Dieser IT-Sicherheitsfragebogen ist vom Bieter im Rahmen der CAFM-Ausschreibung auszufüllen und dient der Erfassung relevanter Sicherheits- und Datenschutzinformationen zu der angebotenen Lösung. Die Beantwortung dieses Fragebogens ist erforderlich, um sicherzustellen, dass die vorgeschlagene Lösung die erforderlichen Sicherheitsstandards und -anforderungen erfüllt, insbesondere in Bezug auf den Schutz von Daten, Systemverfügbarkeit, Integration und die Sicherheitsmaßnahmen während der Implementierung sowie im laufenden Betrieb.Der Fragebogen umfasst mehrere Bereiche der IT-Sicherheit, einschließlich Governance, Risikomanagement, Daten- und Netzwerksicherheit, Vorfallmanagement sowie die Einhaltung relevanter Sicherheitsstandards. Alle Antworten müssen wahrheitsgemäß und vollständig sein, da unvollständige oder falsche Angaben zu einem Ausschluss aus dem Ausschreibungsverfahren führen können.
Verfügt Ihr Unternehmen über eine Informationssicherheitspolitik?
☐ Ja
☐ Nein
Falls ja, fügen Sie bitte die wesentlichen Elemente Ihrer Politik bei oder geben Sie eine Zusammenfassung an.
[PLATZHALTER]
Verfügen Sie über ein Informationssicherheits-Managementsystem (ISMS)?
☐ Ja (bitte Details angeben)
☐ Nein
Falls ja, ist es zertifiziert?
☐ ISO 27001
☐ Andere (bitte spezifizieren) [PLATZHALTER]
Haben Sie eine benannte Sicherheitsverantwortliche Person (CISO) oder eine vergleichbare Rolle?
☐ Ja
☐ Nein
Falls ja, bitte geben Sie den Namen und die Kontaktdaten an.
[PLATZHALTER]
Risikomanagement
Führen Sie regelmäßig Risikobewertungen durch, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu mindern?
☐ Ja
☐ Nein
Falls ja, wie oft führen Sie diese Bewertungen durch? [PLATZHALTER]
Haben Sie einen formalen Risikomanagementprozess zur Identifizierung und Verwaltung von IT-Sicherheitsrisiken, einschließlich Datenschutzverletzungen?
☐ Ja
☐ Nein
Falls ja, geben Sie bitte Details zum Prozess an.
[PLATZHALTER]
Datenschutz und Privatsphäre
Entspricht Ihre Lösung den Datenschutzgesetzen, einschließlich der DSGVO (Datenschutz-Grundverordnung)?
☐ Ja
☐ Nein
Falls ja, beschreiben Sie bitte, wie die Lösung die Einhaltung sicherstellt.
[PLATZHALTER]
Wie wird personenbezogene Daten in Ihrem System behandelt, gespeichert und übertragen?
☐ Verschlüsselt während der Übertragung und im Ruhezustand
☐ Speicherung in sicheren Rechenzentren
☐ Andere (bitte spezifizieren) [PLATZHALTER]
Haben Sie Verfahren zur Verwaltung der Datenaufbewahrung und -löschung, insbesondere nach Beendigung des Vertrages?
☐ Ja
☐ Nein
Falls ja, beschreiben Sie bitte den Prozess.
[PLATZHALTER]
Nutzen Sie Drittanbieter zur Verarbeitung personenbezogener Daten?
☐ Ja
☐ Nein
Falls ja, geben Sie bitte Details an und bestätigen Sie, dass diese Anbieter die relevanten Datenschutzvorschriften einhalten.
[PLATZHALTER]
Welche Verschlüsselungsstandards verwenden Sie zum Schutz sensibler Daten?
☐ TLS/SSL für Datenübertragung ☐ AES für Daten im Ruhezustand ☐ Andere (bitte spezifizieren) [PLATZHALTER]
Implementieren Sie Multi-Faktor-Authentifizierung (MFA) für den Benutzerzugriff auf Ihr System?
☐ Ja
☐ Nein
Falls ja, bitte beschreiben Sie die verwendeten MFA-Methoden.
[PLATZHALTER]
Wie stellen Sie sicher, dass der Zugriff auf das System für Benutzer und Administratoren sicher ist?
☐ Rollenbasierte Zugriffskontrolle (RBAC)
☐ Prinzip der minimalen Berechtigungen
☐ Andere (bitte spezifizieren) [PLATZHALTER]
Führen Sie regelmäßig Schwachstellen-Scans und Penetrationstests auf Ihrem System durch?
☐ Ja
☐ Nein
Falls ja, wie häufig werden diese Tests durchgeführt?
[PLATZHALTER]
Haben Sie einen Vorfallreaktionsplan, um Sicherheitsverletzungen oder Datenlecks zu behandeln?
☐ Ja
☐ Nein
Falls ja, bitte fassen Sie den Plan zusammen.
[PLATZHALTER]
Wie benachrichtigen Sie Ihre Kunden über Sicherheitsvorfälle oder Datenverletzungen?
☐ E-Mail-Benachrichtigung
☐ Portalbenachrichtigung
☐ Andere (bitte spezifizieren) [PLATZHALTER]
Haben Sie ein Team, das für das Vorfallmanagement zuständig ist?
☐ Ja
☐ Nein
Falls ja, bitte geben Sie Details zum Team an.
[PLATZHALTER]
Welche Maßnahmen haben Sie getroffen, um die Verfügbarkeit und Zuverlässigkeit Ihres CAFM-Systems zu gewährleisten?
☐ Redundante Server / Rechenzentren
☐ Notstromsysteme
☐ Disaster Recovery Plan
☐ Andere (bitte spezifizieren) [PLATZHALTER]
Was ist die garantierte Systemverfügbarkeit (Service Level Agreement – SLA)?
☐ 99,5%
☐ 99,9%
☐ Andere (bitte spezifizieren) [PLATZHALTER]
Haben Sie einen Business Continuity- und Disaster Recovery-Plan für kritische Systemausfälle?
☐ Ja
☐ Nein
Falls ja, bitte geben Sie Details zum Plan an.
[PLATZHALTER]
Führen Sie Sicherheitsbewertungen Ihrer Drittanbieter durch (z. B. Hosting-Anbieter, Unterauftragnehmer)?
☐ Ja ☐ Nein Falls ja, bitte beschreiben Sie Ihren Bewertungsprozess. [PLATZHALTER]
Nutzen Sie Drittanbieter-Cloud-Dienste für das Hosting Ihrer Lösung?
☐ Ja
☐ Nein
Falls ja, geben Sie bitte an, welche Cloud-Anbieter Sie verwenden und deren Einhaltung relevanter Sicherheitsstandards (z. B. ISO 27001, SOC 2).
[PLATZHALTER]
Stellen Sie regelmäßig Sicherheitsberichte und Audits für Ihre Kunden zur Verfügung?
☐ Ja
☐ Nein
Falls ja, bitte beschreiben Sie die Häufigkeit und den Inhalt dieser Berichte.
[PLATZHALTER]
Wie überwachen Sie die Sicherheit und Leistung Ihres CAFM-Systems fortlaufend?
☐ Kontinuierliche Überwachungstools (z. B. SIEM) ☐ Periodische Sicherheitsüberprüfungen ☐ Andere (bitte spezifizieren) [PLATZHALTER]
Entsprechen Sie branchenüblichen Sicherheitsrahmenwerken wie ISO 27001, NIST oder SOC 2?
☐ Ja
☐ Nein
Falls ja, bitte geben Sie Details zu Ihren Zertifizierungen an.
[PLATZHALTER]
Befolgen Sie sichere Programmierpraktiken und führen Sie Code-Überprüfungen durch?
☐ Ja
☐ Nein
Falls ja, beschreiben Sie bitte Ihren sicheren Entwicklungsprozess.
[PLATZHALTER]
Erklärung und Unterschrift
Mit der Unterzeichnung dieses Fragebogens bestätigt der Bieter, dass die angegebenen Informationen wahrheitsgemäß, vollständig und genau sind. Der Bieter verpflichtet sich, alle Sicherheits- und Datenschutzanforderungen gemäß der Ausschreibung zu erfüllen.
Unterschrift des autorisierten Vertreters: [PLATZHALTER]
