Vertrag Bestellung externer Informationssicherheitsbeauftragter / CISO (Chief Information Security Officer)
Zwischen
………………………………..
(nachfolgend Auftragnehmer / CISO)
und
………………………………..
(nachfolgend Auftraggeber)
wird folgende Vereinbarung getroffen:
§ 1 Vertragsgegenstand
Gegenstand dieses Vertrages ist _ Beauftragung _ Auftragnehmers mit _ Wahrnehmung _ Aufgaben als externer Informationssicherheitsbeauftragter bzw. Chief Information Security Officer, kurz CISO.
§ 2 Aufgabenbeschreibung
(1) _ CISO erstellt _ Definition _ Informationssicherheitspolitik _ Unternehmens _ Auftraggebers in Ableitung _ der Unternehmensstrategie _ unter Einbeziehung _ IT-Strategie. Insbesondere führt _ CISO dazu regelmäßige Risikoanalysen zur Erstellung _ Informations-/IT-Sicherheitskonzepte durch _ überprüft deren Wirksamkeit auf Basis _ Geschäftsprozesse durch _ bereitet _ Stellenwert _ IT, _ anzustrebende Informations-/IT-Sicherheitsniveau _ die unternehmensweiten Sicherheitsziele gemäß _ von _ Geschäftsführung festgelegten Ansprüchen auf, formuliert sie aus _ führt Maßnahmen zur Umsetzung ein.
(2) _ CISO berichtet regelmäßig an _ Unternehmensleitung _ Auftraggebers, berät sie in Fragen zur Informations-/IT-Sicherheit _ führt Managementreviews.
(3) _ CISO entwickelt _ formuliert _ Informations- _ IT-Sicherheitsleitlinie _ Unternehmens _ gibt _ abgestimmte _ freigegebene Sicherheitsleitlinie/-richtlinie allen betroffenen Mitarbeitern _ Unternehmens bekannt.
(4) _ CISO arbeitet an _ Erstellung _ Notfallvorsorgekonzepts (Business Continuity Management, BCM) mit _ koordiniert _ Umsetzung in entsprechende Notfallpläne, Wiederanlaufpläne _ Katastrophenpläne.
(5) _ CISO erstellt Regeln für _ Zuweisung _ Rollen, Verantwortlichkeiten, Berechtigungen _ Haftung.
(6) _ CISO entwickelt _ pflegt _ Sicherheits- _ Kontrollrahmenwerk, bestehend aus Standards, Maßnahmen, Verfahren _ Prozessen.
(7) _ regelmäßige Bewertung _ Risiken _ die Durchführung _ Business-Impact-Analysen gehören ebenso _ den Aufgaben wie _ Regelung zur Klassifizierung _ Kennzeichnung _ Informationen (Assets) im Unternehmen.
(8) _ CISO, seine Mitarbeiter oder Beauftragte führen Kontrollen (Audits) für Personen, organisatorische _ technische Prozesse _ zu eingesetzten _ neuen Technologien durch. Seiner Verantwortung obliegen _ Überwachung _ Sicherheitselementen _ effektiven Prozessen zur Identitäts- _ Zugriffsverwaltung für Anwender _ Zulieferer _ Informationen.
(9) Mindestens einmal jährlich erfolgt _ Schulung _ beliebigen Anzahl _ Mitarbeitern, Managern _ der Unternehmensleitung in Bezug auf _ Anforderungen an _ Informationssicherheit.
(10) _ CISO führt _ Vorfallskataster aller Informations- _ Sicherheitsvorfälle. Darin werden _ Maßnahmenempfehlungen, also korrektive, detektive _ präventive Maßnahmen _ deren Wirksamkeit nachvollziehbar dokumentiert.
(11) Einmal jährlich ist _ Bewertung _ Informationssicherheit _ ein Leistungsbericht an _ Unternehmensleitung _ erstellen, gestützt durch aussagekräftige Kennzahlen zur Sicherheitsleistung _ die Planung _ Durchführung _ regelmäßigen Audits (Informationssicherheits-Managementsystem, Prozesse _ Projekte).
(12) Alle Tätigkeiten _ Informationssicherheitsbeauftragten sind auditiv, dh, _ CISO _ sein Stab (seine Mitarbeiter _ beauftragte Dritte) führen keine operativen Tätigkeiten selbst aus. Sie beraten herstellerunabhängig, steuern, unterstützen _ auditieren _ von _ verantwortlichen Abteilungen durchgeführten Sicherheitsmaßnahmen _ prüfen deren Wirksamkeit.
§ 3 Laufzeit _ Kündigung
(1) _ Vertrag beginnt mit Unterzeichnung / ab dem ….. .
(2) _ Vertrag wird für _ Dauer _ einem Jahr geschlossen. Er verlängert sich um jeweils _ Jahr, sofern er nicht mit _ Frist _ drei Monaten zum Vertragsende gekündigt wird. _ Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. _ Kündigung bedarf _ Textform.
§ 4 Vergütung
(1) _ Auftragnehmer / CISO erhält für seine Tätigkeit _ monatliche / jährliche / aufwandsabhängige Vergütung in Höhe _ …. zzgl. gesetzlicher Mehrwertsteuer.
(2) _ Abrechnung erfolgt aufgrund Rechnungstellung durch _ Auftraggeber / CISO.
§ 5 Verschwiegenheitsverpflichtung
(1) Im Zusammenhang mit dieser Tätigkeit erlangt _ Auftragnehmer Informationen _ Kenntnis _ sicherheitsrelevanten geschäftsinternen Vorgängen _ Auftraggebers. _ Auftraggeber hat _ berechtigtes Interesse daran, _ über diese vertraulichen Informationen Stillschweigen bewahrt wird _ Dritte keinen Zugriff auf geschäftsinterne Daten _ Informationen haben.
(2) _ Auftragnehmer verpflichtet sich, über alle Informationen _ Daten, _ ihm im Zusammenhang mit seiner Tätigkeit als CISO beim Auftraggeber bekannt sind oder bekannt werden, absolutes Stillschweigen _ bewahren _ es _ unterlassen, diesbezügliche Informationen _ Daten an Dritte weiterzugeben, insbesondere
a) sie Dritten nicht _ offenbaren _ auch nicht in sonstiger Weise _ verbreiten oder _ veröffentlichen,
b) sie nur denjenigen seiner innerbetrieblichen Mitarbeiter überlassen, _ sie für _ Vorhaben kennen müssen.
(3) _ Auftragnehmer wird seine innerbetrieblichen Mitarbeiter, denen er _ vertraulichen Informationen überlässt, in geeigneter Form verpflichten, ihrerseits _ ihnen zugänglich gemachten vertraulichen Informationen geheim _ halten.
(4) »Vertrauliche Informationen« im Sinne dieses Vertrags sind alle wechselseitigen Informationen, _ nach Abschluss dieses Vertrags zwischen _ Parteien ausgetauscht werden, sich auf _ Vorhaben beziehen _ als vertraulich gekennzeichnet sind. Informationen gelten nicht als vertraulich, wenn
a) sie bei Übermittlung bereits öffentlich bekannt waren oder nach Übermittlung ohne Vertragsbruch öffentlich bekannt werden,
b) sie bei Übermittlung bereits im Besitz _ empfangenden Vertragspartners waren,
c) sie dem Empfänger _ einem Dritten in rechtmäßiger Weise _ ohne _ Verpflichtung zur Vertraulichkeit überlassen werden,
d) _ Empfänger _ anderen Partei innerhalb _ Woche ab Empfang _ vertraulichen Mitteilung nachweist, _ ihm _ Information bereits vor dem Empfang bekannt war.
(5) Diese Verschwiegenheitsverpflichtung gilt auf unbestimmte Zeit auch nach Beendigung dieses Vertrages fort.
§ 6 Haftungsbegrenzung
(1) _ Auftragnehmer haftet nur für Schäden, _ er oder seine Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursacht haben.
(2) _ Haftung für leichte oder einfache Fahrlässigkeit besteht nur bei _ Verletzung wesentlicher Vertragspflichten. In diesem Fall ist _ Haftung auf _ bei vergleichbaren Geschäften dieser Art typischen Schäden beschränkt, _ bei Vertragsschluss oder spätestens bei Begehung _ Pflichtverletzung vorhersehbar waren. _ Haftung für vertragsuntypische Schäden ist ausgeschlossen.
(3) _ Haftungsbegrenzung bzw. _ Haftungsausschluss gilt nicht, sofern es sich um Schäden aus _ Verletzung _ Lebens, _ Körpers oder _ Gesundheit handelt.
§ 7 Sonstiges
(1) Änderungen oder Ergänzungen dieses Vertrages bedürfen _ Schriftform. Dies gilt auch für _ Aufhebung _ Schriftformerfordernisses selbst.
(2) _ Regelungen in diesem Vertrag sind abschließend. Es wurden keine weiteren Vereinbarungen betreffend _ Vertragsgegenstandes getroffen.
…………………………………….. ……………………………………..
Ort, Datum Ort, Datum
…………………………………….. ……………………………………..
Auftragnehmer Auftraggeber
So sehen Sie das gesamte Dokument
Das vollständige Dokument können Sie nach dem Kauf sehen, als Word - Dokument (.docx) speichern und bearbeiten.
Preis zzgl. MwSt. Angebot richtet sich nur an gewerbliche Kunden.
Sie haben bereits einen Zugang? Bitte hier einloggen.
Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen (z.B. Word) bearbeiten und anpassen.
Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Sie haben eine Frage zu einem Mustervertrag? Fragen Sie uns!