[et_pb_section fb_built=“1″ theme_builder_area=“post_content“ _builder_version=“4.27.4″ _module_preset=“default“][et_pb_row _builder_version=“4.27.4″ _module_preset=“default“ theme_builder_area=“post_content“][et_pb_column _builder_version=“4.27.4″ _module_preset=“default“ type=“4_4″ theme_builder_area=“post_content“][et_pb_text _builder_version=“4.27.4″ _module_preset=“default“ theme_builder_area=“post_content“ hover_enabled=“0″ sticky_enabled=“0″]<\/p>\n
Wolpert Holding GmbH Schmalbachstra\u00dfe 26 D-74626 Bretzfeld
Telefon: +49 79 46 \/ 91 15 – 0 Telefax: +49 79 46 \/ 91 15 990
E-Mail: info@wolpert-gruppe.de
Internet: www.wolpert-holding.de
Anforderungen zur Informationssicherheit
FB 00.03.03 Rev. 02
Erstellt: QM Stand: 30.04.2021 Seite 2 von 3<\/p>\n
F\u00fcr die Wolpert Gruppe hat Informationssicherheit eine hohe Bedeutung.
Zur Einhaltung der notwendigen Informationssicherheitsstandards innerhalb der Wolpert Gruppe vereinbaren die Parteien in Erg\u00e4nzung zu den allgemeinen Einkaufsbedingungen die hier folgenden Anforderungen an die Informationssicherheit f\u00fcr alle Leistungen im Bereich der Informations- und Telekommunikationstechnologie.
Diese Anforderungen zum Prototypenschutz gelten grunds\u00e4tzlich f\u00fcr Unternehmen, die von der Wolpert Gruppe oder deren Kunden f\u00fcr einen Auftrag vorgesehen sind, f\u00fcr den der Austausch von Informationen notwendig ist. Grunds\u00e4tzliche Voraussetzung daf\u00fcr ist, dass ein Unternehmen der Wolpert Gruppe mit dem Auftragnehmer eine Geheimhaltungsvereinbarung schlie\u00dft. <\/p>\n
1. Allgemeines zur Leistungserbringung<\/strong> 1. Bei der Leistungserbringung ist sicherzustellen, dass der allgemeine Stand der Technik eingehalten wird. Dies umfasst die Einhaltung der einschl\u00e4gigen DIN-Normen, Datenschutzvorschriften und entsprechender internationaler und europ\u00e4ischer Normen (z.B. DIN ISO, DIN EN) als Mindeststandard. Leistungen sind so zu erbringen, dass sie der Einhaltung der Informationssicherheitsstandards durch den Auftraggeber nicht entgegenstehen.<\/p>\n 2. Bei Leistungen im Betrieb des Auftraggebers hat der Auftragnehmer dort geltende Sicherheitsvorschriften und Informationsrichtlinien einzuhalten, die ihm der Auftraggeber auf Anfrage zur Verf\u00fcgung stellt. Bei Zugriff auf Informations- und Telekommunikationstechnologie des Auftraggebers hat der Auftragnehmer die daf\u00fcr geltenden Informationssicherheitsrichtlinien und die nachfolgende Regelung strikt zu beachten, insbesondere auch bei Fernzugriffen (Remote-Zugriff). 3. Bei einem Einsatz von IT-Systemen des Auftragnehmers m\u00fcssen diese \u00fcber die folgenden Basis-Sicherheitsma\u00dfnahmen verf\u00fcgen: 1. Bei Vertragsbeendigung enden gleichzeitig Zugangsberechtigungen f\u00fcr Personal des Auftragnehmers zu Systemen und zum Betriebsgel\u00e4nde des Auftraggebers. Daf\u00fcr bereitgestellte Ausweise und sonstige zur Authentifizierung zur Verf\u00fcgung gestellten Gegenst\u00e4nde werden dem Auftraggeber unaufgefordert zur\u00fcckgegeben.<\/p>\n 2. Durch den Auftragnehmer sind Lieferungen und Leistungen, insbesondere elektronisch (z.B. via Email oder Datentransfer) \u00fcbertragene Lieferungen und Leistungen, sowie s\u00e4mtliche im Rahmen der Leistung eingesetzten Datentr\u00e4ger auf Schadsoftware (z.B. Trojaner, Viren, Spyware usw.), unter Verwendung aktuellster Pr\u00fcf- und Analyseverfahren zu pr\u00fcfen und hierdurch die Freiheit von Schadsoftware sicherzustellen. Wird Schadsoftware erkannt, darf der Datentr\u00e4ger nicht eingesetzt werden. Erkennt der Auftragnehmer beim Auftraggeber Schadsoftware, wird er den Auftraggeber unverz\u00fcglich dar\u00fcber informieren. Die gleichen Verpflichtungen gelten f\u00fcr jede Form der elektronischen Kommunikation.<\/p>\n 3. Der Auftragnehmer verpflichtet sich, alle Informationen und Daten des Auftraggebers nach dem Stand der Technik sofort wirksam gegen unberechtigten Zugriff, Ver\u00e4nderung, Zerst\u00f6rung oder Verlust, unerlaubter Verarbeitung und sonstigen Missbrauch zu sichern. Bei der Sicherung von Auftraggeber-Daten sind s\u00e4mtliche Vorkehrungen und Ma\u00dfnahmen nach dem aktuellen Stand der Technik zu beachten, um jederzeit Datenbest\u00e4nde verlust- und rechtssicher zu archivieren und wiederherzustellen.<\/p>\n 4. Die Informationen und Daten des Auftraggebers d\u00fcrfen vom Auftragnehmer nur f\u00fcr die vertraglich vereinbarten Zwecke und soweit dies zur Vertragserf\u00fcllung erforderlich ist genutzt werden. Bei Verarbeitung von Daten verschiedener Auftraggeber ist deren Trennung nachpr\u00fcfbar zu gew\u00e4hrleisten (Mandantentrennung). FB 00.03.03 Rev. 02 2. Kontrollrechte<\/strong> 2. Ist der Auftragnehmer ISO 27001 bzw. BSI Grundschutz zertifiziert, oder verf\u00fcgt er \u00fcber ein g\u00fcltiges TISAX Label, dient dies als Nachweis f\u00fcr die Einhaltung der hier beschriebenen Vorschriften. Dazu m\u00fcssen alle f\u00fcr die Leistungserbringung relevanten Standorte, Prozesse, Organisationseinheiten und IT-Systeme im Anwendungsbereich der Zertifizierung enthalten sein. Ein Nachweis ist dem Auftraggeber auf Anfrage unverz\u00fcglich zu \u00fcbergeben.<\/p>\n 3. S\u00e4mtliche erbrachten Leistungen und damit zusammenh\u00e4ngende T\u00e4tigkeiten sind vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zur Verf\u00fcgung zu stellen.<\/p>\n 4. Verhalten bei Vorf\u00e4llen
Informationssicherheit bedeutet, dass in allen Prozessen in denen Informations- und Telekommunikationstechnik eingesetzt wird, ein angemessenes Ma\u00df an Integrit\u00e4t, Verf\u00fcgbarkeit und Vertraulichkeit von Daten und Systemen nach aktuellem Stand der Technik gew\u00e4hrleistet wird. Dazu stellt der Auftragnehmer die nachfolgenden Punkte sicher.<\/p>\n
a. Eine Verarbeitung von Daten im Remotezugriff erfolgt nur, soweit dies im zugrundeliegenden Leistungsvertrag vereinbart oder geregelt ist. Hierunter fallen ebenfalls T\u00e4tigkeiten bei denen Daten von einem System in ein anderes migriert werden.<\/p>\n
\uf0b7 Die IT-Systeme m\u00fcssen \u00fcber die notwendigen Lizenzen verf\u00fcgen.
\uf0b7 Die IT-Systeme m\u00fcssen ausreichend vor Schadsoftware gesch\u00fctzt sein. Es ist eine Endpoint-Protection zu verwenden, der eine tagesaktuelle Versorgung mit Updates gew\u00e4hrleistet.
\uf0b7 Die Betriebssysteme auf den IT-Systemen m\u00fcssen dem jeweils aktuellen Stand von Sicherheitsupdates des jeweiligen Betriebssystemanbieters entsprechen. Es sind nur Betriebssysteme zu verwenden, die vom Hersteller noch unterst\u00fctzt und gepflegt werden.<\/p>\n
Anforderungen zur Informationssicherheit<\/p>\n
Erstellt: QM Stand: 30.04.2021 Seite 3 von 3<\/p>\n
1. Der Auftraggeber ist dazu berechtigt, die Einhaltung der Vorschriften aus dieser Vereinbarung im erforderlichen Umfang in Form von Audits zu kontrollieren. Der Auftragnehmer gew\u00e4hrt dazu dem Auftraggeber nach Absprache, ungehinderten Zutritt, Zugang und Zugriff zu informationsverarbeitenden Systemen, Programmen, Dateien und Informationen, die mit der Durchf\u00fchrung der T\u00e4tigkeiten in Verbindung stehen. Dem Auftraggeber sind durch den Auftragnehmer alle Ausk\u00fcnfte zu erteilen, die zur Erf\u00fcllung der Kontrollfunktion ben\u00f6tigt werden.<\/p>\n
<\/strong>1. Der Auftragnehmer wird den Auftraggeber unverz\u00fcglich informieren, falls durch Pf\u00e4ndung, Beschlagnahme oder sonstigen beh\u00f6rdlichen Zugriff, in einem Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Ma\u00dfnahmen Dritter die Gefahr besteht, dass nicht berechtigte Personen auf Daten von Unternehmen der Wolpert Gruppe zugreifen. Der Auftragnehmer wird die Dritten dar\u00fcber informieren, dass es sich um Daten von Unternehmen der Wolpert Gruppe handelt.
2. Der Auftragnehmer hat den Auftraggeber bei Kenntniserlangen oder begr\u00fcndetem Verdacht auf Datenschutz-verletzungen, Sicherheitsverletzungen und anderen Manipulationen des Verarbeitungsablaufs, die Wolpert-Daten betreffen, unverz\u00fcglich zu informieren und sofort \u2013 in Abstimmung mit dem Auftraggeber \u2013 alle erforderlichen Schritte zur Aufkl\u00e4rung des Sachverhalts und zur Schadensbegrenzung einzuleiten. Die Meldung hat per E-Mail oder per Telefon (sofern E-Mail nicht m\u00f6glich ist) zu erfolgen. Auch bei Verdacht ist umgehend eine Meldung durchzuf\u00fchren.<\/p>\n