Ziel / Zweck
Beim Outsourcing lagert die Institution Geschäftsprozesse und Dienstleistungen ganz oder teilweise zu externen Dienstleistern (Outsourcing-Partnern) aus. Outsourcing kann die Nutzung und den Betrieb von Hard- und Software betreffen, wobei die Leistung in den Räumlichkeiten der Institution oder in einer externen Räumlichkeit des Dienstleisters erbracht werden kann. Typische Beispiele sind der Betrieb eines Rechenzentrums, einer Infrastruktur as a Service (IaaS), einer Plattform as a Service (PaaS), von Software as a Service (SaaS), von Anwendungen oder einer Webseite.
Unabhängig davon, was ausgelagert wird, bindet jede Auslagerung die Institution an den externen Dienstleister und dessen Dienstleistungsquantität sowie -qualität. Dieses Verhältnis ist insbesondere für die Institution nicht nur mit Chancen, sondern auch mit Risiken verbunden. Dazu gehören eine starke Abhängigkeit, der Verlust von eigenem Wissen sowie von Kontroll- und Steuerungsmöglichkeiten. Informationssicherheitsaspekte müssen daher während des kompletten Lebenszyklus einer Auslagerung angemessen berücksichtigt werden.
Ziel dieser Sicherheitsrichtlinie ist es, auf Basis der Vorgaben des BSI Bausteines OPS.2.1 "Outsourcing für Kunden" aus dem Kompendium 2020 sicherzustellen, dass alle Sicherheitsziele der Institution auch nach der Auslagerung von Geschäftsprozessen oder Dienstleistungen an einen Dienstleister erfüllt werden. Das vereinbarte Sicherheitsniveau soll trotz Outsourcing dauerhaft aufrechterhalten bzw. verbessert werden. Durch das Outsourcing dürfen keine unkontrollierbaren Risiken für die Institution hinsichtlich der Informationssicherheit, dem Datenschutz und dem Notfallmanagement entstehen. Den Schwerpunkt dieser Sicherheitsrichtlinie bilden Anforderungen, die im Rahmen jeder Phase eines Outsourcing-Vorhabens beachtet bzw. erfüllt werden sollten.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
