Common use of Mitwirkungspflichten des Auftraggebers Clause in Contracts

Mitwirkungspflichten des Auftraggebers. Für ein vollständiges IT-Grundschutz-konformes Sicherheitskonzept und den durchgängigen IT-Grund- schutzkonformen Betrieb des gesamten Informationsverbundes ist die Betrachtung aller relevanten Ver- fahrensteile erforderlich. Der Auftragnehmer kann Grundschutzkonformität jedoch nur für die von ihm verantworteten Komponenten sicherstellen. Sicherheitsanforderungen, die im Verantwortungsbereich des Auftraggebers liegen, sind durch diesen selbst umzusetzen. Bei der Planung und Umsetzung von Sicherheitsanforderungen durch den Auftragnehmer sind zum Teil weitergehende Informationen, Regelungen, Dokumente und/oder Leistungen durch den Auftraggeber oder auch durch Dritte beizusteuern (z.B. Hersteller der zu betreibenden Software/Komponenten). Diese Mitwirkung ist zur Gewährleistung des grundschutzkonformen Betriebes im Verantwortungsbe- reich des Auftragnehmers erforderlich. Die Mitwirkung ist insbesondere bei folgenden Leistungen für den Auftraggeber verpflichtend: 1) Benennung eines Ansprechpartners beim Auftraggeber für die: a) Klärung sicherheitsrelevanter, verfahrensspezifischer Fragestellungen b) Klärung / Zulieferung von anwendungsspezifischen Angaben c) Unterstützung bei der Erstellung eines verfahrensspezifischen Notfallkonzeptes d) Etablierung von Prozessschnittstellen für das Sicherheitsvorfall- und Notfallmanagement 2) Risikobewertung7 bei der Erweiterung des betrachteten IT-Verbundes um fachliche oder technische Komponenten oder der Erweiterung um Kommunikationsschnittstellen, insbe- sondere zu Verfahren mit niedrigerem Sicherheitsniveau8 3) Bereitstellung von relevanten anwendungs- bzw. verfahrensspezifischen Informationen/Do- kumentationen/Konzepten wie beispielsweise: a) Berechtigungskonzept (Rollen- und Rechtekonzept) b) Protokollierungskonzept (bspw. für die zu betreibende Fachanwendung) c) Mandantenkonzept d) Schnittstellenkonzept e) Installations- und Betriebshandbuch bzw. Betriebsvorgaben des Herstellers f) Dokumentation von Sicherheitsfunktionen in relevanten Softwareprodukten 4) Bereitstellung und Freigabe von Sicherheitsupdates, Patches und hierfür notwendiger Instal- lationsdokumentation für die betreffende Fachanwendung (einschließlich der erforderlichen Middleware) oder Infrastrukturkomponenten Die Mitwirkungsleistungen sind unter Umständen durch Dritte zu erbringen, mit denen der Auftragneh- mer keine Vereinbarung über den Bezug dieser Leistungen geschlossen hat (z.B. Hersteller der Verfah- renssoftware). Der Auftraggeber ist dafür verantwortlich, die Beistellung relevanter Leistungen oder In- formationen durch geeignete vertragliche Regelungen zu gewährleisten. Im Rahmen der Sicherheitskonzepterstellung können sich in Abhängigkeit zur verwendeten Verfah- rensinfrastruktur weitere Mitwirkungsleistungen für spezifische Sicherheitsanforderungen ergeben. Der Auftragnehmer teilt diese dem Auftraggeber bei Kenntniserlangung unverzüglich mit.

Mitwirkungspflichten des Auftraggebers. Für ein vollständiges IT-Grundschutz-konformes Sicherheitskonzept und den durchgängigen IT-Grund- schutzkonformen Betrieb des gesamten Informationsverbundes ist die Betrachtung aller relevanten Ver- fahrensteile erforderlich. Der Auftragnehmer kann Grundschutzkonformität jedoch nur für die von ihm verantworteten Komponenten sicherstellen. Sicherheitsanforderungen, die im Verantwortungsbereich des Auftraggebers liegen, sind durch diesen selbst umzusetzen. Bei der Planung und Umsetzung von Sicherheitsanforderungen durch den Auftragnehmer sind zum Teil weitergehende Informationen, Regelungen, Dokumente und/oder Leistungen durch den Auftraggeber oder auch durch Dritte beizusteuern (z.B. Hersteller der zu betreibenden Software/Komponenten). Diese Mitwirkung ist zur Gewährleistung des grundschutzkonformen Betriebes im Verantwortungsbe- reich des Auftragnehmers erforderlich. Die Mitwirkung ist insbesondere bei folgenden Leistungen für den Auftraggeber verpflichtend: 1) Benennung eines Ansprechpartners beim Auftraggeber für die: a) Klärung sicherheitsrelevanter, verfahrensspezifischer Fragestellungen b) Klärung / Zulieferung von anwendungsspezifischen Angaben c) Unterstützung bei der Erstellung eines verfahrensspezifischen Notfallkonzeptes d) Etablierung von Prozessschnittstellen für das Sicherheitsvorfall- und Notfallmanagement 2) Risikobewertung7 Risikobewertung8 bei der Erweiterung des betrachteten IT-Verbundes um fachliche oder technische Komponenten oder der Erweiterung um Kommunikationsschnittstellen, insbe- sondere zu Verfahren mit niedrigerem Sicherheitsniveau8Sicherheitsniveau9 3) Bereitstellung von relevanten anwendungs- bzw. verfahrensspezifischen Informationen/Do- kumentationen/Konzepten wie beispielsweise: a) Berechtigungskonzept (Rollen- und Rechtekonzept) b) Protokollierungskonzept (bspw. für die zu betreibende Fachanwendung) c) Mandantenkonzept d) Schnittstellenkonzept e) Installations- und Betriebshandbuch bzw. Betriebsvorgaben des Herstellers f) Dokumentation von Sicherheitsfunktionen in relevanten Softwareprodukten 4) Bereitstellung und Freigabe von Sicherheitsupdates, Patches und hierfür notwendiger Instal- lationsdokumentation für die betreffende Fachanwendung (einschließlich der erforderlichen Middleware) oder Infrastrukturkomponenten Die Mitwirkungsleistungen sind unter Umständen durch Dritte zu erbringen, mit denen der Auftragneh- mer keine Vereinbarung über den Bezug dieser Leistungen geschlossen hat (z.B. Hersteller der Verfah- renssoftware). Der Auftraggeber ist dafür verantwortlich, die Beistellung relevanter Leistungen oder In- formationen durch geeignete vertragliche Regelungen zu gewährleisten. Im Rahmen der Sicherheitskonzepterstellung können sich in Abhängigkeit zur verwendeten Verfah- rensinfrastruktur weitere Mitwirkungsleistungen für spezifische Sicherheitsanforderungen ergeben. Der Auftragnehmer teilt diese dem Auftraggeber bei Kenntniserlangung unverzüglich mit.

Mitwirkungspflichten des Auftraggebers. Für ein vollständiges IT-Grundschutz-konformes Sicherheitskonzept und den durchgängigen IT-Grund- schutzkonformen schutz-konformen Betrieb des gesamten Informationsverbundes ist die Betrachtung aller relevanten Ver- fahrensteile Verfahrensteile erforderlich. Der Auftragnehmer kann Grundschutzkonformität jedoch nur für die von ihm verantworteten Komponenten sicherstellen. SicherheitsanforderungenMaßnahmen, die im Verantwortungsbereich des Auftraggebers Auf- traggebers liegen, sind durch diesen selbst umzusetzen. Bei der Planung und Umsetzung von Sicherheitsanforderungen Maßnahmen durch den Auftragnehmer sind zum Teil weitergehende weiterge- hende Informationen, Regelungen, Dokumente und/oder Leistungen durch den Auftraggeber oder auch durch Dritte beizusteuern (z.B. Hersteller der zu betreibenden Software/Komponenten). Diese Mitwirkung Mitwir- kung ist zur Gewährleistung des grundschutzkonformen Betriebes im Verantwortungsbe- reich Verantwortungsbereich des Auftragnehmers Auf- tragnehmers erforderlich. Die Mitwirkung ist insbesondere bei folgenden Leistungen für den Auftraggeber verpflichtend: 1) Benennung eines Ansprechpartners beim Auftraggeber für die: a) Klärung sicherheitsrelevanter, verfahrensspezifischer Fragestellungen b) Klärung / Zulieferung von anwendungsspezifischen Angaben c) Unterstützung bei der Erstellung eines verfahrensspezifischen Notfallkonzeptes d) Etablierung von Prozessschnittstellen für das Sicherheitsvorfall- und Notfallmanagement 2) Risikobewertung7 Risikobewertung8 bei der Erweiterung des betrachteten IT-Verbundes um fachliche oder technische Komponenten oder der Erweiterung um Kommunikationsschnittstellen, insbe- sondere zu Verfahren mit niedrigerem Sicherheitsniveau8Sicherheitsniveau9 3) Bereitstellung von relevanten anwendungs- bzw. verfahrensspezifischen Informationen/Do- kumentationen/Konzepten wie beispielsweise: a) Berechtigungskonzept (Rollen- und Rechtekonzept) b) Protokollierungskonzept (bspw. für die zu betreibende Fachanwendung) c) Mandantenkonzept d) Schnittstellenkonzept e) Installations- und Betriebshandbuch bzw. Betriebsvorgaben des Herstellers f) Dokumentation von Sicherheitsfunktionen in relevanten Softwareprodukten 4) Bereitstellung und Freigabe von Sicherheitsupdates, Patches und hierfür notwendiger Instal- lationsdokumentation für die betreffende Fachanwendung (einschließlich der erforderlichen Middleware) oder Infrastrukturkomponenten Die Mitwirkungsleistungen sind unter Umständen durch Dritte zu erbringen, mit denen der Auftragneh- mer keine Vereinbarung über den Bezug dieser Leistungen geschlossen hat (z.B. Hersteller der Verfah- renssoftware). Der Auftraggeber ist dafür verantwortlich, die Beistellung relevanter Leistungen oder In- formationen durch geeignete vertragliche Regelungen zu gewährleisten. Im Rahmen der Sicherheitskonzepterstellung können sich in Abhängigkeit zur verwendeten Verfah- rensinfrastruktur weitere Mitwirkungsleistungen für spezifische Sicherheitsanforderungen Sicherheitsmaßnahmen ergeben. Der Auftragnehmer teilt diese dem Auftraggeber bei Kenntniserlangung unverzüglich mit.

Mitwirkungspflichten des Auftraggebers. Für ein vollständiges IT-Grundschutz-konformes Sicherheitskonzept und den durchgängigen IT-Grund- schutzkonformen Grund­ schutz-konformen Betrieb des gesamten Informationsverbundes ist die Betrachtung aller relevanten Ver- fahrensteile Verfahrensteile erforderlich. Der Auftragnehmer kann Grundschutzkonformität jedoch nur für die von ihm verantworteten Komponenten sicherstellen. SicherheitsanforderungenMaßnahmen, die im Verantwortungsbereich des Auftraggebers Auf­ traggebers liegen, sind durch diesen selbst umzusetzen. Bei der Planung und Umsetzung von Sicherheitsanforderungen Maßnahmen durch den Auftragnehmer sind zum Teil weitergehende weiterge­ hende Informationen, Regelungen, Dokumente und/oder Leistungen durch den Auftraggeber oder auch durch Dritte beizusteuern (z.B. Hersteller der zu betreibenden Software/Komponenten). Diese Mitwirkung Mitwir­ kung ist zur Gewährleistung des grundschutzkonformen Betriebes im Verantwortungsbe- reich Verantwortungsbereich des Auftragnehmers Auf­ tragnehmers erforderlich. Die Mitwirkung ist insbesondere bei folgenden Leistungen für den Auftraggeber verpflichtend: 1) Benennung eines Ansprechpartners beim Auftraggeber für die: a) Klärung sicherheitsrelevanter, verfahrensspezifischer Fragestellungen b) Klärung / Zulieferung von anwendungsspezifischen anwendungsspe,zifischen Angaben c) Unterstützung bei der Erstellung eines verfahrensspezifischen Notfallkonzeptes d) Etablierung von Prozessschnittstellen Prozessschnitt�tellen für das Sicherheitsvorfall- und NotfallmanagementNotfallmanagement 04.05.2018 - Al/gemeiner Teil (Teil A) - • Xxxxxx 0 zum V11661-1/3016010 datapci-rt 2) Risikobewertung7 Risikobewertung8 bei der Erweiterung des betrachteten IT-Verbundes um fachliche oder technische Komponenten oder der Erweiterung um Kommunikationsschnittstellen, insbe- insbe­ sondere zu Verfahren mit niedrigerem Sicherheitsniveau8Sicherheitsniveau9 3) Bereitstellung von relevanten anwendungs- bzw. verfahrensspezifischen Informationenlnformationen/Do- Do� kumentationen/Konzepten wie beispielsweise: a) Berechtigungskonzept (Rollen- und Rechtekonzept) b) Protokollierungskonzept (bspw. für die zu betreibende Fachanwendung) c) Mandantenkonzept d) Schnittstellenkonzept e) Installations- und Betriebshandbuch bzw. Betriebsvorgaben des Herstellers f) Dokumentation von Sicherheitsfunktionen in relevanten Softwareprodukten 4) Bereitstellung und Freigabe von Sicherheitsupdates, Patches und hierfür notwendiger Instal- Instal­ lationsdokumentation für die betreffende Fachanwendung (einschließlich der erforderlichen Middleware) oder Infrastrukturkomponenten lnfrastrukturkomponenten Die Mitwirkungsleistungen sind unter Umständen durch Dritte zu erbringen, mit denen der Auftragneh- Auftragneh­ mer keine Vereinbarung über den Bezug dieser Leistungen geschlossen hat (z.B. Hersteller der Verfah- Verfah­ renssoftware). Der Auftraggeber ist dafür verantwortlich, die Beistellung relevanter Leistungen oder In- In­ formationen durch geeignete vertragliche Regelungen zu gewährleisten. Im Rahmen der Sicherheitskonzepterstellung können sich in Abhängigkeit zur verwendeten Verfah- Verfah­ rensinfrastruktur weitere Mitwirkungsleistungen für spezifische Sicherheitsanforderungen Sicherheitsmaßnahmen ergeben. Der Auftragnehmer teilt diese dem Auftraggeber bei Kenntniserlangung unverzüglich mit.

Mitwirkungspflichten des Auftraggebers. Für ein vollständiges IT-Grundschutz-konformes Sicherheitskonzept 2.1 Der Auftraggeber stellt der TÜV Rheinland Cert GmbH rechtzeitig vor dem Zertifizierungsaudit alle notwendigen Unterlagen kostenlos zur Verfügung. 2.2 Der Auftraggeber gewährt dem von der TÜV Rheinland Cert GmbH gestellten Auditorenteam bzw. dem Auditor beim Audit Einsicht in die vom Geltungsbereich betroffenen Aufzeichnungen und gewährt ihnen bzw. ihm Zugang zu den durchgängigen IT-Grund- schutzkonformen Betrieb des gesamten Informationsverbundes ist die Betrachtung aller relevanten Ver- fahrensteile erforderlich. betroffe- nen Organisationseinheiten. 2.3 Der Auftragnehmer kann Grundschutzkonformität jedoch nur für die von ihm verantworteten Komponenten sicherstellen. SicherheitsanforderungenAuftraggeber benennt einen oder mehrere Auditbeauftragte, die im Verantwortungsbereich des Auftraggebers liegen, sind durch diesen selbst umzusetzen. Bei den Auditor der Planung und Umsetzung von Sicherheitsanforderungen durch den Auftragnehmer sind zum Teil weitergehende Informationen, Regelungen, Dokumente und/oder Leistungen durch den Auftraggeber oder auch durch Dritte beizusteuern (z.B. Hersteller der zu betreibenden Software/Komponenten). Diese Mitwirkung ist zur Gewährleistung des grundschutzkonformen Betriebes im Verantwortungsbe- reich des Auftragnehmers erforderlich. Die Mitwirkung ist insbesondere bei folgenden Leistungen für den Auftraggeber verpflichtend: 1) Benennung eines Ansprechpartners beim Auftraggeber für die: a) Klärung sicherheitsrelevanter, verfahrensspezifischer Fragestellungen b) Klärung / Zulieferung von anwendungsspezifischen Angaben c) Unterstützung TÜV Rheinland Cert GmbH bei der Erstellung eines verfahrensspezifischen NotfallkonzeptesErbringung der vertraglich vereinbarten Leistungen unterstützen und als Kontaktperson zum Auftraggeber dienen. d) Etablierung von Prozessschnittstellen für das Sicherheitsvorfall- und Notfallmanagement 2) Risikobewertung7 bei der Erweiterung des betrachteten IT-Verbundes um fachliche oder technische Komponenten oder der Erweiterung um Kommunikationsschnittstellen, insbe- sondere zu Verfahren mit niedrigerem Sicherheitsniveau8 3) Bereitstellung von relevanten anwendungs- bzw. verfahrensspezifischen Informationen/Do- kumentationen/Konzepten wie beispielsweise: a) Berechtigungskonzept (Rollen- und Rechtekonzept) b) Protokollierungskonzept (bspw. für die zu betreibende Fachanwendung) c) Mandantenkonzept d) Schnittstellenkonzept e) Installations- und Betriebshandbuch bzw. Betriebsvorgaben des Herstellers f) Dokumentation von Sicherheitsfunktionen in relevanten Softwareprodukten 4) Bereitstellung und Freigabe von Sicherheitsupdates, Patches und hierfür notwendiger Instal- lationsdokumentation für die betreffende Fachanwendung (einschließlich der erforderlichen Middleware) oder Infrastrukturkomponenten Die Mitwirkungsleistungen sind unter Umständen durch Dritte zu erbringen, mit denen der Auftragneh- mer keine Vereinbarung über den Bezug dieser Leistungen geschlossen hat (z.B. Hersteller der Verfah- renssoftware). 2.4 Der Auftraggeber ist dafür verantwortlichnach der Erteilung eines Zertifikates verpflichtet, der TÜV Rheinland Cert GmbH während der Vertragslaufzeit sämtliche Änderungen mitzu- teilen, die Beistellung relevanter Leistungen wesentlichen Einfluss auf das Managementsystem oder In- formationen durch geeignete vertragliche Regelungen zu gewährleistendas zertifizierte Produkt haben, insbesondere: - Änderungen des zertifizierten Managementsystems. I- Änderungen, die das Design oder die Spezifikation des zertifizierten Produktes betreffen. - Änderungen der Unternehmensstruktur und der Organisation. 2.5 Der Auftraggeber ist verpflichtet, alle Beanstandungen bezüglich des Manage- mentsystems von außerhalb des Unternehmens, etwa von Kunden, und ihre Be- hebungen aufzuzeichnen und dem Auditor im Audit vorzulegen. 2.6 Der Auftraggeber ist verpflichtet, jeglichen Schriftwechsel und alle Maßnahmen im Zusammenhang mit normativen Dokumenten und Normenforderungen des zutref- fenden Zertifizierungsstandards dem Auditor im Audit auf Nachfrage vorzulegen. 2.7 Soweit die TÜV Rheinland Cert GmbH im Rahmen von Produktzertifizierungen im Lebensmittelbereich feststellt, dass aufgrund der Sicherheitskonzepterstellung können sich unter 2.4 genannten Änderungen weitere Untersuchungen erforderlich sind, darf der Auftraggeber nach Inkrafttreten der Änderungen keine Produkte freigeben, die in Abhängigkeit zur verwendeten Verfah- rensinfrastruktur weitere Mitwirkungsleistungen für spezifische Sicherheitsanforderungen ergeben. den Geltungsbereich der Pro- duktzertifizierung fallen, bis die TÜV Rheinland Cert GmbH den Auftraggeber ent- sprechend benachrichtigt hat. 2.8 Der Auftragnehmer teilt diese Auftraggeber informiert bei Produktzertifizierungen im Lebensmittelbereich die TÜV Rheinland Cert GmbH, wenn das Produkt den Anforderungen der Produkt- zertifizierung nicht mehr genügt. 2.9 Der Auftraggeber ist verpflichtet, alle an ihn gerichteten Beanstandungen bezüg- lich der Konformität eines zertifizierten Produktes oder Prozesses mit den Anfor- derungen des Zertifizierungsstandards aufzuzeichnen, angemessene Maßnahmen einzuleiten, die durchgeführten Maßnahmen zu dokumentieren und dem Auftraggeber bei Kenntniserlangung unverzüglich mitAuditor auf Verlangen im Rahmen des Audits aufzuzeigen.