Abgrenzung des betrachteten Informationsverbundes. Der im Rahmen der Sicherheitskonzepterstellung betrachtete Informationsverbund umfasst ausschließ- lich Komponenten, die im Verantwortungsbereich des Auftragnehmers liegen. Die unter Kapitel 5 (Leis- tungsvoraussetzungen) aufgeführten und vom Auftragnehmer zu erbringenden Leistungen stellen dann aus Sicht des Auftraggebers unter Umständen kein vollständiges, IT-Grundschutz-konformes Sicher- heitskonzept des betreffenden Verfahrens dar. Die Umsetzung von Sicherheitsanforderungen kann nur dann zugesichert und geeignet nachgewiesen werden, wenn die jeweilige Umsetzungsverantwortung ausschließlich beim Auftragnehmer liegt (siehe hierzu Kapitel 5 Leistungsvoraussetzungen sowie 4.1 Geteilte Verantwortung auf Bausteinebene). Verfahrenskomponenten des Auftraggebers, die auf Basis anderer vertraglicher Vereinbarungen betrie- ben oder sicherheitstechnisch betrachtet werden, sind von dem betrachteten Informationsverbund ab- gegrenzt und daher nicht Teil des hier betrachteten Informationsverbundes. Interne Dokumente des Auftragnehmers wie z.B. der Geschäftsverteilungsplan oder die detaillierte Um- setzungsdokumentation konkreter technischer Sicherheitsanforderungen sind nicht Teil des übergebe- nen Sicherheitskonzeptes. Diese als nicht kundenöffentlich bezeichneten Dokumente können jedoch in Rücksprache vor Ort, in Begleitung des ITSK oder eines Vertreters des Sicherheitsmanagements des Auftragnehmers, eingesehen werden.
Abgrenzung des betrachteten Informationsverbundes. Der im Rahmen der Sicherheitskonzepterstellung betrachtete Informationsverbund umfasst ausschließ- lich Komponenten, die im Verantwortungsbereich des Auftragnehmers liegen. Die unter Kapitel 5 (Leistungsvoraussetzungen) aufgeführten und vom Auftragnehmer zu erbringenden Leistungen stellen dann aus Sicht des Auftraggebers unter Umständen kein vollständiges, IT-Grundschutz-konformes Sicherheitskonzept des betreffenden Verfahrens dar. Die Umsetzung von Sicherheitsmaßnahmen kann nur dann zugesichert und geeignet nachgewiesen werden, wenn die jeweilige Maßnahmenverantwortung ausschließlich beim Auftragnehmer liegt (siehe hierzu Kapitel 5 Leistungsvoraussetzungen sowie 4.1 Geteilte Verantwortung auf Bausteinebene). Verfahrenskomponenten des Auftraggebers, die auf Basis anderer vertraglicher Vereinbarungen betrie- ben oder sicherheitstechnisch betrachtet werden, sind von dem betrachteten Informationsverbund ab- gegrenzt und daher nicht Teil des hier betrachteten Informationsverbundes.
Abgrenzung des betrachteten Informationsverbundes. Der im Rahmen der Sicherheitskonzepterstellung betrachtete Informationsverbund umfasst ausschließ lich Komponenten, die im Verant'ijortungsbereich des Auftragnehmers liegen. Die unter Kapitel 5 (Leis tungsvoraussetzungen) aufgeführten und vom Auftragnehmer zu erbringenden Leistungen stellen dann aus Sicht des Auftraggebers unter Umständen kein vollstandiges, IT-Grundschutz-konformes Sicher heitskonzept des betreffenden Verfahrens dar. Die Umsetzung von Sicherheitsmaßnahmen kann nur dann zugesichert und geeignet nachgewiesen werden, wenn die jeweilige Maßnahmenverantwortµng ausschließlich beim Auftragnehmer liegt (siehe hierzu Kapitel 5 Leistungsvoraussetzungen sowie 4.1 Geteilte Verantwortung auf Bausteinebene). Verfahrenskomponenten des Auftraggebers, die auf Basis anderer vertraglicher Vereinbarungen betrie ben oder sicherheitstechnisch betrachtet werden, sind von dem betrachteten Informationsverbund ab gegrenzt und daher nicht Teil des hier betrachteten Informationsverbundes. Interne Dokumente des Auftragnehmers wie z.B. der Geschäftsverteilungsplan oder die detaillierte Um setzungsdokumentation konkreter technischer Sicherheitsmaßnahmen sind nicht Teil des übergebenen Sicherheitskonzeptes. Diese als nicht kundenöffentlich bezeichneten Dokumente können jedoch in Rücksprache vor Ort, in Begleitung des ITSK oder eines Vertreters des Sicherheitsmanagements des Auftragnehmers, eingesehen werden. 04.05.2018 Security Service Level Agreement Anlage 5 zum V11661-1/3016010 datapO-rt Im laufenden Betrieb können temporäre Abweichungen zwischen der Dokumentation des Umsetzungs standes und der tatsächlichen Umsetzung einzelner Sicherheitsmaßnahmen auftreten. Die Ursachen für temporäre Abweichungen können in der Änderung der IT-Infrastruktur oder dürch neue oder verän derte IT-Grundschutzmaßnahmen verursacht werden. Werden im Rahmen der Durchführung von Basissicherheitschecks solche Abweichungen festgestellt, werden diese im Sicherheitsnachweis dokumentiert (vgl. 2.4.2.4). Der ITSK koordiniert die Maßnah menumsetzung mit den jeweils verantwortlichen Fachbereichen. Nicht oder nicht vollständig umgesetzte Maßnahmen, die im Rahmen der regelmäßigen Prüfung durch Basissicherheitschecks identifiziert wurden, werden in der beim Auftragnehmer eingesetzten Verwal tungssoftware dokumentiert.· Diese Dokumentation umfasst: • eine Beschreibung der Abweichung • geplante und erforderliche Aktivitäten zur vollständigen Maßnahmenumsetzung • ein Zieldatum, bis zu dem die Ums...