Fernzugriffsvereinbarung: Unterschied zwischen den Versionen
Dirk (Diskussion | Beiträge) K (→Definitionen) |
Dirk (Diskussion | Beiträge) KKeine Bearbeitungszusammenfassung |
||
(3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
{{#seo: | {{#seo: | ||
|title=Mustervorlage Fernzugriffsvereinbarung | |title=Mustervorlage Fernzugriffsvereinbarung | ||
|keywords=ISMS,IT-Grundschutz,Muster,Vorlage,Beispiel,Fernzugriffsvereinbarung,NDA,Dienstleister,Lieferanten | |keywords=ISMS,IT-Grundschutz,Muster,Vorlage,Beispiel,Fernzugriffsvereinbarung,NDA,Dienstleister,Lieferanten | ||
|description=Mustervorlage für eine Fernzugriffs-/Fernwartungsvereinarung für externe IT-Dienstleister und Wartungsfirmen. | |description=Mustervorlage für eine Fernzugriffs-/Fernwartungsvereinarung für externe IT-Dienstleister und Wartungsfirmen. | ||
}} | }}{{SHORTDESC:Mustervorlage einer Ferzugriffsvereinbarung}} | ||
Die Fernzugriffsvereinbarung regelt die Bedingungen und Verpflichtungen für den Fernzugriff von IT-Dienstleistern auf die Systeme und Daten einer Organisation. Sie umfasst Sicherheitsanforderungen, Datenschutzbestimmungen, Pflichten der Auftragnehmenden und Vorgaben zur Überwachung und Dokumentation der Fernzugriffe, um die Integrität und Vertraulichkeit der IT-Systeme zu gewährleisten. | |||
== Fernzugriffsvereinbarung für IT-Dienstleister == | == Fernzugriffsvereinbarung für IT-Dienstleister == | ||
Zeile 38: | Zeile 37: | ||
=== Genehmigung und Überwachung des Fernzugriffs === | === Genehmigung und Überwachung des Fernzugriffs === | ||
Der Fernzugriff auf die IT-Systeme der Organisation durch den IT-Dienstleister bedarf der ausdrücklichen Genehmigung durch die Organisation. Diese Genehmigung kann schriftlich oder elektronisch erfolgen. | Der Fernzugriff auf die IT-Systeme der Organisation durch den IT-Dienstleister bedarf der ausdrücklichen Genehmigung durch die Organisation. Diese Genehmigung kann schriftlich oder elektronisch erfolgen''.'' | ||
Zugriffszeiten | ''<Regelung der Zugriffszeiten.>'' | ||
Die Organisation behält sich das Recht vor, den Fernzugriff jederzeit zu überprüfen und zu überwachen, um die Einhaltung dieser Vereinbarung sicherzustellen. Dies kann durch technische Maßnahmen wie Protokollierung von Zugriffen und Überwachung von Aktivitäten erfolgen | Die Organisation behält sich das Recht vor, den Fernzugriff jederzeit zu überprüfen und zu überwachen, um die Einhaltung dieser Vereinbarung sicherzustellen. Dies kann durch technische Maßnahmen wie Protokollierung von Zugriffen und Überwachung von Aktivitäten erfolgen | ||
Zeile 74: | Zeile 73: | ||
=== Salvatorische Klausel === | === Salvatorische Klausel === | ||
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder sollte dieser Vertrag Lücken enthalten, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung oder zur Ausfüllung der Lücke ist diejenige wirksame Bestimmung zu vereinbaren, die dem Sinn und Zweck der unwirksamen Bestimmung entspricht oder am nächsten kommt. | Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder sollte dieser Vertrag Lücken enthalten, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung oder zur Ausfüllung der Lücke ist diejenige wirksame Bestimmung zu vereinbaren, die dem Sinn und Zweck der unwirksamen Bestimmung entspricht oder am nächsten kommt. | ||
Aktuelle Version vom 3. August 2024, 07:09 Uhr
Die Fernzugriffsvereinbarung regelt die Bedingungen und Verpflichtungen für den Fernzugriff von IT-Dienstleistern auf die Systeme und Daten einer Organisation. Sie umfasst Sicherheitsanforderungen, Datenschutzbestimmungen, Pflichten der Auftragnehmenden und Vorgaben zur Überwachung und Dokumentation der Fernzugriffe, um die Integrität und Vertraulichkeit der IT-Systeme zu gewährleisten.
Fernzugriffsvereinbarung für IT-Dienstleister
zwischen
<Dienstleister, Anschrift>
(nachfolgend "Auftragnehmer“ genannt)
und
<Organisation, Anschrift>
(nachfolgend "Auftraggeber“ genannt)
Der Auftraggeber beabsichtigt den Auftragnehmer mit der Erbringung von IT-Dienstleistungen im Rahmen von Fernzugriffen oder Fernwartungen zu beauftragen.
Zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme des Auftraggebers hat der Auftragnehmer vor Erhalt der Zugriffsberechtigung diese Fernzugriffsvereinbarung zu unterzeichnen.
Zweck der Vereinbarung
Diese Vereinbarung regelt die Bedingungen und Verpflichtungen für den Fernzugriff von IT-Dienstleistern auf die Systeme und Daten der Organisation zur Erbringung von IT-Services. Sie soll sicherstellen, dass der Fernzugriff sicher, zuverlässig und datenschutzkonform erfolgt.
Definitionen
Organisation: Die Organisation [Name der Organisation].
IT-Dienstleister: Das Unternehmen oder die Einzelperson, die von der Organisation beauftragt wurde, IT-Services zu erbringen, einschließlich Fernzugriff und Fernwartung.
Fernzugriff: Zugriff auf die IT-Systeme der Organisation von einem entfernten Standort aus.
Fernwartung: Die Möglichkeit, IT-Systeme der Organisation remote zu warten, zu konfigurieren oder zu reparieren.
Genehmigung und Überwachung des Fernzugriffs
Der Fernzugriff auf die IT-Systeme der Organisation durch den IT-Dienstleister bedarf der ausdrücklichen Genehmigung durch die Organisation. Diese Genehmigung kann schriftlich oder elektronisch erfolgen.
<Regelung der Zugriffszeiten.>
Die Organisation behält sich das Recht vor, den Fernzugriff jederzeit zu überprüfen und zu überwachen, um die Einhaltung dieser Vereinbarung sicherzustellen. Dies kann durch technische Maßnahmen wie Protokollierung von Zugriffen und Überwachung von Aktivitäten erfolgen
Pflichten des Auftragnehmers
Arbeitsprotokoll
Alle Fernwartungsvorgänge müssen dokumentiert werden. Dabei ist zumindest Anfang und Ende der Fernwartung sowie die Beteiligten festzuhalten. Wenn auf dem gewarteten IT-System niemand die Fernzugriffe beobachten kann, müssen alle Tätigkeiten bei der Durchführung der Fernwartung auf dem zu wartenden IT-System protokolliert werden.
Diese Dokumentation ist der Organisation nach Abschluss der Arbeiten, bei längeren Arbeiten monatlich zu übergeben.
(Ggf. Dokumentation in einem Ticketsystem falls vorhanden)
Sicherheitsanforderungen
- Der IT-Dienstleister verpflichtet sich, angemessene Sicherheitsmaßnahmen zu ergreifen, um unbefugten Zugriff auf die IT-Systeme der Organisation zu verhindern. Dazu gehören regelmäßige Updates von Software und Sicherheitspatches sowie die Implementierung von Firewalls und Antivirenprogrammen.
- Der IT-Dienstleister darf Zugangsdaten oder Zugriffsinformationen nicht an Dritte weitergeben oder offenlegen. Alle Zugriffe müssen individuell autorisiert und nachverfolgbar sein.
- Der IT-Dienstleister ist verpflichtet, alle Sicherheitsrichtlinien und -verfahren der Organisation einzuhalten, insbesondere hinsichtlich Passwortrichtlinien, Verschlüsselung und Zugriffskontrolle. Bei Identifizierung von Sicherheitslücken oder Schwachstellen sind diese unverzüglich der Organisation zu melden.
- Sicherheitsvorfallmanagement (Meldung von Sicherheitsvorfällen)
Datenschutz und Vertraulichkeit
- Der IT-Dienstleister ist verpflichtet, sämtliche Daten der Organisation vertraulich zu behandeln und nur gemäß den Anweisungen der Organisation zu verwenden. Dies schließt auch die Einhaltung der geltenden Datenschutzgesetze ein, wie etwa der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union.
- Jegliche Daten, die während des Fernzugriffs übertragen oder eingesehen werden, unterliegen den Datenschutzbestimmungen der Organisation und dürfen nicht ohne Genehmigung der Organisation weitergegeben oder für andere Zwecke verwendet werden. Die Daten der Organisation sind strikt getrennt von anderen Daten des Dienstleisters oder anderer Kunden des Dienstleisters zu halten.
- Vertraulichkeitserklärung
Haftung
Die Parteien vereinbaren, dass der IT-Dienstleister für Schäden oder Verluste, die durch nicht autorisierte Handlungen oder Fahrlässigkeit verursacht werden, haftbar gemacht werden kann. Dies gilt jedoch nicht für Schäden, die auf Handlungen oder Unterlassungen der Organisation zurückzuführen sind.
Laufzeit und Kündigung
Diese Vereinbarung tritt am [Datum] in Kraft und bleibt in Kraft, bis sie von einer der Parteien gekündigt wird. Jede Partei kann die Vereinbarung durch schriftliche Mitteilung mit einer Frist von [Anzahl] Tagen kündigen. Nach Beendigung der Vereinbarung hat der IT-Dienstleister unverzüglich alle Zugriffsrechte zu den IT-Systemen der Organisation zu beenden und alle relevanten Zugriffsinformationen zu löschen oder zurückzugeben.
Salvatorische Klausel
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder sollte dieser Vertrag Lücken enthalten, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen Bestimmung oder zur Ausfüllung der Lücke ist diejenige wirksame Bestimmung zu vereinbaren, die dem Sinn und Zweck der unwirksamen Bestimmung entspricht oder am nächsten kommt.
Firmenstempel Ort, Datum Unterschrift (Auftragnehmer)