^ OPS.3.2 ^ Name ^ CIA ^ G 0.11 ^ G 0.14 ^ G 0.18 ^ G 0.19 ^ G 0.22 ^ G 0.23 ^ G 0.25 ^ G 0.27 ^ G 0.29 ^ G 0.35 ^ G 0.42 ^
| **OPS.3.2.A1** | Einhaltung der Schutzziele der Informationssicherheit durch ein Informationssicherheitsmanagement |  |  |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A2** | Grundanforderungen an Verträge mit Nutzenden von Outsourcing |  |  |  |  |  |  |  |  |  | X |  |  |
| **OPS.3.2.A3** | Weitergabe der vertraglich geregelten Bestimmungen mit Nutzenden von Outsourcing an Sub-Dienstleistende |  |  |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A4** | Erstellung eines Mandantentrennungskonzepts |  |  | X | X | X | X |  |  |  | X |  |  |
| **OPS.3.2.A5** | Erstellung eines Sicherheitskonzepts für die Outsourcing-Dienstleistung |  |  |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A6** | Regelungen für eine geplante und ungeplante Beendigung eines Outsourcing-Verhältnisses |  | X |  | X | X |  |  |  |  |  |  |  |
| **OPS.3.2.A7** | Bereitstellung der ausgelagerten Dienstleistung durch multiple Sub-Dienstleistende |  | X |  | X |  |  |  |  | X | X |  |  |
| **OPS.3.2.A8** | Erstellung einer Richtlinie für die Outsourcing-Dienstleistungen |  | X |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A9** | Überprüfung der Vereinbarung mit Nutzenden von Outsourcing |  | X |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A10** | Etablierung eines sicheren Kommunikationskanals und Festlegung der Kommunikationspartner |  | X |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A11** | Etablierung eines Notfallkonzepts |  | X |  |  |  |  |  | X | X |  |  | X |
| **OPS.3.2.A12** | Durchführung einer risikoorientierten Betrachtung von Prozessen, Anwendungen und IT-Systemen |  |  |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A13** | Anbindung an die Netze der Outsourcing-Partner |  | X |  | X |  |  | X |  |  |  |  |  |
| **OPS.3.2.A14** | Überwachung der Prozesse, Anwendungen und IT-Systeme |  | X |  | X |  |  |  | X | X | X |  |  |
| **OPS.3.2.A15** | Berichterstattung gegenüber den Nutzenden von Outsourcing |  |  |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A16** | Transparenz über die Outsourcing-Kette der ausgelagerten Kundenprozesse |  | X |  | X |  |  |  |  | X | X |  |  |
| **OPS.3.2.A17** | Zutritts-, Zugangs- und Zugriffskontrolle |  |  |  | X | X |  | X |  |  | X |  |  |
| **OPS.3.2.A18** | Regelungen für den Einsatz von Sub-Dienstleistenden |  |  |  | X |  |  |  |  |  | X |  |  |
| **OPS.3.2.A19** | Sicherheitsüberprüfung von Beschäftigten | CIA |  |  |  |  |  |  |  |  | X | X |  |
| **OPS.3.2.A20** | Verschlüsselte Datenübertragung und -speicherung | C |  | X |  | X | X |  |  |  | X |  |  |
| **OPS.3.2.A21** | Durchführung von gemeinsamen Notfall- und Krisenübungenen | A | X |  |  |  |  |  | X | X |  |  |  |