Suche
Close this search box.
Logo der activeMind AG

ISO 27002Kapitel 5.19 Lieferantenbeziehungen

Der Einsatz von externen Dienstleistern stellt oft ein zusätzliches Risiko vor dem Hintergrund der Informationssicherheit dar. Dementsprechend sollten Organisationen geeignete Maßnahmen ergreifen, um diese Risiken zu beherrschen. Im Kapitel 5.19 Informationssicherheit in Lieferantenbeziehungen geht die ISO 27002 auf Vorgehensweisen im Zusammenhang mit der Nutzung von Produkten und Dienstleistungen von Lieferanten ein. In diesem Beitrag werden einige geeignete Maßnahmen erläutert, die ergriffen werden können, um den Anforderungen der Informationssicherheit in Lieferantenbeziehungen gerecht zu werden.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Technische und organisatorische Maßnahmen bei Lieferantenbeziehungen

Identifikation und Bewertung von Lieferantenbeziehungen

Für alle Outsourcingvorhaben sollte festgestellt werden, inwieweit damit Risiken für die Informationssicherheit einhergehen können und welche Anforderungen an einen Lieferanten gestellt werden müssen, um diesen Risiken angemessen zu begegnen.

Bewertung und Auswahl von Lieferanten

Ein geregelter Prozess zur Bewertung und Auswahl möglicher Lieferanten bzw. von deren Produkten ist einzuführen. Berücksichtigt werden sollten alle Aspekte, also neben der Datensicherheit beispielsweise auch die physische Sicherheit oder allgemeine Compliance.

Regelung der Zusammenarbeit mit Lieferanten

Es muss im Einzelfall geklärt und geregelt werden, auf welche Informationen der Organisation der Lieferant zugreifen soll und auf welchen Wegen dies geschehen darf. Der Prozess muss sich auf eine laufende Überwachung des Lieferanten mit besonderem Blick auf die Erfüllung der ihn treffenden Pflichten erstrecken. Was bei Abweichungen geschehen soll und wie diese ggf. abgefangen werden können, ist nach Möglichkeit im Vorfeld zu planen. Im Hinblick auf die Endlichkeit von Kooperationen ist auch deren geordnete Beendigung zu regeln.

Notfallvorsorge und -reaktion

Organisationen sollten sicherstellen, dass alle Lieferanten über angemessene Notfallpläne verfügen, um auf Sicherheitsvorfälle zu reagieren. Dies kann die Einrichtung von Mechanismen zur frühzeitigen Erkennung und Reaktion auf Sicherheitsverletzungen sowie die regelmäßige Durchführung von Notfallübungen umfassen.

Schulung und Sensibilisierung

Das angemessene Bewusstsein für Informationssicherheit ist nicht nur bei den eigenen Mitarbeitern zu schaffen. Es muss auch sichergestellt sein, dass alle Lieferanten und deren Mitarbeiter die spezifischen Anforderungen der Informationssicherheit kennen.  Nicht vergessen werden darf, die eigenen Mitarbeiter hinsichtlich der Zusammenarbeit mit Dienstleistern zu schulen.

Lieferantenbeziehungen in der ISO 27002

Insgesamt ist die Berücksichtigung von Informationssicherheit in Lieferantenbeziehungen ein wichtiger Aspekt des umfassenden Informationssicherheitsmanagements eines Unternehmens. Die ISO 27002 bietet Unternehmen eine wertvolle Anleitung und bewährte Verfahren, um ihre Informationssicherheit in diesem Bereich zu stärken. Durch die Implementierung obiger Maßnahmen können Unternehmen ihre Daten und Informationen besser schützen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt ihren Mandanten ein maßgeschneidertes Lieferantenkozept zur Verfügung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.