In IT-Organisationen ist eine bevorstehende Prüfung oder ein anstehendes Audit häufig der Auslöser, sich „nun endlich einmal“ mit dem Thema Dokumentation zu …
USE CASES
IT-Dokumentation für Outsourcing & Cloud-Services
Bei Outsourcing-Projekten liegt das Augenmerk zumeist auf dem Outsourcing-Vertrag und den Verarbeitungstätigkeiten sowie den damit verbundenen Dokumenten. In Hinblick auf die Betriebsdokumentation herrscht beim Outsourcing von IT-Services bei vielen Auftraggebern jedoch das Prinzip Hoffnung: Der Dienstleister wird die notwendige Dokumentation schon erstellen.
Anforderungen an die Dokumentation bei Outsourcing
Bei Outsourcing werden Arbeits-, Produktions- oder Geschäftsprozesse einer Organisation ganz oder teilweise an externe Dienstleister ausgelagert. Dieses Konzept ist heute ein etablierter Bestandteil von Organisationsmodellen. Das klassische IT-Outsourcing ist so konzipiert, dass die gesamte gemietete Infrastruktur vom Auftraggeber exklusiv genutzt wird (Single Tenant Architektur).
In der Verantwortung des Dienstleisters liegt es, den IT-Systembetrieb auf seiner Seite zu dokumentieren. Dennoch bedeutet dies nicht, dass die Auftraggeber keine Dokumentation benötigt. Zum einen ist immer der Auftraggeber verantwortlich für die Einhaltung gesetzlicher Anforderungen und muss dies jederzeit auch nachweisen können. Zum anderen sind die Zeiten langjähriger Bindungen an den einen „Alles aus einer Hand“-Anbieter längst vorbei. Auch aus Gründen der Risikostreuung werden heute häufig unterschiedliche Dienstleister mit unterschiedlichen IT-Services beauftragt. Ohne eine strukturierte Dokumentation sind eine angemessene Dienstleistersteuerung und Dienstleisterwechsel kaum machbar. Siehe dazu auch IT-Kunden- und Lieferantendokumentation.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Individuelle Lösungen für Ihre IT-Dokumentation & Cloud-Compliance
Die Nutzung von Cloud-Services entbindet nicht von der Dokumentationspflicht. Durch den Aufbau passender Strukturen für Sicherheitsvorgaben und Leistungsbeschreibungen werden Ihre Cloud- und Outsourcing-Beziehungen transparent und auditfähig.
- Anforderungsanalyse für die Dokumentation in Bezug auf die ausgelagerten IT-Services
- Konzeption einer anforderungsgerechten IT-Dokumentation unter Einbeziehung der Dienstleisterdokumentation
- Unterstützung bei der Erstellung von Sicherheitskonzepten für den Betrieb von Cloud-Anwendungen
Sorgen Sie jetzt für rechtssichere Strukturen in Ihrer Provider-Steuerung.
Auch Cloud-Anwendungen müssen dokumentiert werden
Ähnlich verhält es sich beim Einsatz von Cloud-Anwendungen. Da diese nicht oder nur teilweise in eigener Verantwortung betrieben werden, werden sie bei der Dokumentation häufig nicht angemessen beachtet. Dabei gilt grundsätzlich: Die Nutzung von Cloud-Diensten entbindet – ebenso wie beim Outsourcing – nicht von der Dokumentationspflicht.
Es ist wichtig zu beachten, dass trotz der Nutzung von Cloud-Diensten die Verantwortung für Datensicherheit und Datenschutz primär beim Auftraggeber verbleibt. Dies gilt selbst dann, wenn die operative Umsetzung der Schutzmaßnahmen in den Händen des Cloud-Anbieters liegt. In der Dokumentation liegt daher der Schwerpunkt auf allgemeinen Richtlinien, Anforderungen an die Systemsicherheit sowie auf den Leistungsvereinbarungen.
FAQs zu Dienstleistersteuerung & Cloud-Governance
Wie dokumentiere ich Schnittstellen bei Cloud-Lösungen (SaaS/IaaS) rechtssicher?
Im Cloud-Kontext beschreibt das Shared-Responsibility-Modell die klare Aufteilung von Sicherheits-, Compliance- und Betriebsaufgaben zwischen Dienstleister und Kunde. Diese Zuständigkeiten sind in der Dokumentation eindeutig zu benennen, in Prozessen zu verankern und prüfbar nachzuweisen. Wichtig ist daher, fachliche und technische Verantwortliche zu benennen und Rollen klar festzulegen (z. B. für Freigabe, Betrieb, Änderungen, Außerbetriebnahme).
Warum muss ich dokumentieren, wenn der Dienstleister den Betrieb übernimmt?
Weil Verantwortung geteilt bleibt (Shared Responsibility) und Dokumentation als Steuerungs- und Nachweisinstrument dient. Dokumentation stellt Governance und Verantwortlichkeit sicher, ermöglicht wirksame Dienstleistersteuerung und unterstützt Dienstleisterwechsel (Transition).
Aus unserem Blog
Kürzlich erhielt ich eine typische Anfrage: Ein Kunde wollte mich mit der Erstellung seines „IT-Handbuchs“ beauftragen. Nun ist im Ausbildungsbereich ein IT-Handbuch …
Jeder weiß es, aber es gelingt trotzdem nur selten: Da wurde das Sicherheitskonzept schon über ein Jahr nicht mehr aktualisiert, die aktuelle …