.

Die Klassifizierung von Informationen ist die Grundlage für eine gute Informationssicherheit und ein Prozess, bei dem Sie definieren, welche Informationen in welcher Hinsicht und auf welcher Ebene geschützt werden sollten. Einige Daten dürfen beispielsweise unter keinen Umständen in die falschen Hände geraten und andere Informationen müssen immer verfügbar sein.

Nach der Klassifizierung besteht ein natürlicher nächster Schritt darin, eine oder mehrere Risikoanalysen durchzuführen, um zu bewerten, welche Risiken mit der Übergabe dieser Informationen an einen externen Partner verbunden sind und vor welchen Risiken die Informationen während der Vertragslaufzeit geschützt werden müssen.

Entwickeln Sie klare, systematische Anforderungen für die Informationssicherheit und den Umgang mit Daten

Nach der Klassifizierung und Risikoanalyse beginnt die Arbeit zur Feststellung der tatsächlichen Anforderungen. Hier empfehle ich, dem Lieferanten klare und umsetzbare Anforderungen zu liefern, zusammen mit Ihrer Einschätzung, was erforderlich ist, damit die Informationen sicher verarbeitet werden können. Da Compliance ein wesentlicher Bestandteil der Informationssicherheit ist, kann es auch sinnvoll sein, den Lieferanten nach einer ISO-Zertifizierung zu fragen. Alternativ können Sie Fragen stellen, um herauszufinden, ob der Lieferant entsprechenden Leitlinien in der Informationssicherheit folgt. Fragen Sie auch nach einem Einblick in das System des potentiellen Lieferanten zur Klassifizierung von Informationen und vergleichen Sie, wie gut es mit Ihrer internen Arbeitsweise übereinstimmt.

Für uns als Lieferant gibt es uns auch die Möglichkeit, den Kunden zu informieren, wenn wir der Meinung sind, dass eine bestimmte Art von Informationen nicht in unser System gehört. Beispielsweise verarbeiten wir keine sensiblen persönlichen Daten wie Gewerkschaftsmitgliedschaft oder Religionszugehörigkeit in Telia ACE.

Bevor Sie ein Vertrag unterzeichnen, ist es auch wichtig, einen Plan für den zukünftigen Lieferantenwechsel zu haben. Sie müssen in der Lage sein, die Verwaltung der ausgelagerten Funktion zurückzunehmen und die Hoheit über Ihre Daten zurückzubekommen, ohne operativ Probleme zu generieren.

Stellen Sie sicher, dass Ihr Lieferant (zumindest) personenbezogene Daten genauso behandelt wie Sie

Sorgen Sie dafür, dass Sie mit dem Lieferanten eine Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) unterzeichnen, um sicherzustellen, dass die vom Lieferanten verarbeiteten personenbezogenen Daten genauso geschützt werden, wie Sie es selbst getan hätten. Wenn der Lieferant Subunternehmer einsetzt, müssen auch diese die festgelegten Anforderungen an die Informationssicherheit erfüllen.

Dokumentieren Sie den Prozess,  wie der Lieferant in Zusammenarbeit mit Ihnen, die Rechte des Betroffenen wahrt, d.h. das Recht, Daten zu korrigieren, zu löschen oder die Verarbeitung einschränken zu lassen oder seine Daten zu entfernen oder zu verschieben. Klären Sie auch die Richtlinien für den Umgang von Sicherheitsvorfällen und wie Sie über einen aufgetretenen Sicherheitsvorfall informiert werden.

Binden Sie die Profis ein

Es hilft, wenn die Abteilung für Informationssicherheit frühzeitig in den Beschaffungsprozess einbezogen wird. Die Anforderungen, die Sie Ihrem Lieferanten stellen, sollten Ihre internen Anforderungen sowie die externen Anforderungen widerspiegeln, denen Sie beispielsweise von Behörden und Gesetzen unterliegen. Als Lieferant möchten wir lieber früher als später die Anforderungen unserer Kunden kennen, um sie in Ruhe und methodisch bewerten zu können.

Wir sind hier, um über Sicherheit zu sprechen

Wenn Sie im Begriff sind Daten nach außen zu geben, gibt es viel zu beachten. Wir von Telia sind als Lieferant bestens darauf eingestellt; wir verfügen beispielsweise über eine gut ausgestattete Abteilung für Informationssicherheit und sind nach ISO 27001 zertifiziert sind. Zudem stellen wir immer eine zentrale Anlaufstelle für Sicherheitsfragen zur Verfügung; eine Person, die sich in der Umgebung des Kunden gut auskennt. Wir betrachten den Umgang mit Informationen als unser Kerngeschäft und Informationssicherheit gehört zu den wichtigsten unserer Themen.

Mikael Söderberg – Telia

 

The following two tabs change content below.
Mikael Soederberg

Mikael Soederberg

… arbeitet bei Telia im Bereich Informationssicherheit und leitet das CIS-Sicherheitsteam. Er verfügt über fundierte Erfahrung mit Anforderungen an die Informationssicherheit sowohl aus Beschaffungs- als auch aus Lieferantensicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.