Handbuch IT-Outsourcing. Joachim Schrey
280
Des Weiteren ist der Commercial und Contract Manager Schnittstelle und Ansprechpartner für die folgenden ITIL-Rollen auf Seiten des Kunden:
– | Financial Manager und |
– | Order Manager. |
dd) Security Manager
281
Der Security Manager ist auf Seiten des Kunden die zuständige Rolle für das IT Sicherheitsmanagement gegenüber dem Provider. Er vertritt und steuert im Auftrag die Sicherheitsanforderungen des Kunden. Der Security Manager des Kunden ist bei allen sicherheitsrelevanten Ereignissen des IT Betriebes einzuschalten.
282
Zuständigkeiten des Security Managers sind insbesondere:
– | Erstellung, Etablierung und Steuerung von Sicherheitsanforderungen des Kunden, |
– | Weisungsbefugnis in allen Fragen der Informationssicherheit gegenüber dem Provider, |
– | Klärung und Reporting von Sicherheitsvorfällen, |
– | Überprüfung und Vorgabe Datenschutz und Datenklassifizierung ggf. unter Einbeziehung des Datenschutzbeauftragten des Kunden |
– | Koordination von Security-Audits beim Provider, wie z.B.: – Überprüfung der Umsetzung und sicheren Anwendung der vereinbarten Maßnahmen bezüglich der IT-Sicherheit und des § 203 StGB und § 9 BDSG konformen Betriebs, – Abstimmung der Maßnahmen zur IT-Sicherheit und des § 203 StGB und § 9 BDSG konformen Betriebs mit dem Provider, – Security-Audits gemäß des ISO 27001, – Security Audits gemäß IT-Grundschutz-Katalog des BSI und – Prüfung gemäß Organisationsanweisungen des Kunden. |
283
Des Weiteren ist der Commercial und Contract Manager Schnittstelle und Ansprechpartner für den Information Security Manager auf Seiten des Kunden.
ee) Gremien und Zuständigkeiten
284
Die Gremien im Rahmen der Vertragsbeziehung sollten von der Anzahl, vom Turnus und der Teilnehmerzahl im vertretbaren Rahmen gehalten werden. Eine effektive, zielgerichtete und pragmatische Durchführung sollte dabei im Vordergrund stehen.
285
Die für die Zusammenarbeit der Vertragsparteien maßgeblichen Gremien können sein:
– | IT Strategie Board, |
– | IT Management Board, |
– | Commercial und Contract Management Board, |
– | das Application und Release Management Board und |
– | Service Management Board. |
286
Das IT Strategie Board behandelt strategische Aspekte der Geschäftsbeziehung der beiden Vertragsparteien. Die Vertragsparteien benennen jeweils entscheidungsbefugte Vertreter zur Besetzung des Business und IT Strategie Boards. Die Vertreter gehören jeweils der entscheidungsbefugten Führungsebene der jeweiligen Vertragspartei an (Ebene Bereichsleitung und Geschäftsführung).
287
Das IT Management Board behandelt alle funktionalen und somit alle wirtschaftlichen und beziehungsrelevanten Fragen zur Serviceerbringung, Finanzen, Budgets, Innovationen, Technologie und Standards.
288
Das Commercial Management Board ist für die transparente Abrechnung der Services zwischen dem Kunden und dem Provider zuständig und liefert die finanziellen und vertraglichen Eckpunkte der Serviceplanung.
289
Das Application und Release Management Board ist das Leitungsorgan für alle Themen, Entscheidungen sowie erste Eskalationsinstanz bezüglich aller betriebenen Anwendungen und Applikationen des Providers und Eigenentwicklungen des Kunden. Es dient weiterhin der Abstimmung und des Verständnisses der Vertragsparteien hinsichtlich Release-Planung, Projektlandschaft, Systeme und Anwendungen sowie Architektur und Entwicklungsprozesse.
290
Das Service Management Board ist für die operative Steuerung und Abstimmung der Leistungserbringung, die Überwachung der ordnungsgemäßen Vertragsdurchführung sowie die mittel bis langfristige Abstimmung zwischen den Vertragsparteien zuständig.
291
Das Operational Meeting überwacht und steuert die operative Leistungserbringung. Im Rahmen des Operational Meetings sollte der aktuelle Status der Serviceerbringung dargestellt und bei Bedarf entsprechende Maßnahmen eingeleitet werden. Die Sicherstellung der definierten IT Service Prozesse (Standardprozesse) zur Erbringungen der einzelnen Services des Vertrags steht dabei im Vordergrund. Im Rahmen der Meetings sollten aufgetretene Incidents, nicht gelöste Probleme, Kapazitätsengpässe und anstehende Changes analysiert sowie entsprechende Lösungsmaßnahmen abgeleitet werden. Die terminliche Durchführung orientiert sich an den Bedürfnissen des Kunden. Generell sollte das Operational Meeting stattfinden, wenn eine Vertragspartei dies wünscht oder dies im Rahmen des Eskalationsverfahrens erforderlich werden sollte. Das Operational Meeting stellt die Eskalationsebene für Incident, Problem und Change Management dar.
c) IT Security
292
Die IT-Sicherheit (englisch IT-Security) gewinnt bei zunehmender Informatisierung von Geschäftsprozessen im Unternehmen immer größere Bedeutung. Ihre Vernachlässigung führt zu Haftungsrisiken für das Unternehmen, für die Unternehmensleitung und für alle, die mit der IT-Security befasst sind – daher spielt die IT-Security eine wichtige Rolle auch in Outsourcing-Projekten.
aa) Grundlagen
293
IT-Security beschreibt den Zustand des Sicherseins vor Gefahren oder Schäden im Bereich der Informations- und Kommunikationstechnik. Um IT-Security herbeizuführen, müssen Risiken identifiziert und gemanagt werden. Ein Risiko ist eine Schadenserwartung, die sich mit gewisser Wahrscheinlichkeit realisieren kann. Die Größe des Risikos ist abhängig von dem Ausmaß des möglichen Schadensumfanges und der Eintrittswahrscheinlichkeit des zum Schaden führenden Ereignisses. Zur Erreichung der IT-Security kommt eine Vielzahl technischer, organisatorischer und rechtlicher Einzelmaßnahmen in Betracht. Maßnahmen wie auch Vorgehensmodelle zum IT-Risikomanagement sind beispielsweise im Grundschutzhandbuch des BSI (www.bsi.de/gshb) oder in dem Britischen Standard BS 7799 festgelegt.[298]