1. Einhaltung von Informationssicherheitsstandards
- Die
Lieferanten und Dienstleister müssen die Anforderungen der wesernetz an
die Informationssicherheit einhalten.
- Die
Lieferanten werden zusätzlich verpflichtet technischen Zertifizierungen
und Standards wie z. B. TÜV-IT Trusted Site Infrastructure (TSI) Level 3,
ISO 27001 vorzuweisen, um die Sicherheit der IT-Infrastruktur sowie die
Anforderungen der wesernetz hinsichtlich der Informationssicherheit
gewährleisten zu können.
2. Vertraulichkeit und Datenschutz
- Alle
erhaltenen Daten und Informationen sind streng vertraulich zu behandeln.
Die Verarbeitung personenbezogener Daten erfolgt ausschließlich nach den
Vorgaben der wesernetz und den geltenden Datenschutzbestimmungen.
Vertrauliche Informationen dürfen nur zur Erfüllung der vertraglich
vereinbarten Leistung verwendet werden.
3. Zugriffskontrolle und IT-Sicherheit
- Der
Zugang zu Informationen und Daten erfolgt auf dem „Need-to-know“- und
„Least-Privilege“-Prinzips. Der Lieferant stellt sicher, dass eigene
Systeme, die zur Leistungserbringung genutzt werden, ausreichend gegen
unbefugten Zugriff, Schadsoftware und Datenverlust geschützt sind (z. B.
durch Firewalls, aktuelle Virenschutzsoftware, regelmäßige Updates).
Zugangsdaten dürfen nicht weitergegeben und müssen sicher verwahrt werden.
4. Unterauftragnehmer / Subunternehmen
- Der
Einsatz von Unterauftragnehmer zur Verarbeitung von Informationen oder
Daten ist nur nach vorheriger schriftlicher Zustimmung zulässig.
Subunternehmer unterliegen denselben 2. Sicherheits- und Datenschutzpflichten
wie der Lieferant.
5. Umgang mit Änderungen
- Änderungen
an der Leistung müssen schriftlich kommuniziert werden. Dies umfasst:
1. Änderung
an den Lieferantenvereinbarungen
2. Weiterentwicklung
von neuen Anwendungen und Systeme
3. Modifikationen
oder Aktualisierungen in Bezug auf die Richtlinien und Verfahren der
Organisationen
6. Meldepflicht bei Sicherheitsvorfällen
- Der
Lieferant ist verpflichtet, Informationssicherheitsvorfälle, die die
wesernetz betreffen oder betreffen könnten, unverzüglich zu melden.
- Dazu
gehören insbesondere:
1. Verlust oder Diebstahl von Daten
2. unbefugter Zugriff auf Systeme oder Daten
3. Verdacht auf Cyberangriffe oder Schadsoftware-Infektionen
7. Audits und Nachweisepflicht
- wesernetz kontrolliert, dass vertragliche Anforderungen in Bezug auf die Informationssicherheit der wesernetz auch bei Dienstleistern und Lieferanten eingehalten werden.
- wesernetz behält sich das Recht vor, Audits oder Prüfungen zur Einhaltung der Richtlinien durchzuführen oder durchführen zu lassen.
- Der Lieferant verpflichtet sich, auf Anfrage Auskunft über seine Sicherheitsmaßnahmen zu geben und relevante Nachweise bereitzustellen.
8. Konsequenzen bei Verstößen
- Verstöße gegen die Richtlinie können zum sofortigen Entzug von Zugriffsrechten, zur Kündigung des Vertragsverhältnisses sowie zu Schadensersatzforderungen führen.
- Gesetzliche Meldepflichten und weitere rechtliche Schritte bleiben davon unberührt.
9. Bestätigung
- Der Lieferant bestätigt mit den allgemeinen Verträgen, diese Informationssicherheitsrichtlinie zur Kenntnis genommen zu haben und die Anforderungen einzuhalten.