Sicherheitskonzept mit externer IT-Firma im Hause

Marco_8bd1e2 · 11. November 2019 um 09:50

Hallo WWWler,

folgendes Problem: Die IT-Abteilung wurde ausgegliedert und ist eine eigenständige Firma. Diese regelt alles (Passwörter, System-Monitoring und Support etc.). Kann ich diese Firma einfach in unser Sicherheitskonzept wie eine interne Abteilung integrieren oder muss ich in unserem Konzept auf diese Firma verweisen und dann für diese Firma ein großes eigenes Sicherheitskonzept schreiben?

Weiteres Problem: Wir haben zusätzlich noch einen Full-Service-Provider, der ebenfalls System-Monitoring, Support und zusätzlich IT-Housing macht. Die ausgegliederte Firma (IT-Abteilung) macht praktisch alles, was man intern machen kann. Was sonst nicht geht, geht an die große Providerfirma. Wie kann man das im Sicherheitskonzept gut darstellen?

Vielen Dank für Eure Hilfe schonmal.

Gruß
Marco

Thomas_Fischbach_ac0842 · 11. November 2019 um 09:51

Hallo Marco,

das hängt doch ausschließlich von Dir, von euch und den bestehenden Verträgen ab.

Ihr als Auftraggeber habt doch sicherlich „irgendwelche“ Vorgaben gemacht.

Leicht verwirrt!

Schönes Wochenende,

tf

Marco_8bd1e2 · 11. November 2019 um 09:51

Hallo,

naja so richtig gibt es da wohl keinen Vertrag…

Ich wollte es jetzt so machen, dass ich anfangs erkläre, dass beide Firma zur gleichen Holding gehören und somit die Firma als ausgelagerte IT-Firma zu verstehen ist.

Geht das?

Gruß
Marco

Little_H · 11. November 2019 um 09:51

Hy,

naja so richtig gibt es da wohl keinen Vertrag…

Dann ist Deine Frage eigentlich schon hinfällig! ERST Vertrag macen in dem mindestens drinsteht, das Passwörter nicht weitergegeben werden dürfen (vereinfach ausgedrückt!).

Ich wollte es jetzt so machen, dass ich anfangs erkläre, dass
beide Firma zur gleichen Holding gehören und somit die Firma
als ausgelagerte IT-Firma zu verstehen ist.

Wie jetzt?! gehören beide zum selben Firmenstamm? Besteht bereits ein Gesellschaftervertrag, Grundvertrag, SLA, etc.?!
Das hört sich mehr nach einer Recht-Frage an als eine IT-Sicherheitsfrage. Bitte dies erst entsprechend abklären.

Gruß
h.

Allesquatsch · 11. November 2019 um 09:52

Wie jetzt?! gehören beide zum selben Firmenstamm? Besteht
bereits ein Gesellschaftervertrag, Grundvertrag, SLA, etc.?!
Das hört sich mehr nach einer Recht-Frage an als eine
IT-Sicherheitsfrage. Bitte dies erst entsprechend abklären.

Hört sich wirklich grauslig an. Aber selbst wenn die gesellschaftsrechtliche Beziehung geklärt ist, sollte es eine vertragliche Beauftragung zur Datenhaltung geben (selbst bei 100% Töchtern).

Zwar sind die Aufsichtsbehörden nicht besonders aktiv, aber legal (z.B. im Sinne BDSG) ist diese Konstruktion mit Sicherheit nicht.

Ciao, Allesquatsch

Beabel · 11. November 2019 um 09:55

Hallo,
ich würde sagen, dass es erstmal für das Sicherheitskonzept egal ist, ob intern oder extern eine IT-Betreuung stattfindet.
Im Sicherheitskonzept wird festgelegt, wie Eure Daten zu behandeln sind, und dann wird ein Vertrag mit der IT-Firma aufgesetzt, wo drinsteht, dass sie Euer Sicherheitskonzept als Vorschrift beachten müssen und dementsprechend zu handeln haben.

Beatrix